**の新しいコンソールエクスペリエンスの紹介 AWS WAF** 更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。 翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # でのインテリジェントな脅威軽減のベストプラクティス AWS WAF インテリジェントな脅威の軽減機能の最も効果的でコスト効率性に優れた実装については、このセクションのベストプラクティスに従ってください。 + **JavaScript とモバイルアプリケーション統合 SDK を実装する** – アプリケーション統合を実装して、可能な限り最も効果的な方法で ACFP、ATP、または Bot Control 機能のすべて有効にします。マネージドルールグループは、SDK が提供するトークンを使用して、セッションレベルで正規のクライアントトラフィックを望ましくないトラフィックから分離させます。アプリケーション統合 SDK は、これらのトークンが常に利用可能であることを確実にします。詳細については、以下を参照してください。 + [ACFP でのアプリケーション統合 SDK の使用](waf-acfp-with-tokens.md) + [ATP でアプリケーション統合 SDK を使用](waf-atp-with-tokens.md) + [Bot Control のアプリケーション統合 SDK の使用](waf-bot-with-tokens.md) クライアントにチャレンジを実装したり、JavaScript の場合は CAPTCHA パズルがエンドユーザーに提示される方法をカスタマイズしたりするために、統合を使用します。詳細については、「[でのクライアントアプリケーション統合 AWS WAF](waf-application-integration.md)」を参照してください。 JavaScript API を使用して CAPTCHA パズルをカスタマイズし、保護パック (ウェブ ACL) の任意の場所でCAPTCHAルールアクションを使用する場合は、 のクライアントで AWS WAF CAPTCHA レスポンスを処理するためのガイダンスに従ってください[からの CAPTCHA レスポンスの処理 AWS WAF](waf-js-captcha-api-conditional.md)。このガイダンスは、ACFP マネージドルールグループや Bot Control マネージドルールグループのターゲットを絞った保護レベルなど、CAPTCHA アクションを使用するすべてのルールに適用されます。 + **ACFP、ATP、Bot Control ルールグループに送信するリクエストを制限する** – インテリジェントな脅威軽減 AWS マネージドルールルールグループの使用には追加料金が発生します。ACFP ルールグループは、指定したアカウント登録エンドポイントと作成エンドポイントに対するリクエストを検査します。ATP ルールグループは、指定したログインエンドポイントに対するリクエストを検査します。Bot Control ルールグループは、保護パック (ウェブ ACL) 評価で、到達するすべてのリクエストを検査します。 これらのルールグループの使用を減らすため、以下のアプローチを検討してください。 + マネージドルールグループステートメント内のスコープダウンステートメントを使用して、検査からリクエストを除外します。これは、ネスト可能なステートメントならどれでも実行できます。詳細については、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。 + ルールグループの前にルールを追加することで、検査からリクエストを除外します。スコープダウンステートメントで使用できないルール、およびラベル付けの後にラベルの照合が行われるような複雑な状況については、ルールグループの前に実行されるルールを追加する必要があるかもしれません。詳細については、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」および「[でのルールステートメントの使用 AWS WAF](waf-rule-statements.md)」を参照してください。 + 低料金のルールを実行してからルールグループを実行します。何らかの理由でリクエストをブロックする他の標準 AWS WAF ルールがある場合は、これらの有料ルールグループの前に実行します。ルールとルール管理の詳細については、「[でのルールステートメントの使用 AWS WAF](waf-rule-statements.md)」を参照してください。 + インテリジェントな脅威の軽減のためのマネージドルールグループを複数使用している場合は、Bot Control、ATP、ACFP の順に実行すると、コストを抑えることができます。 料金の詳細については、「[AWS WAF の料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。 + **DDoS 対策ルールグループに送信するリクエストを制限しない** – このルールグループは、明示的に許可していないすべてのウェブトラフィックをモニタリングするように設定する場合に最適です。ウェブ ACL に配置して、Allow ルールアクションを持つルールの後、および他のすべてのルールの前にのみ評価されるようにします。 + **分散型サービス拒否 (DDoS) の保護では、DDoS 対策または Shield Advanced のアプリケーションレイヤー DDoS 自動緩和を使用する** – 他のインテリジェントな脅威の軽減ルールグループは DDoS 保護を提供しません。ACFP は、アプリケーションのサインアップページに対するアカウントの不正な作成の試みから保護します。ATP は、ログインページに対するアカウント乗っ取りの試みを防ぎます。Bot Control は、トークンとクライアントセッションに対する動的なレート制限を使用して、人間のようなアクセスパターンを実施することに重点を置いています。 DDoS 対策を使用すると、DDoS 攻撃をモニタリングおよび制御できるため、脅威に迅速に対応して軽減できます。自動アプリケーションレイヤー DDoS 緩和を備えた Shield Advanced は、ユーザーに代わってカスタム AWS WAF 緩和を作成、評価、デプロイすることで、検出された DDoS 攻撃に自動的に応答します。 Shield Advanced の詳細については、「[AWS Shield Advanced の概要](ddos-advanced-summary.md)」および「[AWS Shield Advanced および を使用したアプリケーションレイヤー (レイヤー 7) の保護 AWS WAF](ddos-app-layer-protections.md)」を参照してください。 