ある企業が、インターネットに公開している Web アプリケーションのセキュリティを強化したい。特に、著名な脅威インテリジェンスリストに含まれる悪意のある IP アドレスからのアクセスをブロックしたい。また、特定の国・地域からのアクセスを制限したい。最小限の設定変更で実現できる最も適切なソリューションはどれか。
- A. AWS WAF に IP セットルールで IP ブロックリストを設定し、AWS マネージドルールグループ「Amazon IP reputation list」を有効化する。地理的制限は WAF の Geo Match 条件で設定する。
- B. AWS Network Firewall を VPC の境界に配置し、脅威インテリジェンスフィードに基づくドメインリストとIP リストでトラフィックをフィルタリングする。
- C. EC2 インスタンスのセキュリティグループに悪意のある IP アドレスを手動で追加し、インバウンドルールで拒否する。
- D. Amazon CloudFront で地理的制限(Geo Restriction)を設定し、特定の国からのアクセスを拒否する。悪意ある IP は別途 Lambda@Edge で制御する。
解答と解説を見る
正解: A
AWS WAF の「Amazon IP reputation list」マネージドルールグループは、AWS が管理する最新の脅威インテリジェンス(既知の悪意ある IP アドレス、ボットネット等)を自動的に反映したブロックリストであり、手動管理不要で有効化するだけで使用できる。WAF の Geo Match 条件で国ごとのアクセス制限も設定できる。ALB や CloudFront に WAF をアタッチするだけで適用でき、設定変更が最小限である。選択肢Cはセキュリティグループへの手動追加で、脅威インテリジェンスの更新に追随できず管理コストが非常に高い。選択肢DはCloudFront の地理的制限と Lambda@Edge の組み合わせで、Lambda@Edge のカスタム実装が必要となり設定変更が最小限にならない。選択肢BのNetwork Firewall は有効なソリューションだが、VPC 境界への配置とフィルタリングルールの構成に大きな設定変更が必要で、WAF より運用コストが高い。
📚 関連サービスの解説: AWS WAF