【大阪開催】 AWS re:Inforce 2025 振り返り勉強会「AWS WAF と Certificate Manager のアップデートを試してみた」

AWS WAF と Certiﬁcate Manager のアップデートを試してみたクラスメソッドクラウド事業本部荒平
祐次 / arap Session 4

荒平祐次 (Arahira Yuji) クラスメソッド株式会社クラウド事業本部コンサルティング部ソリューションアーキテクト - 経歴
◦ SIer (約5年)→クラスメソッド(約2年) - 業務内容 ◦ AWS全般のインテグレーション・お悩み相談 ◦ ブログ執筆 - 趣味 ◦ Twitter (@0Air, @eiraces) ◦ サイクリング、アクアリウム、VTuber鑑賞 ◦ ゲーム (FF14, League of Legends) about me

Amazon Certiﬁcate Manager のアップデート

AWS Certificate Manager introduces public certificates you can use anywhere
（AWS Certificate Managerはどこでも使えるパブリック証明書を導入） ACMの機能で証明書エクスポートが可能に

EC2で⼿軽に終端できるようになりました CloudFront Certiﬁcate Manager Elastic Load Balancing (ALB) Amazon EC2
これまではACMからのエクスポート不可 Amazon ECS

EC2で⼿軽に終端できるようになりました既存にリリースされた証明書のExportは不可

- パブリック証明書の有効期間は 395 日間（13ヶ月） - 自動更新の場合、有効期限の60日前（11ヶ月目）に更新 - 価格 - FQDN
ごとに $15 - ワイルドカード名ごとに $149 ざっくり概要

EC2でのTLS終端記事が出ています

ACM統合サービスで利⽤していない場合は注意

AWS WAF のアップデート

AWS WAF reduces web application security configuration steps and provides
expert-level protection （新しいコンソールエクスペリエンス） AWS WAF が自動アプリケーションレイヤー分散型サービス拒否 (DDoS) 保護のサポートを開始 AWS WAF announces general availability of Resource-level DDoS protection for Application Load Balancers (ALB) （DDoS対応/リソース保護・マネージドルール） AWS WAFに関する直近アップデートは２つ

まずはコンソールを⾒てください

⾒やすく、便利になっています

保護パックの選択 AWS WAF 新コンソールの「保護パック」を新規作成する時に、何をどう選択したら良いのか調べてみた https://dev.classmethod.jp/articles/waf-protection-pack/

AWS WAFによるDDoS保護 by GPT Image 1 ① リソースレベルの DDoS保護・ALBで動作し、デフォルトではDDoS下でアクティブ
に（常時ONも可能）・既知の悪意のあるリソースからレート制限・AMRの料金を気にしなくて良い ② AWS マネージドルールグループ（ AMR）の DDoS保護・「AWSManagedRulesAntiDDoSRuleSet」としてマネージドルールを選択可能・感度を低/中/高で設定可能で、リクエスト毎にラベリング・正規ユーザーのためにチャレンジ設定が可能

リソースレベルのDDoS保護

AWS WAFによるDDoS保護 by GPT Image 1 ① リソースレベルの DDoS保護・ALBで動作し、デフォルトではDDoS下でアクティブ
に（常時ONも可能）・既知の悪意のあるリソースからレート制限・AMRの料金を気にしなくて良い ② AWS マネージドルールグループ（ AMR）の DDoS保護・「AWSManagedRulesAntiDDoSRuleSet」としてマネージドルールを選択可能・感度を低/中/高で設定可能で、リクエスト毎にラベリング・正規ユーザーのためにチャレンジ設定が可能

DDoSのマネージドルール（AMR）

- 毎度のことながら、英語版が優先されています - リソースレベルのDDoS保護はAWS WAF料金に内包 - AMRのDDoS保護は20ドル+0.15ドル/100万req. それぞれの料⾦

- AWS WAFを使ってL7レベルの保護を行っている、または行う予定 - AWS Shield Advanced ($3,000)ほどの規模ではないが、手軽にDDoS対策をしたい -
とりあえずの安心感を得ておきたい → DDoS対策について、一旦何も考えたくない・考える余裕のない事業者の方は一旦入れておくことをオススメ想定利⽤者

【大阪開催】 AWS re:Inforce 2025 振り返り勉強会「AWS WAF と Ce...

【大阪開催】 AWS re:Inforce 2025 振り返り勉強会「AWS WAF と Certificate Manager のアップデートを試してみた」

arap / 0air

More Decks by arap / 0air

Featured

Transcript

AWS WAF と Certiﬁcate Manager のアップデートを試してみたクラスメソッドクラウド事業本部荒平

荒平祐次 (Arahira Yuji) クラスメソッド株式会社クラウド事業本部コンサルティング部ソリューションアーキテクト - 経歴

Amazon Certiﬁcate Manager のアップデート

AWS Certificate Manager introduces public certificates you can use anywhere

EC2で⼿軽に終端できるようになりました CloudFront Certiﬁcate Manager Elastic Load Balancing (ALB) Amazon EC2

EC2で⼿軽に終端できるようになりました既存にリリースされた証明書のExportは不可

- パブリック証明書の有効期間は 395 日間（13ヶ月） - 自動更新の場合、有効期限の60日前（11ヶ月目）に更新 - 価格 - FQDN

EC2でのTLS終端記事が出ています

ACM統合サービスで利⽤していない場合は注意

AWS WAF のアップデート

AWS WAF reduces web application security configuration steps and provides

まずはコンソールを⾒てください

⾒やすく、便利になっています

保護パックの選択 AWS WAF 新コンソールの「保護パック」を新規作成する時に、何をどう選択したら良いのか調べてみた https://dev.classmethod.jp/articles/waf-protection-pack/

AWS WAFによるDDoS保護 by GPT Image 1 ① リソースレベルの DDoS保護・ALBで動作し、デフォルトではDDoS下でアクティブ

リソースレベルのDDoS保護

リソースレベルのDDoS保護

AWS WAFによるDDoS保護 by GPT Image 1 ① リソースレベルの DDoS保護・ALBで動作し、デフォルトではDDoS下でアクティブ

DDoSのマネージドルール（AMR）

- 毎度のことながら、英語版が優先されています - リソースレベルのDDoS保護はAWS WAF料金に内包 - AMRのDDoS保護は20ドル+0.15ドル/100万req. それぞれの料⾦

- AWS WAFを使ってL7レベルの保護を行っている、または行う予定 - AWS Shield Advanced ($3,000)ほどの規模ではないが、手軽にDDoS対策をしたい -