の AWS WAF 仕組み - AWS WAF、 AWS Firewall Manager AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
新しいダッシュボードを理解する

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「コンソールの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の AWS WAF 仕組み

を使用して AWS WAF 、保護されたリソースが HTTP(S) ウェブリクエストにどのように応答するかを制御します。これを行うには、ウェブアクセスコントロールリスト (ウェブ ACL) を定義し、保護する 1 つ以上のウェブアプリケーションリソースと関連付けます。関連付けられたリソースは、ウェブ ACL による検査 AWS WAF のために受信リクエストを に転送します。

新しいコンソール は、ウェブ ACL 設定プロセスを簡素化します。セキュリティルールを完全に制御しながらセットアップを効率化する保護パックが導入されました。

保護パックはウェブ ACL の新しい場所であり、コンソールでのウェブ ACL 管理を簡素化しますが、基盤となるウェブ ACL 機能は変更されません。標準コンソールまたは API を使用する場合でも、ウェブ ACL で引き続き直接作業できます。

保護パック (ウェブ ACL) では、リクエスト内で検索するトラフィックパターンを定義し、一致するリクエストに対して実行するアクションを指定するルールを作成します。アクションの選択肢は次のとおりです。

  • 処理と応答のために、リクエストを保護されたリソースに送信することを許可する。

  • リクエストをブロックする。

  • リクエストをカウントする。

  • リクエストに対して CAPTCHA またはチャレンジチェックを実行して、人間のユーザーと標準的なブラウザの使用を確認します。

AWS WAF コンポーネント

以下は、 の主要なコンポーネントです AWS WAF。

  • ウェブ ACLs – ウェブアクセスコントロールリスト (ウェブ ACL) を使用して、一連の AWS リソースを保護します。ウェブ ACL を作成し、ルールを追加してその保護戦略を定義します。ルールは、ウェブリクエストを検査する基準を定義し、条件に一致するリクエストに対して取る行動を指定します。また、ルールによってまだブロックまたは許可されていないすべてのリクエストをブロックするか、許可するかを示すウェブ ACL に対してデフォルトのアクションをセットします。ウェブ ACL の詳細については、「での保護の設定 AWS WAF」を参照してください。

    ウェブ ACL は AWS WAF リソースです。

  • 保護パック (ウェブ ACL) - 新しいコンソールでは、保護パックはウェブ ACL の新しい場所になります。セットアップ時に、アプリケーションとリソースに関する情報を提供します。 はシナリオに合わせた保護パック AWS WAF を推奨し、選択した保護パック (ウェブ ACL) で定義されたルール、ルールグループ、アクションを含むウェブ ACL を作成します。保護パック (ウェブ ACL) の詳細については、「での保護の設定 AWS WAF」を参照してください。

    保護パック (ウェブ ACL) は AWS WAF リソースです。

  • ルール - 各ルールには、検査基準を定義するステートメントと、ウェブリクエストがその基準を満たす場合に実行するアクションが含まれます。ウェブリクエストが条件を満たしている場合、それは一致となります。CAPTCHA パズルまたはサイレントクライアントブラウザのチャレンジを使用する一致リクエストをブロック、許可、カウント、ボットコントロールを実行するルールを設定できます。ルールの詳細については、「AWS WAF ルール」を参照してください。

    ルールは AWS WAF リソースではありません。ルールは保護パック (ウェブ ACL) またはルールグループのコンテキストでのみ定義されます。

  • ルールグループ – 保護パック (ウェブ ACL) 内または再利用可能なルールグループでルールを直接定義できます。 AWS マネージドルールと AWS Marketplace 販売者は、使用するマネージドルールグループを提供します。また、独自のルールグループを定義することもできます。ルールグループの詳細については、「AWS WAF ルールグループ」を参照してください。

    ルールグループは AWS WAF リソースです。

  • ウェブ ACL キャパシティユニット (WCUs) – WCUs AWS WAF を使用して、ルール、ルールグループ、保護パック (ウェブ ACLs)、またはウェブ ACLs。

    WCU は AWS WAF リソースではありません。保護パック (ウェブ ACL)、ルール、またはルールグループのコンテキストでのみ存在します。

新しいダッシュボードを理解する

新しく提供されるダッシュボードでは、次の視覚化を通じて、セキュリティ体制の統一された可視性が提供されます。

トラフィックインサイトの推奨事項 – AWS 脅威インテリジェンスは、過去 2 週間の許可されたトラフィックをモニタリングし、脆弱性を分析し、以下を提供します。

  • トラフィックベースのルールの提案

  • アプリケーション固有のセキュリティに関する推奨事項

  • 保護最適化ガイダンス

概要 - 指定された時間範囲内のすべてのトラフィックのリクエスト数を表示します。次の条件を使用して、トラフィックデータをフィルタリングできます。

  • ルール - 保護パック内の個々のルールでフィルタリングします。

  • アクション - 許可、ブロック、キャプチャ、チャレンジなど、トラフィックに対して実行された特定のアクションの数を表示します。

  • トラフィックタイプ - DDoS 対策やボットなどの特定のトラフィックタイプの数のみを表示します。

  • 時間範囲 - 事前定義された時間範囲から選択するか、カスタム範囲を設定します。

  • ローカルまたは UTC 時間 - 任意の時間形式を設定できます。

AI トラフィック分析 – AI ボットとエージェントのアクティビティを包括的に可視化します。

  • ボット識別 – ボット名、組織、検証ステータス。

  • インテント分析 – AI エージェントの目的と動作のパターン。

  • アクセスパターン – 最も頻繁にアクセスURLs とエンドポイント。

  • 一時的な傾向 – 時間帯別アクティビティパターンと過去の傾向 (0~14 日)。

  • トラフィック特性 – AI トラフィックのボリューム、分散、異常検出。

保護アクティビティ - 保護ルールとその順序がアクションの終了にどのように影響するかを視覚化します。

  • ルールを通過するトラフィックフロー - ルールを通過するトラフィックフローを表示します。シーケンシャルルールビュー から 非シーケンシャルルールビュー に切り替えて、ルールの順序が結果にどのように影響するかを確認します。

  • ルールアクションとその結果 - 指定した期間にルールがトラフィックに対して実行した終了アクションを表示します。

アクションの合計 - 指定された時間範囲でリクエストに対して実行されたアクションの合計数を視覚化するグラフ。現在の時間範囲と過去 3 時間の時間枠を比較するには、過去 3 時間のオーバーレイ オプションを使用します。以下でデータをフィルタリングできます。

  • アクションを許可する

  • アクションの合計

  • キャプチャアクション

  • チャレンジアクション

  • ブロックブロック

すべてのルール - 保護パック内のすべてのルールのメトリクスを視覚化するグラフ。

  • 現在の時間範囲と過去 3 時間の時間枠を比較するには、過去 3 時間のオーバーレイ オプションを使用します。

概要ダッシュボード - 以下を含む、セキュリティステータスの包括的でグラフィカルなビューを提供します。

  • トラフィック特性 - トラフィックの概要を、オリジン、攻撃タイプ、またはリクエストを送信したクライアントのデバイスタイプ別に表示します。

  • ルールの特性 - 10 個の最も一般的なルールと終了アクションによる攻撃の内訳。

  • ボット - ボットアクティビティ、検出、カテゴリ、ボット関連のシグナルラベルを視覚化します。

  • DDoS 対策 - 検出および軽減されたレイヤー 7 DDoS アクティビティの概要。