前回(2026/4/13)に引続き個別のAWSサービスについて掘り下げていきます。
今回のテーマは「WAF」です。

概要
AWS WAFは、Amazon Web Service(AWS)が提供するクラウド型のWebアプリケーションファイアウォールです。SQLインジェクションやクロスサイトスクリプティング(XSS)といった、Webアプリケーションの脆弱性を突いた攻撃からシステムを保護します。
特徴
一般的なファイアウォールがIPアドレスやポート番号で通信を制御するのに対し、AWS WAFはHTTP/HTTPS通信の中身(データ)を解析して不正なアクセスをブロックするのが特徴です。また、以下のような特徴を持っています。
①迅速かつ容易な導入
既存のインフラを変更することなく、Amazon CloudFrontやApplication Load Balancer(ALB)などに数クリックするだけで適用できます。
②AWSマネージドルール
セキュリティ専門ベンダーやAWSが作成した「定義済みのルール」を選択するだけで、最新の脅威に対応できます。自社で複雑なルールを書く必要はありません。
③柔軟なカスタマイズ
自社の要件に合わせ、特定のIPアドレス拒否や国別のアクセス制限などを独自に設定可能です。
利用方法
導入は非常にシンプルです。AWSマネジメントコンソールにて設定をまとめる枠となる「Web ACL」の作成、ルールの作成、リソースへの関連付けという3ステップで実用的な運用開始をすることができます。
利用料金
AWS WAFは完全従量課金制で、初期費用や最低利用期間はありません。Web ACLの数、ルールの数、リクエスト数に応じて金額が決まり、少額からスタートできることが強みとなっています。
最後に
AWSではセキュリティ担保のためのサービスも多く提供されており、どれもAWSの思想の通り簡単な設定で実用的な効果を得られることが強みとなっています。特に代表的な攻撃に対して詳細な設定なく対処できるWAFは、大小様々なサービスで適用されており、AWSでWebサービスを運営するにあたっては必須といってもいい機能になっています。
2026年7月