**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Anti-DDoS マネージドルールグループを使用した高度な AWS WAF Anti-DDoS 保護
`AWSManagedRulesAntiDDoSRuleSet` マネージドルールグループは、 で利用可能な DDoS 対策保護の最も高度な階層です AWS WAF。
**注記**
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
## AWS WAF DDoS 対策コンポーネント
に高度なアンチ DDoS 保護を実装するための主なコンポーネント AWS WAF は次のとおりです。
**`AWSManagedRulesAntiDDoSRuleSet`** – DDoS 攻撃に参加している可能性が高いリクエストを検出、ラベル付け、チャレンジします。また、イベント中に保護されたリソースへのすべてのリクエストにラベル付けします。ルールグループのルールとラベルの詳細については、「[AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ](aws-managed-rule-groups-anti-ddos.md)」を参照してください。このルールグループを使用するには、マネージドルールグループ参照ステートメントを使用して保護パック (ウェブ ACL) に含めます。詳細については、「[DDoS 対策マネージドルールグループを保護パック (ウェブ ACL) に追加する](waf-anti-ddos-rg-using.md)」を参照してください。
+ **ウェブ ACL トラフィック概要ダッシュボード** – コンソールで DDoS アクティビティと DDoS 対策レスポンスをモニタリングします。詳細については、「[保護パック (ウェブ ACL) のトラフィック概要ダッシュボード](web-acl-dashboards.md)」を参照してください。
+ **ログ記録とメトリクス** – トラフィックをモニタリングし、DDoS 対策保護の効果を理解できます。保護パック (ウェブ ACL) のログ、Amazon Security Lake データ収集、Amazon CloudWatch メトリクスを設定します。これらのオプションの詳細については、[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)、[Amazon CloudWatch によるモニタリング](monitoring-cloudwatch.md)、及び「[What is Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)」を参照してください。
+ **ラベルとラベル一致ルール** – DDoS 対策マネージドルールグループによって特定されるウェブリクエストの処理をカスタマイズできます。`AWSManagedRulesAntiDDoSRuleSet`のどのルールでも、カウントモードに切り替えて、追加されたラベルと照合できます。詳細については、「[ラベル一致ルールステートメント](waf-rule-statement-type-label-match.md)」および「[でのウェブリクエストのラベル付け AWS WAF](waf-labels.md)」を参照してください。
+ **カスタムリクエストとレスポンス** - 許可されたリクエストにカスタムヘッダーを追加し、ブロックされたリクエストではカスタムレスポンスを送信できます。ラベルマッチングを AWS WAF カスタムリクエストおよびレスポンス機能とペアリングします。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。
# DDoS 対策マネージドルールグループを保護パック (ウェブ ACL) に追加する
このセクションでは、`AWSManagedRulesAntiDDoSRuleSet` ルールグループを追加および設定する方法について説明します。
DDoS 対策マネージドルールグループを設定するには、DDoS 攻撃に対してルールグループがどれだけ機密であるかや、攻撃に参加している、または参加している可能性のあるリクエストに対してルールグループが実行するアクションを含む設定を指定します。この設定は、マネージドルールグループの通常の設定に追加されます。
ルールグループの説明およびルールとラベルのリストについては、「[AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ](aws-managed-rule-groups-anti-ddos.md)」を参照してください。
このガイダンスは、 AWS WAF 保護パック (ウェブ ACL)、ルール、およびルールグループを作成および管理する方法を一般的に認識しているユーザーを対象としています。これらのトピックは、このガイドの前のセクションでカバーされています。マネージドルールグループを保護パック (ウェブ ACL) に追加する方法の基本については、「[コンソールを通じた保護パック (ウェブ ACL) へのマネージドルールグループの追加](waf-using-managed-rule-group.md)」を参照してください。
