ある企業が AWS WAF を ALB の前段に設置してウェブアプリケーションを保護していますが、セキュリティチームから「WAF のルールが実際にどのようなトラフィックをブロックしているか把握できておらず、誤検知(正当なトラフィックのブロック)が疑われる」との報告があります。また、新しいルールのテストを本番に影響なく実施したいと考えています。最も適切な改善策はどれですか?
- A. WAF のロギングを有効化して、Kinesis Data Firehose 経由でログを S3 に保存する。Athena と QuickSight で WAF ログを分析してブロックされたリクエストのパターンを把握する。新しいルールや変更は「カウントモード」(Count モード)でまずテストし、誤検知がないことを確認してから「ブロックモード」に切り替える
- B. WAF ルールをすべて削除し、ALB アクセスログのみで不審なトラフィックを監視する
- C. WAF のすべてのルールを一時的に無効化し、正当なトラフィックが通過することを確認してから再度有効化する
- D. AWS Shield Advanced に移行して高度な DDoS 保護と詳細な可視性を確保する
解答と解説を見る
正解: A
WAF ロギングの有効化により、ブロックされた/許可されたリクエストの詳細(IP、URI、マッチしたルール等)を完全に把握できます。Athena + QuickSight でのログ分析でパターンの可視化が可能です。新ルールのカウントモードテストは本番トラフィックに影響なく誤検知率を測定し、安全確認後にブロックモードに切り替えることで段階的な展開が実現できます。 C: WAF ルールの一時無効化は本番セキュリティの空白期間を作り、攻撃に対して無防備になります。 D: Shield Advanced はDDoS 保護の強化に有効ですが、WAF の誤検知問題や可視性の改善には直接対応しません。WAF ロギングは Shield Advanced なしでも設定できます。 B: WAF ルールの全削除は論外であり、アプリケーションを攻撃に対して完全に無防備にします。
📚 関連サービスの解説: Amazon Kinesis ・ Amazon S3