AWS・1分で読める
AWS WAF マネージドルール運用: COUNT モードから本番適用まで
AWS WAF のマネージドルールを安全に導入するために、COUNT モードでの評価手順と WCU(Web ACL Capacity)管理の考え方を整理します。
#aws#waf#security#managed rules#count mode
AWS WAF マネージドルール運用: COUNT モードから本番適用まで
WAF ルールは、いきなり BLOCK で入れると誤検知の影響が大きくなります。 まずは COUNT で観測し、段階的に適用する運用が安全です。
この記事の結論
COUNT で観測 → 誤検知評価 → BLOCK 昇格 の順で進めるのが最も安全です。 あわせて 1500 WCU の容量を常に意識して、コストと防御のバランスを取ります。
導入方針(実務向け)
- AWS 公式/ベンダー提供のマネージドルールを候補化
- まず COUNT で投入してログ観測
- 誤検知と検知精度を評価
- 本番で必須のものを BLOCK に昇格
- COUNT で有効なものだけ残す
WCU(Web ACL Capacity)を必ず確認
- Web ACL の上限は
1500 WCU - 超過すると追加料金が発生するため、ルール追加前に容量見積もりが必要
代表的な AWS Managed Rules の WCU 例
| ルールグループ | WCU |
|---|---|
| Core Rule Set | 700 |
| Known Bad Inputs | 200 |
| SQL Database | 240 |
| Linux OS | 200 |
| Windows OS | 200 |
| Admin Protection | 100 |
| PHP Application | 100 |
| Anonymous IP List | 50 |
| Amazon IP Reputation | 25 |
ルール評価の見方
- COUNT 期間中のヒット件数
- URI/ヘッダー/User-Agent の偏り
- 正常トラフィックへの影響
ヒット数が多いだけでは即 BLOCK にせず、誤検知率を見て判断します。
段階リリースのすすめ
- まず高リスク API のみ適用
- 問題なければ全パスへ展開
- BLOCK 昇格は営業時間外に行う
まとめ
WAF は「導入したか」より「観測して調整できているか」が重要です。 COUNT モードと WCU 管理を前提にすると、事故を抑えながら防御強化できます。