AWS WAFとShieldで始めるWebアプリケーション保護|DDoS対策と不正アクセス防止の実践
AWS WAFとShieldで始めるWebアプリケーション保護|DDoS対策と不正アクセス防止の実践
「WebサイトへのDDoS攻撃をどう防ぐ?」「WAFって何をするもの?」——AWS WAF・AWS Shield・CloudFrontを組み合わせたWebアプリケーション保護の設計と実践を解説します。
💡 現代のWebサービスにWAFとDDoS対策は必須。「攻撃を受けてから対応する」のではなく「最初から防御レイヤーを設計する」ことがクラウドセキュリティの標準アプローチです。
1. AWS WAF・Shield・CloudFrontの役割
2. AWS WAFのマネージドルールグループ
AWS WAFには「AWSのセキュリティエンジニアが定義したルールセット」であるマネージドルールグループが用意されています。特に「AWS Managed Rules Common Rule Set(CRS)」はSQLインジェクション・XSS等の一般的な脅威に対するルールが含まれており、WAF導入時に最初に適用することを推奨します。追加費用はありますが保護効果が高いです。
3. レートベースのルール設定(DDoS軽減)
WAFのレートベースルールで「同一IPから5分間に2000回以上のリクエストが来た場合はブロック」のようなルールを設定できます。これにより単純なHTTPフラッド攻撃(L7 DDoS)を軽減できます。正常なユーザーへの影響を避けるためにしきい値は慎重に設定してください。
4. WAFログをS3に保存してAthenaで分析
- WAFのログをS3に出力:WAFはリクエストの詳細ログをKinesis Firehose経由でS3に出力できる
- Athenaでクエリ分析:「どのIPからのリクエストが最も多いか」「どのルールが最も発火しているか」をAthenaでSQLクエリして分析する
- ブロックIPリストの管理:繰り返し攻撃してくるIPをWAFのIPセットに登録して永続的にブロックする
- AWS WAFはL7フィルタリング・ShieldはDDoS防御・CloudFrontはOrigin隠蔽という役割分担で多層防御する
- AWS Managed Rules CRSをまず適用してSQLインジェクション・XSSの一般的な脅威から保護する
- レートベースルールで同一IPからの大量リクエストをブロックしてL7 DDoSを軽減する
キャリアの疑問、一緒に解決しませんか?
Infra Academyでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
📚 関連記事
資格取得後のキャリアに、AI活用という選択肢を
資格取得の先に現場でのIT効率化を任される場面が増えます。職場のルーティン業務にAIをどう組み込めるか、無料のセルフ診断(3問・約1分)でヒントが得られます。
この記事を読んでいる方へのおすすめ:
本記事はRoute Bloom編集部が公式ドキュメント・技術仕様書の一次情報をもとに作成しています。ITインフラ・技術情報は急速に変化するため、実装前に最新の公式ドキュメントをご確認ください。情報の正確性には万全を期していますが、最新情報は各公式サイトをご確認ください。
本記事はRoute Bloom編集部が各ベンダー公式ドキュメント・エンジニア監修をもとに作成しています。インフラ・クラウド構築は環境により異なります。本番環境への適用前に必ずテストを実施してください。情報の正確性には万全を期していますが、最新情報は各公式ドキュメントをご確認ください。
この記事で学んだスキルをさらに深めたい方へ
AWS・クラウド技術をさらに深く学びたい方に。試験対策から実践まで網羅した参考書を活用しましょう。
Amazonアソシエイトプログラムを利用しています。
