翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ボットを管理するための静的コントロール
<a name="static-controls"></a>

アクションを実行するために、*静的コントロール*は IP アドレスやヘッダーなど、HTTP(S) リクエストからの静的情報を評価します。これらのコントロールは、洗練度の低い悪質なボットアクティビティや、検証および管理が必要な予想される有益なボットトラフィックに役立ちます。静的コントロール手法には、許可リスト、IP ベースのコントロール、組み込みチェックなどがあります。

## 一覧表示を許可する
<a name="allow-listing"></a>

許可リストは、既存のボット緩和コントロールを通じて識別されたフレンドリトラフィックを許可するコントロールです。これを実現するには、さまざまな方法があります。最も簡単なのは、[一連の IP アドレス](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html)または同様の一致条件に一致するルールを使用することです。リクエストがアクションに設定されたルールと一致すると`Allow`、後続のルールでは評価されません。場合によっては、特定のルールのみが実行されるのを防ぐ必要があります。つまり、1 つのルールのリストを許可する必要がありますが、すべてのルールを許可することはできません。これは、ルールの誤検出を処理するための一般的なシナリオです。許可リストは、広範なルールと見なされます。偽陰性の可能性を減らすために、パスやヘッダーの一致など、より詳細な別のオプションと組み合わせることをお勧めします。

## IP ベースのコントロール
<a name="ip-based-controls"></a>

### 単一の IP アドレスブロック
<a name="ip-address-blocks"></a>

ボットの影響を軽減するために一般的に使用されるツールは、単一のリクエスタからのリクエストを制限することです。最も簡単な例は、トラフィックの送信元 IP アドレスのリクエストが悪意のあるものであるか、ボリュームが多い場合、そのトラフィックの送信元 IP アドレスをブロックすることです。これは AWS WAF [、IP セット一致ルール](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-ipset-match.html)を使用して IP ベースのブロックを実装します。これらのルールは IP アドレスに一致し、`Block`、、`Challenge`または のアクションを適用します`CAPTCHA`。IP アドレスからのリクエストが多すぎる場合は、コンテンツ配信ネットワーク (CDN)、ウェブアプリケーションファイアウォール、またはアプリケーションとサービスログを確認することで判断できます。ただし、ほとんどの場合、このコントロールは自動化なしでは実用的ではありません。

での IP アドレスブロックリストの自動化 AWS WAF は、一般的にレートベースのルールで行われます。詳細については、このガイドの「[レートベースのルール](#rate-based-rules)」を参照してください。ソリューション[のセキュリティオートメーション AWS WAF](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/welcome.html)を実装することもできます。このソリューションは、ブロックする IP アドレスのリストを自動的に更新し、 AWS WAF ルールはそれらの IP アドレスに一致するリクエストを拒否します。

ボット攻撃を認識する 1 つの方法は、同じ IP アドレスからの多数のリクエストが少数のウェブページに集中している場合です。これは、ボットが料金スクレイプしているか、高い割合で失敗したログインを繰り返し試行していることを示します。このパターンをすぐに認識するオートメーションを作成できます。自動化により IP アドレスがブロックされるため、攻撃をすばやく特定して軽減することで、攻撃の有効性が低下します。特定の IP アドレスをブロックすることは、攻撃者が攻撃を開始するための大量の IP アドレスのコレクションを持っている場合、または攻撃動作を認識して通常のトラフィックから分離するのが困難な場合、あまり効果的ではありません。 

### IP アドレスの評価
<a name="ip-address-reputation"></a>

*IP 評価サービスは*、IP アドレスの信頼性を評価するのに役立つインテリジェンスを提供します。このインテリジェンスは、通常、その IP アドレスからの過去のアクティビティから IP 関連情報を集約することによって算出されます。以前のアクティビティは、IP アドレスが悪意のあるリクエストを生成する可能性を示すのに役立ちます。データは、IP アドレスの動作を追跡するマネージドリストに追加されます。

匿名 IP アドレスは、IP アドレスの評価の特殊なケースです。ソース IP アドレスは、クラウドベースの仮想マシンなどの簡単に取得できる IP アドレスの既知のソース、または既知の VPN プロバイダーや Tor ノードなどのプロキシから取得されます。 AWS WAF [Amazon IP 評価リスト](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon)と[匿名 IP リスト](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous)マネージドルールグループは、Amazon 内部脅威インテリジェンスを使用して、これらの IP アドレスを識別します。

