AWS WAFコンソールが大幅アップデート！新UIの変更点と実践的な使い方を徹底解説

1. 新コンソールのココが変わった！主要アップデート5選

以下にそれぞれの変更点と内容をお伝えいたします。

1-1. 直感的で分かりやすい！刷新されたUIとダッシュボード

変更点：

• ビジュアル要素が増え、モダンになったデザイン。
• セキュリティの状態が一目でわかる新しいダッシュボード

専門家でなくても現在の保護状況やそれぞれの項目ごとの設定内容を直感的に把握できるようになりました。

ダッシュボードについては次項「1-5. モニタリング機能の強化」でもう少しご紹介します。

1-2. もう迷わない！「保護パック（Protection Pack）」による設定の簡素化

変更点：

• 従来のWeb ACLという名称から「保護パック」へ
• 「アプリカテゴリごとの自動ルール選択」や「推奨保護」といったテンプレートが追加

内部的にはこれまで通り『Web ACL』として扱われますが、コンソール上ではより役割が分かりやすい『保護パック』という新しい概念で設定を進めていくことになります。

左メニューを確認すると各種設定項目が表示されていましたが、「リソースと保護パック」と「アドオン保護」の2つだけの表示となりとてもシンプルになりました。

設定に関しては用途を選ぶだけで、AWSが推奨する基本的なルールセット（例：DDoS対策、一般的な脆弱性対策）が自動で適用され、設定の手間が大幅に削減できます。「一旦WAFを適用した状態」まで短時間で実現できるようになりました。

保護パック設定の詳細内容、設定変更・調整は次項「2. 実践！新しいコンソールでWeb ACL（保護パック）を作成してみよう（チュートリアル）」でご紹介いたします。

1-3. マネージドルールの管理が容易に

変更点：

• AWS Managed Rulesやサードパーティ製ルール（アドオン保護）の追加・管理画面の改善
• 各ルールセットの役割や保護対象が分かりやすく表示されるようになった

Bot対策やアカウント乗っ取り防止（ATP）といった高度な保護機能も数クリックで簡単に設定され、追加設定もスムーズに実施できそうです。以下画面は数クリックで保護パックとそれに紐づくルールが作成された状態です。

ルールの設定変更や順序の変更、追加の設定もこちらの画面から行うことができます。

1-4. サンプルリクエストの分析機能の強化

変更点：

• リクエストのサンプリング表示がより詳細にわかりやすく改善

作成した保護パックメニューのサンプルリクエストより確認ができます。

どのルールによってブロックされたのか、リクエストのどの部分が一致したのかが追いやすくなりました。誤検知の調査や、新たな脅威の分析がコンソール上で迅速に行えそうですね。

NTT東日本ではAWSの導入・移行・運用の支援を行っております。詳しくはこちらからお問い合わせください。

1-5. モニタリング機能の強化

変更点：

• 保護パックごとに統合されたモダンで見やすいダッシュボードが利用可能
• 脅威の検出状況やルールのパフォーマンス分析、改善提案がひとつの画面で確認できるようになった

作成した保護パックの『ダッシュボードを表示』から表示可能です。

サンキーダイアグラムでルールごとのアクティビティも視覚化されているため分析に役立ちそうです。

サンキーダイアグラムでは、リクエストがどのルールから評価され、最終的に許可（Allow）またはブロック（Block）されたのか、その流れと内訳を視覚的に追跡できます。

2. 実践！新しいコンソールでWeb ACL（保護パック）を作成してみよう（チュートリアル）

こちらでは具体的なシナリオに沿って保護パックを作成とその手順について解説してみたいと思います。

• シナリオ： ALB（Application Load Balancer）で公開している一般的なWebサイトを保護する。

2-1. Step 1：保護パックの新規作成&「推奨保護」で基本的なルールを自動適用

「保護パックを作成」ボタンから開始。

アプリカテゴリを選択します。

保護したいリソースが存在するリージョンを選択し、『リソースを追加』から対象リソース（今回はALB）を指定します。

保護対象リソースを選択。今回はALBを指定。

保護パックのテンプレートを選択します。今回は『推奨保護』を選択します。こちらは真ん中にある『重要ルール』に加えて、GET リクエストのレート制限、POST、PUT、DELETE リクエストのレート制限、Amazon IP レピュテーションリスト、匿名 IP リスト保護、マネージド IP DDoS 保護、Bot Control 保護といった設定が追加されます。

