• Home
• コーポレートブログ
• My Subversionのリニューアルに伴い、AWS WAFを使用しました

原田です。今回は先日2023年11月15日にサービスを新システムに一新した 当社サービスMy Subversion（Subversionリポジトリおよびwebベースのリポジトリブラウザを利用できるサービスです）で使用しているAWS WAFについてご紹介します。

新システムに関する記事は「Subversionのホスティングサービス「My Subversion」を新システムに切り替えた」で紹介しています。

WAFとは

WAF（Webアプリケーションファイアウォール）はWebアプリケーションを保護するため、不正な通信（HTTPトラフィック）を監視・フィルタリング・ブロックするセキュリティ対策の1つです。AWS、Azure、GCP等のクラウドベンダーがWAFを提供しています。弊社ではAWSを使用してお客様にサービスを提供していますので、WAFもAWSのものを使用することになります。

AWS WAFの良いところ

AWS WAF（以降、WAFと略します）を使用して良かった（個人的に気に入った）点を挙げます。

保護できるリソースが限定されている

Webアプリケーションファイアウォールなので当然ですが、WAFは外部（インターネット）からのリクエストを受信するリソースに対して設置できます。（参考）

ルールが用意されている

WAFには、あらかじめルールやルールグループ（ルールセット）がAWSマネージドルールとして用意されています。

• ルールの有効（Allow）・無効（Block）・リクエスト数のカウント等の調整が可能です。（参考）
• SubversionではPROPFINDを使用する必要があるため、ルールを調整しました。（参考）

ルールが作成できる

マネージドルールで不正なリクエストをブロックできない時は、ルールを作成して対応することも可能です。（参考）

• My Subversionではブルートフォースアタック（総当り攻撃）の対策に、ルール（レートベース）を作成しました。（参考）

ログをAthenaで分析できる

WAFのログ（JSONデータ）はAmazon S3のバケットに保存しています。このログデータの構成は複雑で、そのままテキストエディターで読もうとすると分析に時間がかかってしまいます。弊社社内のAWSに詳しい方からWAFログをAmazon Athenaに取り込むことで分析が容易になると教えていただきました。（参考1, 参考2）

実際にAthenaを使用して本当に助かっています。

• WAFログをAthenaで分析し、
• WAFルールの見直しを繰り返した結果、
• リニューアル後1か月経ちましたが、最近は不正リクエストのブロック数が必要最小限に収まっています。

WAFの重要性に気付かされました

当初、私はWAFってAWSのおまけ的な機能じゃないの？と思っていました。しかし実際にWAFを使用すると、不正なリクエストを片っ端からブロックしてくれます。WAFに許可されたリクエストのみが（上記の設置イメージでは）ALB配下のリソース（Fargate）に送られるため、Fargateでは不正リクエストを気にすることなく本当に必要な処理を行えばよいので運用も楽になります。他のAWSリソースに比べて目立たない存在ですけど、私はこの控え目なWAFが好きです。

【スタッフ募集中】
弊社ではAWSを活用したソリューションの企画・設計・構築・運用や、Ruby on Rails・JavaScriptフレームワークなどを使用したアプリケーション開発を行うスタッフを募集しています。採用情報の詳細
弊社での勤務に関心をお持ちの方は、知り合いの弊社社員・関係者を通じてご連絡ください。

---