**ベストプラクティスに従う**
DDoS 対策ルールグループは、「[でのインテリジェントな脅威軽減のベストプラクティス AWS WAF](waf-managed-protections-best-practices.md)」に記載されているベストプラクティスに従って使用してください。
**保護パック (ウェブ ACL) で `AWSManagedRulesAntiDDoSRuleSet` ルールグループを使用するには**
1. AWS マネージドルールグループを保護パック (ウェブ ACL) `AWSManagedRulesAntiDDoSRuleSet`に追加し、保存する前にルールグループ設定**を編集**します。
**注記**
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
1. **ルールグループ設定** ペインで、`AWSManagedRulesAntiDDoSRuleSet` ルールグループのカスタム設定を指定します。
1. **ブロックの機密性レベル** では、ルールグループの DDoS 疑惑ラベル付けで一致するときに、ルール `DDoSRequests` をどれだけ機密にするかを指定します。機密性が高いほど、ルールが一致するラベル付けのレベルが低くなります。
+ 低い機密性では機密の程度が低く、高い疑惑ラベル `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` がある、攻撃の最も明白な参加者でのみルールが一致します。
+ 中程度の機密性では、中程度と高い疑惑ラベルでルールが一致します。
+ 高い機密性では、ルールは低、中、高のすべての疑惑ラベルで一致します。
このルールは、DDoS 攻撃に参加している疑いがあるウェブリクエストの最も重大な処理を提供します。
1. **チャレンジを有効にする** では、ルール `ChallengeDDoSRequests` と `ChallengeAllDuringEvent` を有効にするかどうかを選択します。これにより、デフォルトで、一致するリクエストに Challenge アクションが適用されます。
これらのルールは、正当なユーザーが DDoS 攻撃の参加者をブロックしながらリクエストを続行できるようにすることを目的としたリクエスト処理を提供します。アクション設定を Allow または Count にオーバーライドするか、完全に使用を無効にすることができます。
これらのルールを有効にする場合は、必要な追加設定を指定します。
+ **チャレンジの機密レベル** では、ルール `ChallengeDDoSRequests` をどれだけ機密にするかを指定します。
機密性が高いほど、ルールが一致するラベル付けのレベルが低くなります。
+ 低い機密性では機密の程度が低く、高い疑惑ラベル `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` がある、攻撃の最も明白な参加者でのみルールが一致します。
+ 中程度の機密性では、中程度と高い疑惑ラベルでルールが一致します。
+ 高い機密性では、ルールは低、中、高のすべての疑惑ラベルで一致します。
+ **除外 URI 正規表現** では、サイレントブラウザチャレンジを処理できないウェブリクエストの URI に一致する正規表現を指定します。Challenge アクションは、サイレントブラウザチャレンジを処理できない限り、チャレンジトークンがない URI からのリクエストを効果的にブロックします。
Challenge アクションは、HTML コンテンツを想定しているクライアントによってのみ適切に処理できます。アクションの仕組みの詳細については、「[CAPTCHA および Challenge アクション動作](waf-captcha-and-challenge-actions.md)」を参照してください。
デフォルトの正規表現を確認し、必要に応じて更新します。ルールは、指定された正規表現を使用して、Challenge アクションを処理できないリクエスト URI を特定し、ルールがチャレンジを返さないようにします。この方法で除外するリクエストは、ルール `DDoSRequests` でルールグループによってのみブロックできます。
コンソールで提供されるデフォルトの式は、ほとんどのユースケースを対象としていますが、アプリケーションに合わせて確認して調整する必要があります。
AWS WAF は、いくつかの例外`libpcre`を除いて、PCRE ライブラリで使用されるパターン構文をサポートします。ライブラリは、「[PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/)」で文書化されています。 AWS WAF サポートの詳細については、「」を参照してください[でサポートされている正規表現構文 AWS WAF](waf-regex-pattern-support.md)。
1. ルールグループに必要な追加設定を指定し、ルールを保存します。
**注記**
AWS では、このマネージドルールグループでスコープダウンステートメントを使用しないことをお勧めします。スコープダウンステートメントは、ルールグループが監視するリクエストを制限するため、トラフィックベースラインが不正確になり、DDoS イベント検出が低下する可能性があります。スコープダウンステートメントオプションは、すべてのマネージドルールグループステートメントで使用できますが、このステートメントには使用しないでください。スコープダウンステートメントの詳細については、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。