推定コストも下に表示されますので参考にしていただければと思います。今回の設定の場合は1カ月あたりのリクエスト数が1,000万件ある場合の1カ月の推定コストは$57-$58 となるようです。

名前をつけて、保護パックを作成します。

これだけで主要なAWSManagedRulesCommonRuleSetなどのマネージドルールが追加されます！

2-2. Step 2：設定された内容の確認

まずは作成された保護パックの内容を確認します。作成した保護パックの枠の真ん中あたりにあるルールの「表示および編集」をクリックします。

右側に設定項目が開きます。10/17 ルールがアクティブで、カウントモードで7つのルールが実行されていることが確認できます。こちらの画面上でルール個別の設定内容の確認・変更、順序編集、ルール追加が可能です。

以下は旧コンソールに切り替えた際の状況となります。Web ACLsには作成した保護パック名でWeb ACLsが作成されています。

そのRulesを確認すると、保護パックで作成された17個のルールが存在することも確認できます。

2-3. Step 3：ルールのカスタマイズ（IPアドレス制限）

IPアドレス制限を実施するために作成する必要がある空のリストなど、今まで毎回0から作成していた内容がすぐに設定・使い始められるような状態まですでに設定されています。

今回は特定のIPアドレスをブロックするルールを追加する手順を解説いたします。IP Setsを紐づけたIPv4&IPv6の許可・拒否用のルールがそれぞれ4つ作成されていますので、そのなかで「[保護パック名]_IPV4_Block」の項目をクリックします。

（保護パック作成時に選択した推奨設定は重要ルールも含まれているため、その中にある「IP許可リスト Allow」と「IPブロックリスト Block」のIPv4用とIPv6用の空のリストがそれぞれ作成されてきます）

ルール設定としては送信元のIPをステートメント「[保護パック名]_IPV4_Block」のIP Setsで Block（アクション） する設定であることが確認できますので、IP Sets 「[保護パック名]_IPV4_Block」にBlock するIPアドレスを設定していきます。

設定箇所はリソースと保護パック画面に戻り、真ん中の画面の保護パック > セットとグループを管理 > IP セットを管理から設定を行います。

IP アドレスを CIDR 形式で、カンマまたは改行で区切って入力し保存します。

該当のIPアドレスを使用する端末からの通信がブロックされることを確認します。

3. 旧コンソールからの移行時の注意点

以下に3点程旧コンソールからの移行時の注意点を補足します。

3-1. CloudFront用のWeb ACLはどこで設定するか？

新コンソールではバージニア北部（us-east-1）リージョンでCloudFrontの設定メニューが表示・設定できます。

3-2. APIやCLIの変更点

コンソールの裏側で動いているAPIはWAFv2がベースとなります。

スクリプトなどで操作している場合は注意ください。

（参考）更新されたコンソールエクスペリエンスの使用

3-3. 新しいコンソールに変更後の既存のWeb ACLについては？

既存のWeb ACLも新しいコンソールから問題なく管理できるためご安心ください。

NTT東日本ではAWSの導入・移行・運用の支援を行っております。詳しくはこちらからお問い合わせください。

4. まとめ

新コンソールを利用することで情報セキュリティ設定のハードルが下がり、より多くの人がAWS WAFの恩恵を受けやすくなりました。また、直感的なUIと自動設定により、設定・運用の工数が大幅に削減されることも期待されます。

まずはぜひ新しいコンソールを実際に触って使ってみていただき、どのような設定がされるかをご確認いただければと思います。そのうえで、対象のシステム要件に基づいた設定の調整・チューニングを実施いただければと思います。

NTT東日本ではAWSの導入・移行・運用の支援を行っております。詳しくはこちらからお問い合わせください。