分散型サービス拒否 (DDoS) の防止の詳細については、「[DDoS 対策ルールグループ](aws-managed-rule-groups-anti-ddos.md)」および「[分散型サービス拒否 (DDoS) の防止](waf-anti-ddos.md)」を参照してください。 + **通常のウェブトラフィック中に DDoS 対策ルールグループと Bot Control ルールグループのターゲットを絞った保護レベルを有効にする** – これらのルールカテゴリには、通常のトラフィックのベースラインを確立する時間が必要です。 **通常のウェブトラフィック中に Bot Control ルールグループのターゲットを絞った保護レベルを有効にする** – ターゲットを絞った保護レベルのルールの一部では、通常のトラフィックパターンのベースラインを確立してからでないと、不規則なトラフィックパターンや悪意のあるトラフィックパターンに対する認識と対応が行えません。例えば、`TGT_ML_*` ルールのウォームアップには最大 24 時間かかります。 攻撃を受けていないときにこれらの保護を追加し、ルールが適切に対応することを期待する前に、トラフィックパターンのベースラインを確立するための猶予時間を与えます。攻撃中にこれらのルールを追加する場合は、カウントモードで DDoS 対策ルールグループを有効にする必要があります。攻撃が収まった後、ベースラインを確立するまでにかかる時間は通常の 2 倍から 3 倍になります。これは、攻撃トラフィックによって歪みが生じるためです。ルールとルールのウォームアップに必要な時間に関する詳細については、「[ルールの一覧](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)」を参照してください。 + **分散型サービス拒否 (DDoS) からの保護には、Shield Advanced のアプリケーションレイヤー DDoS 自動緩和を使用する** – インテリジェントな脅威の軽減ルールグループは DDoS 保護を提供しません。ACFP は、アプリケーションのサインアップページに対するアカウントの不正な作成の試みから保護します。ATP は、ログインページに対するアカウント乗っ取りの試みを防ぎます。Bot Control は、トークンとクライアントセッションに対する動的なレート制限を使用して、人間のようなアクセスパターンを実施することに重点を置いています。 自動アプリケーションレイヤー DDoS 緩和を有効にして Shield Advanced を使用すると、Shield Advanced はユーザーに代わってカスタム AWS WAF 緩和を作成、評価、デプロイすることで、検出された DDoS 攻撃に自動的に応答します。Shield Advanced の詳細については、「[AWS Shield Advanced の概要](ddos-advanced-summary.md)」および「[AWS Shield Advanced および を使用したアプリケーションレイヤー (レイヤー 7) の保護 AWS WAF](ddos-app-layer-protections.md)」を参照してください。 + **DDoS 対策ルールグループのベースラインを確立するときに本番トラフィック負荷を使用する** – 人工テストトラフィックを使用して他のルールグループをテストするのが一般的です。ただし、DDoS 対策ルールグループのベースラインをテストして確立する場合は、本番環境の負荷を反映するトラフィックフローを使用することをお勧めします。一般的なトラフィックを使用して DDoS 対策ベースラインを確立することは、ルールグループが本番環境で有効になっているときにリソースを保護する最善の方法です。 + **トークン処理を調整および設定する** – 最高のユーザーエクスペリエンスが得られるように、保護パック (ウェブ ACL) のトークン処理を調整します。 + 運用コストを削減し、エンドユーザーエクスペリエンスを改善するには、トークン管理のイミュニティ時間をセキュリティ要件が許容する最大時間に調整します。これにより、CAPTCHA パズルやサイレントチャレンジの使用を最小限に抑えることができます。詳細については、「[でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF](waf-tokens-immunity-times.md)」を参照してください。 + 保護されたアプリケーション間でトークン共有を有効にするには、保護パック (ウェブ ACL) のトークンドメインリストを設定します。詳細については、「[でのトークンドメインとドメインリストの指定 AWS WAF](waf-tokens-domains.md)」を参照してください。 + **任意のホスト仕様を持つリクエストを拒否する** – ウェブリクエストの `Host` ヘッダーがターゲットリソースに一致することを必須とするように保護対象リソースを設定します。ホストについて、1 つの値、または特定の値セット (`myExampleHost.com` および `www.myExampleHost.com` など) を受け入れることはできますが、任意の値は受け入れないでください。 + **CloudFront ディストリビューションのオリジンである Application Load Balancer の場合、適切なトークン処理 AWS WAF のために CloudFront と を設定します** – 保護パック (ウェブ ACL) を Application Load Balancer に関連付け、Application Load Balancer を CloudFront ディストリビューションのオリジンとしてデプロイする場合は、「」を参照してください[CloudFront からの Application Load Balancers に必要な設定](waf-tokens-with-alb-and-cf.md)。 + **デプロイ前にテストして調整する** – 保護パック (ウェブ ACL) に変更を実装する前に、本ガイドのテストおよび調整手順に従って、期待通りの動作が得られることを確認してください。これらの有料機能を使用する場合は特に重要です。一般的なガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。有料マネージドルールグループ固有の情報については、「[ACFP のテストとデプロイ](waf-acfp-deploying.md)」、「[ATP のテストとデプロイ](waf-atp-deploying.md)」、「[AWS WAF Bot Control のテストとデプロイ](waf-bot-control-deploying.md)」を参照してください。