1. **ルールの優先度の設定** ページで、新しい DDoS 対策マネージドルールグループルールを上に移動させ、持っている Allow アクションルールの後で他のルールの前にのみ実行されるようにします。これにより、ルールグループは DDoS 対策保護のトラフィックを最も多く追跡できます。
1. 変更を保護パック (ウェブ ACL) に保存します。
本番稼働トラフィックに DDoS 対策実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、次のセクションを参照してください。
# DDoS 対策のテストとデプロイ
機能をデプロイする前に、 AWS WAF 分散サービス拒否 (DDoS) 防止を設定してテストする必要があります。このセクションは設定とテストの一般的なガイダンスを提供しますが、実行する具体的なステップは、ニーズ、リソース、および受け取るウェブリクエストによって異なります。
この情報は、[AWS WAF 保護のテストとチューニング](web-acl-testing.md) で提供されているテストおよび調整に関する一般情報とは別です。
**注記**
AWS マネージドルールは、一般的なウェブ脅威から保護するように設計されています。ドキュメントに従って使用すると、 AWS マネージドルールルールグループはアプリケーションに別のセキュリティレイヤーを追加します。ただし、 AWS マネージドルールルールグループは、選択した AWS リソースによって決定されるセキュリティ責任に代わるものではありません。責任[共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)を参照して、 のリソースが適切に保護 AWS されていることを確認します。
**本番稼働トラフィックのリスク**
トラフィックへの潜在的な影響に納得がいくまで、実装をステージング環境またはテスト環境でテストおよび調整します。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。
このガイダンスは、 AWS WAF 保護パック (ウェブ ACL)、ルール、およびルールグループを作成および管理する方法を一般的に認識しているユーザーを対象としています。これらのトピックは、このガイドの前のセクションでカバーされています。
**AWS WAF 分散サービス拒否 (DDoS) 防止実装を設定してテストするには**
これらのステップを最初にテスト環境で実行し、次に本番環境で実行します。
1.
**AWS WAF 分散サービス拒否 (DDoS) 防止マネージドルールグループをカウントモードに追加する**
**注記**
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
AWS マネージドルールルールグループ`AWSManagedRulesAntiDDoSRuleSet`を新規または既存の保護パック (ウェブ ACL) に追加し、現在の保護パック (ウェブ ACL) の動作を変更しないように設定します。このルールグループのルールとラベルの詳細については、「[AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ](aws-managed-rule-groups-anti-ddos.md)」を参照してください。
+ マネージドルールグループを追加する際には、それを編集し、次の手順を実行します。
+ **ルールグループ設定** ペインで、ウェブトラフィックの DDoS 対策アクティビティを実行するために必要な詳細を指定します。詳細については、「[DDoS 対策マネージドルールグループを保護パック (ウェブ ACL) に追加する](waf-anti-ddos-rg-using.md)」を参照してください。
+ **[Rules]** (ルール) ペインで、**[Override all rule actions]** (すべてのルールアクションをオーバーライド) ドロップダウンを開いて、**[Count]** を選択します。この設定では、 AWS WAF は、ルールグループ内のすべてのルールに対してリクエストを評価し、その結果の一致のみをカウントしつつ、引き続きリクエストにラベルを追加します。詳細については、「[ルールグループ内のルールアクションのオーバーライド](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)」を参照してください。
このオーバーライドを使用すると、DDoS 対策マネージドルールの潜在的な影響をモニタリングして、サイレントブラウザチャレンジを処理できない URI の正規表現を拡張するなど、変更を加えるかどうかを判断できます。
+ トラフィックを許可するルールの直後に、できるだけ早く評価されるようにルールグループを配置します。ルールは昇順の優先順位で評価されます。コンソールは、ルールリストの最上部から順番を設定します。詳細については、「[ルールの優先度を設定する](web-acl-processing-order.md)」を参照してください。
1.
