WAF のトラブルシューティングと聞くと、骨の折れる作業を想像されるかもしれません。
果てしないログ分析に、条件の内容や評価順を意識しながら行うルール設定。
実際の運用では、調査と調整に多くの時間と手間がかかりがちです。
今回、AWS WAF の新コンソールと Amazon Q を組み合わせて使うことで、これまで時間のかかっていたログ分析からルール改善までの一連の作業を、非常にスムーズに進められることを体験しました。
本記事では、そのハンズオンでの体験内容を共有します。
1. 元ネタ
AWS re:Invent 2025 で参加した Builder's session です。
Hands-on AWS WAF: Troubleshooting attack scenarios (NET301)
セッション説明 (原文)
Suspicious of an activity spike? Seeing odd traffic patterns? Introduced a new AWS WAF rule and want to make sure it is operating as it should? Join this session for a walkthrough of a day in the life of a security engineer operating AWS WAF, reviewing dashboards, exploring data in the logs, and building new dashboard widgets to make your life easier. You must bring your laptop to participate.
セッション説明 (日本語訳)
不審なアクティビティの急増を疑っていますか?異常なトラフィックパターンを確認していますか?新しいAWS WAFルールを導入し、正常に動作しているか確認したいですか?本セッションでは、AWS WAFを運用するセキュリティエンジニアの日常を解説します。ダッシュボードの確認、ログデータの分析、作業効率化のための新規ダッシュボードウィジェット構築を実践します。参加にはノートパソコンの持参が必須です。
2. WAF の機能
WAF (Web Application Firewall) は HTTP リクエストを評価、必要に応じて遮断し、背後のアプリケーションを守るサービスです。
典型的な構成例では、CloudFront へのリクエストを WAF で評価し、怪しいボットからのアクセスを防ぎます。
AWS WAF ではきめ細かいルール設定やログ出力ができる他、ボット対策やアカウント乗っ取り防止などお任せ (マネージド) で防御する機能も利用可能です。
3. WAF 新コンソールと Amazon Q を体験
実際のハンズオンでは、
「怪しい通信の発見 → ログ分析 → ルール改善」
という WAF 運用で頻出する一連の流れを体験しました。
ここでは、その中でも特に印象に残った
- 新コンソールによるルール作成のしやすさ
- Amazon Q を活用したログ分析の効率化
について紹介します。
新コンソールでのカスタムルール作成
まず、怪しい HTTP メソッドを遮断するカスタムルールを作成しました。
CloudWatch Logs を有効にしている環境では、WAF コンソール上の Top insights からリクエストの傾向を簡単に確認できます。
ここで、大量の DELETE メソッドのリクエストが発生していることを発見しました。
新コンソールでは「保護パック」という単位でルールを管理します。
これは従来の Web ACL に相当する概念ですが、ルールの作成から適用までを一つの流れとして扱える点が特徴です。
画面内のガイドに従って操作するだけで、ページ遷移をほとんど行わずにルールを追加できるため、設定時の迷いが大きく減った印象を受けました。
旧コンソールとずいぶん見た目が変わりましたね。
今回は、HTTP メソッドが HEAD / GET / POST / OPTIONS 以外の場合は Block するというカスタムルールを作成しました。
これで DELETE メソッドのリクエストを遮断できます。
旧コンソールと比べて、「何をしたいか」から逆算して設定できる UI に進化していると感じました。
Amazon Q の分析サポート
次に、CloudWatch Logs を使ったログ分析と、それをもとにしたレートベースルールの検討を行いました。
CloudWatch には Logs Insights という、ログをクエリで集計して分析できる機能があります。
非常に強力な分析機能ですが、クエリに慣れていないと
「何をどう書けばいいのか分からない」
という壁にぶつかりがちです。
そこで Amazon Q の出番です。
CloudWatch コンソール右上のアイコンから Amazon Q を起動し、Logs Insights で実行したい分析内容をそのまま自然言語で伝えます。
「WAF のログを使って、任意の 5 分間でリクエスト数が最も多かったクライアント IP を上位 10 件表示する CloudWatch Logs Insights のクエリを作成してください。対象期間はコンソールで既に選択されているものを使用してください。」
すると条件に合ったクエリをすぐに生成してくれます。
生成されたクエリをそのまま貼り付けて実行するだけで、5 分間単位での IP 別アクセス数ランキングを簡単に確認できました。
ワークショップではこの結果をもとに、特定 IP による大量アクセスを想定したレートベースルールを設定しました。
S3 にログを出力し、Athena 用にログを整形・パーティション設計する手間を考えると、CloudWatch Logs Insights と Amazon Q の組み合わせは圧倒的に手軽でスピーディな分析方法だと感じました。
クエリを書くこと自体よりも、「どんな切り口で分析するか」を考えることに集中できるのが印象的でした。
新コンソールでの誤検知対応
さらに、Overview や Log explorer を確認する中で XSS マネージドルールによる誤検知があり、その修正作業を行いました。
誤検知した対象のルールを Count モードに変更します。
Count の XSS のルールでも、特定のパス以外は Block するルールを追加することで、誤検知を抑えつつ防御レベルを維持する設定にしました。
CloudWatch ダッシュボード設定
主題からは逸れますが、今回のワークショップではリクエスト状況や分析結果を CloudWatch ダッシュボードで確認する流れも体験しました。
WAF のメトリクスや Logs Insights の結果を可視化しておくことで、日常的な監視や異常検知に役立ちます。
今回は詳細には触れませんが、分析 → 可視化 → 改善 の流れが AWS ネイティブでサポートされている点が印象的でした。
まとめ
AWS WAF の新コンソールと Amazon Q を組み合わせることで、WAF の分析やルール調整がこれまで以上に気軽なものになってきたと感じます。
特に Amazon Q によるログ分析支援は、セキュリティエンジニアの日常作業を大きく効率化してくれそうです。
今後、セキュリティにおける生成 AI の活用はさらに広がっていきそうですね。
今日も小さな学びを。
AWS re:Invent 2025 のまとめ記事はこちら