これらのマネージドリストによって提供されるインテリジェンスは、これらのソースから特定されたアクティビティに対処するのに役立ちます。このインテリジェンスに基づいて、トラフィックを直接ブロックするルールや、リクエストの数を制限するルール (レートベースのルールなど) を作成できます。このインテリジェンスを使用して、 `COUNT` モードでルールを使用してトラフィックのソースを評価することもできます。これにより、一致基準が調べられ、カスタムルールの作成に使用できるラベルが適用されます。

### レートベースのルール
<a name="rate-based-rules"></a>

レートベースのルールは、特定のシナリオにとって貴重なツールです。たとえば、レートベースのルールは、ボットトラフィックが機密性の高いユニフォームリソース識別子 (URIs) のユーザーと比較して大量の に達した場合や、トラフィックボリュームが通常のオペレーションに影響を与え始めた場合に有効です。レート制限は、リクエストを管理可能なレベルで維持し、アクセスを制限および制御できます。 は、レートベースのルールステートメントを使用して、[ウェブアクセスコントロールリスト (ウェブ ACL)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) にレート制限ルールを実装 AWS WAF できます。 [https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html)レートベースのルールを使用する場合に推奨されるアプローチは、サイト全体を対象とする包括的なルール、URI 固有のルール、および IP 評価レートベースのルールを含めることです。IP 評価レートベースのルールは、IP アドレス評価のインテリジェンスとレート制限機能を組み合わせます。

サイト全体について、包括的な IP 評価レートベースのルールは、少数の IPs からサイトを氾濫する、洗練されていないボットを防止する上限を作成します。レート制限は、ログインページやアカウント作成ページなど、コストや影響が大きい URIs を保護する場合に特に推奨されます。

レート制限ルールは、コスト効率の高い第 1 防御層を提供できます。より高度なルールを使用して、機密性の高い URIs を保護できます。URI 固有のレートベースのルールは、重要なページや、データベースアクセスなどのバックエンドに影響する APIs への影響を制限できます。このガイドで後述する特定の URIs を保護するための高度な緩和策では、追加コストが発生することが多く、これらの URI 固有のレートベースのルールはコストの制御に役立ちます。一般的に推奨されるレートベースのルールの詳細については、 AWS セキュリティブログの[「最も重要な 3 つの AWS WAF レートベースのルール](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/)」を参照してください。状況によっては、レートベースのルールによって評価されるリクエストのタイプを制限すると便利です。[スコープダウンステートメント](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html)を使用して、ソース IP アドレスの地理的領域でレートベースのルールを制限できます。

AWS WAF は、[集約キー](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-instances.html)を使用してレートベースのルールの高度な機能を提供します。この機能を使用すると、ソース IP アドレス以外のさまざまな集約キーとキーの組み合わせを使用するようにレートベースのルールを設定できます。たとえば、単一の組み合わせとして、転送された IP アドレス、HTTP メソッド、およびクエリ引数に基づいてリクエストを集約できます。これにより、高度なボリューメトリックトラフィックの軽減のために、よりきめ細かなルールを設定できます。

## 組み込みチェック
<a name="intrinsic-checks"></a>

*組み込みチェック*は、システムまたはプロセス内のさまざまなタイプの内部または固有の検証または検証です。ボット制御の場合、 AWS WAF はリクエストで送信された情報がシステムシグナルと一致することを確認して、組み込みチェックを実行します。たとえば、逆引き DNS ルックアップやその他のシステム検証を実行します。SEO 関連のリクエストなど、一部の自動リクエストが必要です。許可リストは、期待される適切なボットを許可する方法です。ただし、悪意のあるボットが適切なボットをエミュレートすることがあり、それらを分離するのは難しい場合があります。 は、マネージド [AWS WAF Bot Control ルールグループ](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html)を通じてこれを実現する方法 AWS WAF を提供します。このグループのルールは、自己識別ボットが本人であることを検証します。 は、リクエストの詳細をそのボットの既知のパターンと AWS WAF 照合し、逆引き DNS ルックアップやその他の目標検証も実行します。