**保護パック (ウェブ ACL) のサンプリング、ログ記録、およびメトリクスの有効化**
必要に応じて、保護パック (ウェブ ACL) のログ記録、Amazon Security Lake データ収集、リクエストサンプリング、Amazon CloudWatch メトリクスを設定します。これらの可視化ツールを使用して DDoS 対策マネージドルールグループとトラフィックとのインタラクションをモニタリングできます。
+ ログ記録の設定と使用については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。
+ Amazon Security Lake の詳細については、[「Amazon Security Lake ユーザーガイド」の「Amazon Security Lake とは](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)[」および AWS 「サービスからのデータの収集](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)」を参照してください。 **
+ Amazon CloudWatch メトリクスの詳細については、「[Amazon CloudWatch によるモニタリング](monitoring-cloudwatch.md)」を参照してください。
+ ウェブリクエストサンプリングの詳細については、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。
1.
**保護パック (ウェブ ACL) をリソースに関連付ける**
保護パック (ウェブ ACL) がテストリソースに関連付けられていない場合は、関連付けます。詳細については、「[AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)」を参照してください。
1.
**トラフィックと DDoS 対策ルールの一致をモニタリングする**
通常のトラフィックがフローしていることと、DDoS 対策マネージドルールグループのルールが一致するウェブリクエストにラベルを追加していることを確認します。ログにラベルが表示され、Amazon CloudWatch メトリクスで DDoS 対策とラベルのメトリクスを確認できます。ログでは、ルールグループでカウントするようにオーバーライドしたルールが、カウントに設定された `action` と、オーバーライドした設定済のルールアクションを示す `overriddenAction` とともに、`ruleGroupList` に表示されます。
1.
**DDoS 対策ウェブリクエストの処理をカスタマイズする**
必要に応じて、リクエストを明示的に許可またはブロックする独自のルールを追加して、DDoS 対策ルールがそのリクエストを処理する方法を変更します。
例えば、DDoS 対策ラベルを使用して、リクエストを許可またはブロックしたり、リクエスト処理をカスタマイズしたりできます。DDoS 対策マネージドルールグループの後にラベル一致ルールを追加して、適用する処理のためにラベル付きリクエストをフィルタリングできます。テスト後、関連する DDoS 対策ルールをカウントモードで維持し、カスタムルールでリクエストの処理に関する決定を維持します。
1.
**テストルールを削除し、DDoS 対策設定を構成する**
テスト結果を確認して、モニタリングのみのためにカウントモードで保持する DDoS 対策ルールを決定します。アクティブな保護で実行するルールについては、保護パック (ウェブ ACL) ルールグループ設定でカウントモードを無効にして、設定されたアクションを実行できるようにします。これらの設定を確定したら、本番環境用に作成したカスタムルールを保持しながら、一時的なテストラベル一致ルールを削除します。DDoS 対策設定に関するその他の考慮事項については、「[でのインテリジェントな脅威軽減のベストプラクティス AWS WAF](waf-managed-protections-best-practices.md)」を参照してください。
1.
**モニタリングおよびチューニング**
ウェブリクエストが希望どおりに処理されていることを確認するには、使用することを希望する DDoS 対策機能を有効にした後、トラフィックを注意深くモニタリングします。ルールグループに対するルールカウントの上書きと独自のルールを使用して、必要に応じて動作を調整します。
# DDoS 対策のベストプラクティス
+ **通常のトラフィック期間中の保護を有効にする** – これにより、保護は攻撃に対応する前にベースライントラフィックパターンを確立できます。攻撃が発生していない場合は保護を追加し、ベースライン確立の時間を確保します。
+ **メトリクスを定期的にモニタリングする** – CloudWatch メトリクスを確認して、トラフィックパターンと保護の有効性を理解します。
+ **重要なアプリケーションにはプロアクティブモードを検討する** – ほとんどのユースケースではリアクティブモードが推奨されますが、既知の脅威に対する継続的な保護を必要とするアプリケーションにはプロアクティブモードの使用を検討してください。
+ **ステージング環境でテストする** – 本番環境で保護を有効にする前に、ステージング環境で設定をテストおよび調整して、正当なトラフィックへの影響を理解します。