**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS WAF ルールグループ
このセクションでは、ルールグループとは、また、その仕組みについて説明します。
ルールグループは、保護パック (ウェブ ACL) に追加できる再利用可能なルールのセットです。保護パック (ウェブ ACL) の詳細については、「[での保護の設定 AWS WAF](web-acl.md)」を参照してください。
ルールグループは、主に次のカテゴリに分類されます。
+ ユーザー独自のルールグループは、ユーザーが作成して管理します。
+ マネージドルールチームが作成および管理する AWS マネージドルールグループ。
+ AWS Marketplace 販売者が作成および管理するマネージドルールグループ。
+ AWS Firewall Manager や Shield Advanced などの他のサービスによって所有および管理されているルールグループ。
**ルールグループと保護パック (ウェブ ACL) の相違点**
ルールグループと保護パック (ウェブ ACL) には、どちらもルールが含まれています。ルールは、両方の場所で同じ方法で定義されます。ルールグループは、次の点で保護パック (ウェブ ACL) と異なります。
+ ルールグループには、ルールグループ参照ステートメントを含めることはできません。
+ 各保護パック (ウェブ ACL) にルールグループリファレンスステートメントを追加することで、複数の保護パック (ウェブ ACL) で 1 つのルールグループを再利用できます。保護パック (ウェブ ACL) を再利用することはできません。
+ ルールグループにはデフォルトのアクションがありません。保護パック (ウェブ ACL) では、含めるルールまたはルールグループごとにデフォルトのアクションを設定します。ルールグループまたは保護パック (ウェブ ACL) 内の個々のルールには、アクションが定義されています。
+ ルールグループを AWS リソースに直接関連付けることはありません。ルールグループを使用してリソースを保護するには、保護パック (ウェブ ACL) でルールグループを使用します。
+ システムは、保護パック (ウェブ ACL) ごとに最大容量が 5,000 の保護パック (ウェブ ACL) キャパシティユニット (WCU) を定義します。各ルールグループには、作成時に設定する必要がある WCU 設定があります。この設定を使用して、ルールグループを使用して保護パック (ウェブ ACL) に追加される追加の容量要件を計算できます。WCU の詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」を参照してください。
ルールについては、「[AWS WAF ルール](waf-rules.md)」を参照してください。
このセクションでは、独自のルールグループを作成および管理するためのガイダンス、使用できるマネージドルールグループの説明、マネージドルールグループの使用に関するガイダンスを提供します。
**Topics**
+ [でのマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups.md)
+ [独自のルールグループの管理](waf-user-created-rule-groups.md)
+ [AWS Marketplace ルールグループ](marketplace-rule-groups.md)
+ [他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)
# でのマネージドルールグループの使用 AWS WAF
このセクションでは、マネージドルールグループとは何か、そしてその仕組みについて説明します。
マネージドルールグループは、 ready-to-useルールのコレクションです。 AWS AWS Marketplace マネージドルールグループの使用には、基本 AWS WAF 料金が適用されます。 AWS WAF 料金情報については、[AWS WAF 「 ](https://aws.amazon.com/waf/pricing/)料金表」を参照してください。
+ * AWS WAF Bot Control、 AWS WAF Fraud Control アカウント乗っ取り防止 (ATP)、および AWS WAF Fraud Control アカウント作成不正防止 (ACFP) の AWS Managed Rules ルールグループは*、基本料金以外の追加料金で利用できます AWS WAF 。料金の詳細については、「[AWS WAF の料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
+ *他のすべての AWS マネージドルールルールグループは*、追加料金なしで AWS WAF 利用できます。
+ *AWS Marketplace ルールグループは*、 を通じてサブスクリプションで使用できます AWS Marketplace。これらのルールグループはそれぞれ、 AWS Marketplace 販売者によって所有および管理されます。 AWS Marketplace ルールグループを使用するための料金情報については、 AWS Marketplace 販売者にお問い合わせください。
一部のマネージドルールグループは、WordPress、Joomla、PHP などの特定のタイプのウェブアプリケーションを保護するために設計されています。「[OWASP Top 10](https://owasp.org/www-project-top-ten/)」にリストされているものを含め、既知の脅威や一般的なウェブアプリケーションの脆弱性に対する幅広い保護を提供するものもあります。PCI や HIPAA などの規制の遵守が必要な場合は、マネージドルールグループを使用してウェブアプリケーションファイアウォールの要件を満たすことができます。
