AWS WAFとShieldで始めるWebアプリケーション保護|DDoS対策と不正アクセス防止の実践
現場実践|WAF・DDoS対策
AWS WAFとShieldで始めるWebアプリケーション保護|DDoS対策と不正アクセス防止の実践
「WebサイトへのDDoS攻撃をどう防ぐ?」「WAFって何をするもの?」——AWS WAF・AWS Shield・CloudFrontを組み合わせたWebアプリケーション保護の設計と実践を解説します。
💡 現代のWebサービスにWAFとDDoS対策は必須。「攻撃を受けてから対応する」のではなく「最初から防御レイヤーを設計する」ことがクラウドセキュリティの標準アプローチです。
1. AWS WAF・Shield・CloudFrontの役割
AWS WAF
SQLインジェクション・XSS・不正なリクエストをL7(アプリケーション層)でフィルタリング。マネージドルールグループが豊富。
AWS Shield
DDoS攻撃に対する防御。StandardはAWSで自動的に全アカウントに適用(無料)。Advancedは高度なDDoS防御と24時間のDDoSサポートを提供(月額高め)。
CloudFront
CDNとしてコンテンツを配信すると同時に、WAFとShieldの前段として機能する。OriginのIPを隠してDDoS攻撃が直接オリジンに届くことを防ぐ。
2. AWS WAFのマネージドルールグループ
AWS WAFには「AWSのセキュリティエンジニアが定義したルールセット」であるマネージドルールグループが用意されています。特に「AWS Managed Rules Common Rule Set(CRS)」はSQLインジェクション・XSS等の一般的な脅威に対するルールが含まれており、WAF導入時に最初に適用することを推奨します。追加費用はありますが保護効果が高いです。
3. レートベースのルール設定(DDoS軽減)
WAFのレートベースルールで「同一IPから5分間に2000回以上のリクエストが来た場合はブロック」のようなルールを設定できます。これにより単純なHTTPフラッド攻撃(L7 DDoS)を軽減できます。正常なユーザーへの影響を避けるためにしきい値は慎重に設定してください。
4. WAFログをS3に保存してAthenaで分析
- WAFのログをS3に出力:WAFはリクエストの詳細ログをKinesis Firehose経由でS3に出力できる
- Athenaでクエリ分析:「どのIPからのリクエストが最も多いか」「どのルールが最も発火しているか」をAthenaでSQLクエリして分析する
- ブロックIPリストの管理:繰り返し攻撃してくるIPをWAFのIPセットに登録して永続的にブロックする
📌 この記事のポイント
- AWS WAFはL7フィルタリング・ShieldはDDoS防御・CloudFrontはOrigin隠蔽という役割分担で多層防御する
- AWS Managed Rules CRSをまず適用してSQLインジェクション・XSSの一般的な脅威から保護する
- レートベースルールで同一IPからの大量リクエストをブロックしてL7 DDoSを軽減する
キャリアの疑問、一緒に解決しませんか?
Route Bloomでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
ABOUT ME
