改めてAWS WAFを振り返る ～業務で使うためのポイント～ 2025.07.06（日） モブエンジニア（@mob_engineer） JAWSミートの翌日LT大会 豊橋スペシャル 1 

LTのねらい・対象者 •LTのねらい • WAFとは何かをざっくりと知ってもらう • AWS WAFでできることを知ってもらう • 業務で活用するときのポイントを知ってもらう •対象者 • WAFについてキャッチアップを行っている方 • AWS WAFのアップデート情報を知りたい方 JAWSミートの翌日LT大会 豊橋スペシャル 2 

お話しすること・お話ししないこと •お話しすること • WAFに関する説明 • AWS WAFに関する解説 • 業務で利用するためのポイント •お話ししないこと • 他セキュリティサービス（SaaS含む）との比較 • その他ユースケース JAWSミートの翌日LT大会 豊橋スペシャル 3 

$WHOAMI • ペンネーム:モブエンジニア • 職業:某ソフトハウスのインフラエンジニア • 好きなサービス:VPC、CloudFront、S3 • JAWS-UG 彩の国埼玉支部 運営 プロファイル JAWSミートの翌日LT大会 豊橋スペシャル 4 

宣伝させてください!!<(_ _)> JAWSミートの翌日LT大会 豊橋スペシャル 5 • 2025/07/09（水）にJAWS-UG千葉支部×彩の埼 玉支部でコラボイベントを開催します!! connpassページ 現地開催は 7/7（月） 23:59〆切で す!! 

登壇モチベーション •AWS WAFのアップデートが熱い •AWS WAFについてきちんと理解 していなかったためキャッチアップし たい!! JAWSミートの翌日LT大会 豊橋スペシャル 6 

お品書き •WAFとは何か? •AWS WAFでできること •直近のアップデート •業務で使うためのポイント •まとめ JAWSミートの翌日LT大会 豊橋スペシャル 7 

WAFとは何か? JAWSミートの翌日LT大会 豊橋スペシャル 8 

WAFとは? https://aws.amazon.com/jp/waf/what-is-waf/ JAWSミートの翌日LT大会 豊橋スペシャル 9 

利用するメリット・懸念点 • 利用するメリット • アプリケーションレベルでのセキュリティ対策が実現できる • DDoS攻撃、SQLインジェクション攻撃にも対応できる • ログを収集できるため、攻撃パターンを分析できる • マネージドサービスのためファームアップ対応を考えなくていい • 懸念点 • 正常なアクセスをブロックしてしまう場合もある • ルール設定を正しく行わないと、予期せぬ通信断が発生する • 適切な設定を行うためには、高度が設定が必要 JAWSミートの翌日LT大会 豊橋スペシャル 10 

わかりやすくざっくり言えば・・ •Webアプリケーションの門番 JAWSミートの翌日LT大会 豊橋スペシャル 11 

AWS WAFとは? JAWSミートの翌日LT大会 豊橋スペシャル 12 

AWS WAFについて https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/waf-chapter.html JAWSミートの翌日LT大会 豊橋スペシャル 13 

補足）CloudFrontで設定する場合 • CloudFrontで設定する場合、AWS WAFからリソース の紐づけ処理を行えません。 JAWSミートの翌日LT大会 豊橋スペシャル 14 

料金について JAWSミートの翌日LT大会 豊橋スペシャル 15 

直近のアップデート JAWSミートの翌日LT大会 豊橋スペシャル 16 

直近のアップデート JAWSミートの翌日LT大会 豊橋スペシャル 17 

特にキニナルアップデート2選（１） https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-waf-automatic- application-layer-ddos-protection/ 作成時にあらかじめDDoS 攻撃用ルールが設定される JAWSミートの翌日LT大会 豊橋スペシャル 18 

特にキニナルアップデート2選 https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-waf-web- application-security-configuration-steps-expert-level-protection/ JAWSミートの翌日LT大会 豊橋スペシャル 19 

新しい設定画面 JAWSミートの翌日LT大会 豊橋スペシャル 20 

業務で使うためのポイント JAWSミートの翌日LT大会 豊橋スペシャル 21 

業務で使うためのポイント • 料金自体、月額5ドル＋αのため、「利用する/しない」を検討し た方がよい（場合によっては別サービスの利用も・・・） • （例）閉域ネットワークのみでの利用を想定: 利用するメリットは薄い • （例）社外からのアクセスが発生する場合を想定: 利用した方がよい（ほぼ必須） ※検証用でも社外からアクセス可能であれば設定した方がベター ※ゼロトラスト・認証認可を考えると追加サービスの利用も検討 JAWSミートの翌日LT大会 豊橋スペシャル 22 

利用するうえで考慮しないといけないこと • 利用ケースを指定すればあらかじめ定められたルールを自動作 成してくれるが、本当に必要なルールか確認は必要 • 「WAFを作成した状態で放置」ではなく、ダッシュボード上の情 報をもとにルールを修正していくことが大事 • CloudFrontを利用している場合、WAFからリソースの紐づけが できないため、同じWAFルールを設定するのが煩雑 • AWSからもAWS Config用のWAF設定のベストプラクティスが 出ているためそちらを参考にするのが良い JAWSミートの翌日LT大会 豊橋スペシャル 23 

WAF設定のベストプラクティス JAWSミートの翌日LT大会 豊橋スペシャル 24 https://github.com/awslabs/aws-config-rules/blob/master/aws-config- conformance-packs/Security-Best-Practices-for-AWS-WAF.yaml 

まとめ JAWSミートの翌日LT大会 豊橋スペシャル 25 

まとめ •WAFはアプリケーションレベルのセキュリティ対策を行うた めのサービス •AWS WAFはAWSサービスに紐づけることができる WAFサービス •直近のアップデートで初学者でも利用しやすくなったが、 正しく利用するためには定期的に見直しが必要 • 手動で変更するのはつらいので、CloudFormationを活 用して自動化するのも一つの手 JAWSミートの翌日LT大会 豊橋スペシャル 26 

参考サイト • https://speakerdeck.com/y_sakata/aws-waf-top-insightsnituite • https://pages.awscloud.com/rs/112-TZM-766/images/reInvent2023- recap-EDGE-3-Security-services.pdf • https://speakerdeck.com/iret/di-117hui-yun-mian-onrain-shi-ji-noke-ti- karaxue-bu-c1ws-nomemoribu-zu-nojie-xiao-to-aws-waf-noji-ben- c9d3ee95-1a4a-454a-b120-67d1e4c19666 • https://speakerdeck.com/becominn/devio2022-compare-aws-waf-with- other • https://business.ntt-east.co.jp/content/cloudsolution/column-39.html • https://tech.smarthr.jp/entry/2020/11/24/150008 • https://github.com/awslabs/aws-config-rules • https://aws.amazon.com/jp/solutions/implementations/security- automations-for-aws-waf/ JAWSミートの翌日LT大会 豊橋スペシャル 27 

FIN 28 JAWSミートの翌日LT大会 豊橋スペシャル