**自動更新**
絶えず変化する脅威の状況に遅れずについていくには、時間とコストがかかることがあります。マネージドルールグループを使用すると、 AWS WAFを実装して使用する際の時間を節約できます。多くの AWS および AWS Marketplace 販売者は、新しい脆弱性や脅威が発生すると、マネージドルールグループを自動的に更新し、新しいバージョンのルールグループを提供します。
場合によっては、多くのプライベート開示コミュニティへの参加により、 AWS は公開前に新しい脆弱性について通知されます。このような場合、新しい脅威が広く知られる前でも、 は AWS マネージドルールのルールグループを更新してデプロイ AWS できます。
**マネージドルールグループのルールへの制限付きアクセス**
各マネージドルールグループには、どのようなタイプの攻撃や脆弱性に対して保護するように設計されているかが包括的に定義されています。ルールグループプロバイダーの知的財産を保護するために、ルールグループ内の個々のルールのすべての詳細を表示することはできません。この制限は、悪意のあるユーザーが公開されたルールを特に回避する脅威を設計するのを防ぐのにも役立ちます。
**Topics**
+ [でのバージョニングされたマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups-versioning.md)
+ [マネージドルールグループの使用](waf-using-managed-rule-groups.md)
+ [AWS の マネージドルール AWS WAF](aws-managed-rule-groups.md)
# でのバージョニングされたマネージドルールグループの使用 AWS WAF
このセクションでは、マネージドルールグループのバージョニングの処理方法について説明します。
多くのマネージドルールグループプロバイダーはバージョニングを利用して、ルールグループのオプションと機能を更新します。通常、マネージドルールグループの特定のバージョンは静的です。場合によっては、例えば新しいセキュリティの脅威に対応するために、プロバイダーがマネージドルールグループの静的バージョンの一部または全部を更新する必要がある場合があります。
保護パック (ウェブ ACL) でバージョニングされたマネージドルールグループを使用する場合、デフォルトバージョンを選択し、使用する静的バージョンをプロバイダーに管理させるか、特定の静的バージョンを選択できます。
**必要なバージョンが見つかりませんか?**
ルールグループのバージョン一覧にバージョンが表示されない場合は、そのバージョンの有効期限の失効が予定されているか、すでに期限切れになっている可能性があります。バージョンの有効期限がスケジュールされると、 ではルールグループにバージョンを選択 AWS WAF できなくなります。
**AWS マネージドルールルールグループの SNS 通知**
AWS マネージドルールルールグループはすべて、IP 評価ルールグループを除き、バージョニングと SNS 更新の通知を提供します。通知を提供する AWS マネージドルールルールグループは、すべて同じ SNS トピックの Amazon リソースネーム (ARN) を使用します。SNS 通知にサインアップするには、[新しいバージョンとアップデートの通知を受け取る](waf-using-managed-rule-groups-sns-topic.md) を参照してください。
**Topics**
+ [マネージドルールグループのバージョンライフサイクル](waf-managed-rule-groups-versioning-lifecycle.md)
+ [マネージドルールグループのバージョンの有効期限](waf-managed-rule-groups-versioning-expiration.md)
+ [マネージドルールグループのバージョン処理に関するベストプラクティス](waf-managed-rule-groups-best-practice.md)
# マネージドルールグループのバージョンライフサイクル
プロバイダーは、マネージドルールグループの静的バージョンの次のライフサイクルステージを処理します。
+ **リリースとアップデート** – マネージドルールグループのプロバイダーは、Amazon Simple Notification Service (Amazon SNS) トピックに対する通知を通じて、マネージドルールグループの今後のバージョンと新しい静的バージョンを知らせます。また、プロバイダーは、緊急時の必須の更新など、ルールグループに関するその他の重要な情報を伝達するためにトピックを使用する場合もあります。
ルールグループのトピックをサブスクライブし、通知の受信方法を設定できます。詳細については、「[新しいバージョンとアップデートの通知を受け取る](waf-using-managed-rule-groups-sns-topic.md)」を参照してください。
+ **有効期限のスケジュール** – マネージドルールグループのプロバイダーは、古いバージョンのルールグループの有効期限をスケジュールします。失効予定のバージョンは、保護パック (ウェブ ACL) ルールに追加できません。バージョンの有効期限がスケジュールされると、 は Amazon CloudWatch のカウントダウンメトリクスを使用して有効期限 AWS WAF を追跡します。
+ **バージョンの有効期限** – マネージドルールグループの期限切れバージョンを使用するように保護パック (ウェブ ACL) を設定している場合、保護パック (ウェブ ACL) の評価中に、 はルールグループのデフォルトバージョン AWS WAF を使用します。さらに、 は、ルールグループを削除しない、またはそのバージョンを有効期限が切れていないものに変更しない保護パック (ウェブ ACL) の更新を AWS WAF ブロックします。
