AWS WAF Bot Control のコンポーネント - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS WAF Bot Control のコンポーネント

Bot Control の実装の主なコンポーネントは次のとおりです。

  • AWSManagedRulesBotControlRuleSet – さまざまなカテゴリのボットを検出して処理するルールを持つ Bot Control マネージドルールグループ。このルールグループは、ボットトラフィックとして検出されたウェブリクエストにラベルを追加します。

    注記

    このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、AWS WAF の料金を参照してください。

    Bot Control マネージドルールグループには、次の 2 レベルの保護から選択できます。

    • 共通 – ウェブスクレイピングフレームワーク、検索エンジン、自動ブラウザなど、さまざまな自己識別ボットを検出します。このレベルの Bot Control 保護は、静的リクエストデータ分析など、従来のボット検出技術を使用して一般的なボットを識別します。ルールはこれらのボットからのトラフィックにラベルを付け、検証できないものはブロックします。

    • ターゲットを絞った – 一般的な保護機能に加え、自己識別を行わない高度なボットに対するターゲットを絞った検出機能も追加されています。ターゲットを絞った保護は、レート制限と CAPTCHA およびバックグラウンドブラウザのチャレンジの組み合わせを使用してボットアクティビティを軽減します。

      • TGT_ – ターゲットを絞った保護を提供するルールには、TGT_ で始まる名前が付いています。すべてのターゲットを絞った保護では、ブラウザ調査、フィンガープリント、行動ヒューリスティックなどの検出技術を使用して不正なボットトラフィックを識別します。

      • TGT_ML_ – 機械学習を使用するターゲットを絞った保護のルールには、TGT_ML_ で始まる名前が付いています。これらのルールは、ウェブサイトのトラフィック統計を機械学習で自動的に分析し、分散または協調ボットのアクティビティを示す異常な動作を検出します。AWS WAF は、タイムスタンプ、ブラウザの特性、以前にアクセスした URL など、ウェブサイトのトラフィックに関する統計を分析し、Bot Control の機械学習モデルを改善します。機械学習機能はデフォルトで有効になっていますが、ルールグループ設定で無効にすることができます。機械学習が無効になっている場合、AWS WAF はこれらのルールを評価しません。

    ルールグループルールに関する情報を含む詳細については、「AWS WAF Bot Control ルールグループ」を参照してください。

    マネージドルールグループ参照ステートメントを使用して、このルールグループを保護パック (ウェブ ACL) に含め、使用する検査レベルを指定します。ターゲットレベルでは、機械学習を有効にするかどうかも指定します。このマネージドルールグループを保護パック (ウェブ ACL) に追加する方法については、「AWS WAF Bot Control マネージドルールグループをウェブ ACL に追加」を参照してください。

  • [Bot Control dashboard] (Bot Control ダッシュボード) – 保護パック (ウェブ ACL) のボットモニタリングダッシュボード。保護パック (ウェブ ACL) Bot Control のタブから利用できます。トラフィックをモニタリングし、さまざまなタイプのボットからのトラフィックの量を理解するために、このダッシュボードを使用します。これは、このトピックで説明するように、ボット管理をカスタマイズするための開始点とすることができます。また、これを使用して、変更を検証し、さまざまなボットやボットカテゴリのアクティビティをモニタリングすることもできます。

  • JavaScript およびモバイルアプリケーション統合 SDK — Bot Control ルールグループのターゲットを絞った保護レベルを使用する場合、AWS WAF JavaScript およびモバイル SDK を実装する必要があります。ターゲットルールは、クライアントトークン内で SDK から提供された情報を使用し、悪意のあるボットに対する検出を強化します。SDK の詳細については、「AWS WAF でのクライアントアプリケーション統合」を参照してください。

  • ログ記録とメトリクス – ボットトラフィックをモニタリングし、保護パック (ウェブ ACL) の AWS WAF ログ、Amazon Security Lake と Amazon CloudWatch を利用することで、Bot Control マネージドルールグループがトラフィックをどのように評価および処理するかを理解できます。Bot Control がウェブリクエストに追加するラベルは、そのデータに含まれています。これらのオプションの詳細については、ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィックAmazon CloudWatch によるモニタリング、及び「What is Amazon Security Lake?」を参照してください。

    ニーズと確認できるトラフィックに応じて、Bot Control の実装をカスタマイズできます。最も一般的に使用されるオプションの一部は次のとおりです。

  • スコープダウンステートメント – Bot Control マネージドルールグループの参照ステートメント内にスコープダウンステートメントを追加することにより、Bot Control マネージドルールグループが評価するウェブリクエストからの一部トラフィックを除外できます。スコープダウンステートメントは、ネスト可能なルールステートメントとすることができます。リクエストがスコープダウンステートメントと一致しないとき、AWS WAF はリクエストをルールグループと照合して評価せず、ルールグループの参照ステートメントに一致しないと評価します。スコープダウンステートメントの詳細については、「AWS WAF でのスコープダウンステートメントの使用」を参照してください。

    Bot Control マネージドルールグループを使用するためのコストは、AWS WAF がルールグループを使用して評価するウェブリクエスト数に応じて上がります。スコープダウンステートメントを使用してルールグループが評価するリクエストを制限することで、これらのコストを削減できます。たとえば、ボットを含むすべてのユーザーにホームページのロードを許可し、その後にアプリケーション API に送信されるリクエスト、あるいは特定のタイプのコンテンツを含むリクエストにルールグループのルールを適用できます。

  • ラベルおよびラベル一致ルール — AWS WAF ラベル一致ルールステートメントを使用し、Bot Control のルールグループが識別する一部のボットトラフィックを処理する方法をカスタマイズできます。Bot Control ルールグループは、ウェブリクエストにラベルを追加します。Bot Control ラベルと一致する Bot Control ルールグループの後にラベル一致ルールを追加し、必要な処理を適用できます。ラベル付けおよびラベル一致ステートメントの使用の詳細については、「ラベル一致ルールステートメント」および「AWS WAF でのウェブリクエストのラベル付け」を参照してください。

  • カスタムリクエストとレスポンス – 許可するリクエストにカスタムヘッダーを追加したり、ラベル一致を AWS WAF カスタムリクエストおよび応答機能と組み合わせることで、ブロックしたリクエストについてカスタムレスポンスを送信したりできます。リクエストとレスポンスをカスタマイズする方法については、「AWS WAF のカスタマイズされたウェブリクエストとレスポンス」を参照してください。