AWS Marketplace マネージドルールグループを使用する場合は、バージョンライフサイクルに関する追加情報をプロバイダーに依頼してください。
# マネージドルールグループのバージョンの有効期限
このセクションでは、バージョニングされたマネージドルールグループでバージョンの有効期限がどのように機能するかについて説明します。
ルールグループの特定のバージョンを使用する場合は、有効期限切れのバージョンを使用し続けないようにしてください。バージョンの有効期限は、ルールグループの SNS 通知と Amazon CloudWatch メトリクスを通じてモニタリングできます。
保護パック (ウェブ ACL) で使用しているバージョンの有効期限が切れている場合、 は、ルールグループの有効期限が切れていないバージョンへの移行を含まない保護パック (ウェブ ACL) の更新を AWS WAF ブロックします。ルールグループを使用可能なバージョンに更新するか、保護パック (ウェブ ACL) から削除できます。
マネージドルールグループの有効期限の処理は、ルールグループプロバイダーによって異なります。 AWS マネージドルールのルールグループの場合、期限切れになったバージョンはルールグループのデフォルトバージョンに自動的に変更されます。 AWS Marketplace ルールグループについては、プロバイダーに有効期限の処理方法を尋ねます。
プロバイダーは、ルールグループの新しいバージョンを作成するときに、バージョンの予測される有効期間を設定します。このバージョンは有効期限が切れるようにスケジュールされていませんが、Amazon CloudWatch メトリクス値は予測されたライフタイムに設定されており、CloudWatch でメトリクスのフラット値が表示されます。プロバイダーがメトリクスの有効期限をスケジュールすると、メトリクス値は有効期限の到来時にゼロになるまで、毎日減少します。モニタリング有効期限の詳細については、[バージョンの有効期限の追跡](waf-using-managed-rule-groups-expiration.md) を参照してください。
# マネージドルールグループのバージョン処理に関するベストプラクティス
バージョン管理されたマネージドルールグループを使用する場合は、このベストプラクティスのガイダンスに従ってバージョニングを行ってください。
保護パック (ウェブ ACL) でマネージドルールグループを使用する場合は、ルールグループの特定の静的バージョンを使用するか、デフォルトバージョンを使用するように選択できます。
+ **デフォルトバージョン** – AWS WAF 常にデフォルトバージョンをプロバイダーが現在推奨している静的バージョンに設定します。推奨される静的バージョンをプロバイダーが更新すると、 AWS WAF は、保護パック (ウェブ ACL) のルールグループのデフォルトバージョンの設定を自動的に更新します。
マネージドルールグループのデフォルトバージョンを使用する場合は、ベストプラクティスとして次の手順を実行します。
+ **通知をサブスクライブする** – ルールグループへの変更に関する通知をサブスクライブし、それらを監視します。ほとんどのプロバイダーは、新しい静的バージョンとデフォルトバージョンの変更について事前通知を送信します。これにより、 が AWS デフォルトバージョンを切り替える前に、新しい静的バージョンの影響を確認できます。詳細については、「[新しいバージョンとアップデートの通知を受け取る](waf-using-managed-rule-groups-sns-topic.md)」を参照してください。
+ **デフォルトを新しい静的バージョンに設定する前に、その影響を確認し、必要に応じて調整する** – デフォルトを新しい静的バージョンに設定する前に、ウェブリクエストのモニタリングと管理に対する静的バージョンの影響を確認します。新しい静的バージョンには、確認する新しいルールが含まれている可能性があります。ルールグループの使用方法を変更する必要がある場合に備えて、誤検出やその他の予期しない動作を見つけます。例えば、新しい動作の処理方法を把握しながら、トラフィックをブロックしないようにするために、ルールをカウントに設定できます。詳細については、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
+ **静的バージョン** – 静的バージョンを使用する場合は、ルールグループの新しいバージョンを採用する準備ができたら、バージョン設定を手動で更新する必要があります。
マネージドルールグループの静的バージョンを使用する場合は、ベストプラクティスとして次の手順を実行します。
+ **バージョンを最新の状態に保つ** – マネージドルールグループを可能な限り最新バージョンに近いものにします。新しいバージョンがリリースされたら、それをテストし、必要に応じて設定を調整し、適時に実装してください。テストについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
+ **通知をサブスクライブする** – ルールグループに対する変更に関する通知をサブスクライブして、プロバイダーが新しい静的バージョンをいつリリースするかを把握します。ほとんどのプロバイダーは、バージョン変更に関する事前の通知を提供します。さらに、セキュリティホールをふさぐため、またはその他の緊急の理由で、使用している静的バージョンをプロバイダーが更新する必要がある場合があります。プロバイダーの通知をサブスクライブすると、状況について知ることができます。詳細については、「[新しいバージョンとアップデートの通知を受け取る](waf-using-managed-rule-groups-sns-topic.md)」を参照してください。
+ **[Avoid version expiration]** (バージョンの有効期限切れを回避する) - これ使用している間は、静的バージョンの有効期限が切れないようにします。期限切れのバージョンのプロバイダーによる処理はさまざまであり、使用可能なバージョンへのアップグレードの強制や、予期しない結果をもたらす可能性のあるその他の変更が含まれる場合があります。 AWS WAF 有効期限メトリクスを追跡し、サポートされているバージョンに正常にアップグレードするのに十分な日数を提供するアラームを設定します。詳細については、「[バージョンの有効期限の追跡](waf-using-managed-rule-groups-expiration.md)」を参照してください。
# マネージドルールグループの使用
このセクションでは、マネージドルールグループにアクセスして管理するためのガイダンスを提供します。
マネージドルールグループを保護パック (ウェブ ACL) に追加すると、独自のルールグループと同じ設定オプションに加えて、追加設定を選択できます。
コンソールで、保護パック (ウェブ ACL) でルールを追加および編集するプロセス中に、マネージドルールグループの情報にアクセスします。API とコマンドラインインターフェイス (CLI) を通じて、マネージドルールグループの情報を直接リクエストできます。
保護パック (ウェブ ACL) でマネージドルールグループを使用する場合、次の設定を編集できます。
+ **[Version]** (バージョン) – これは、ルールグループがバージョン管理されている場合にのみ使用できます。詳細については、「[でのバージョニングされたマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups-versioning.md)」を参照してください。
+ **ルールアクションのオーバーライド** – ルールグループ内のルールのアクションを任意のアクションにオーバーライドできます。Count に設定すると、ルールグループを使用してウェブリクエストを管理する前に、そのルールグループをテストするときに便利です。詳細については、「[ルールグループのルールアクションの上書き](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules)」を参照してください。
+ **[Scope-down statement]** (スコープダウンステートメント) – スコープダウンステートメントを追加して、ルールグループで評価したくないウェブリクエストを除外できます。詳細については、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。
+ **[Override rule group action]** (ルールグループアクションを上書き) – ルールグループ評価の結果として生じるアクションを上書きして、Count のみに設定できます。このオプションは、一般的に使用されません。がルールグループ内のルール AWS WAF を評価する方法は変更されません。詳細については、「[ルールグループの戻り値アクションを Count に上書き](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group)」を参照してください。
**保護パック (ウェブ ACL) でマネージドルールグループの設定を編集するには**
+ **コンソール**
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加する場合、**[Edit]** (編集) を選択して、設定を表示および編集できます。
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加したら、**[保護パック (ウェブ ACL)]** ページから、作成したばかりの保護パック (ウェブ ACL) を選択します。これにより、保護パック (ウェブ ACL) 編集ページが表示されます。
+ **[Rules]** (ルール) を選択します。
+ ルールグループを選択し、**[Edit]** (編集) を選択して、設定を表示および編集します。
+ **API および CLI** - コンソールの外部で保護パック (ウェブ ACL) を作成および更新するときに、マネージドルールグループの設定を管理できます。
# マネージドルールグループのリストの取得
保護パック (ウェブ ACL) で使用可能なマネージドルールグループのリストを取得できます。このリストには、以下が含まれます。
+ すべての AWS マネージドルールルールグループ。
+ サブスクライブしている AWS Marketplace ルールグループ。
**注記**
AWS Marketplace ルールグループへのサブスクライブの詳細については、「」を参照してください[AWS Marketplace ルールグループ](marketplace-rule-groups.md)。
マネージドルールグループのリストを取得すると、返されるリストは、使用しているインターフェイスによって異なります。
+ **コンソール** – コンソールでは、まだサブスクライブしていないルールグループを含む、すべてのマネージド AWS Marketplace ルールグループを表示できます。まだサブスクライブしていないものについては、インターフェイスにサブスクライブするためのリンクが用意されています。
+ **API および CLI** - コンソールの外部では、リクエストは使用可能なルールグループのみを返します。
**マネージドルールグループのリストを取得するには**
+ **コンソール** - ウェブ ACL の作成プロセス 中に、**[Add rules and rule groups]** (ルールとルールグループの追加) ページで **[Add managed rule groups]** (マネージドルールグループの追加) を選択します。最上位レベルには、プロバイダー名が一覧表示されます。各プロバイダーリストを展開して、マネージドルールグループのリストを表示します。バージョン対応ルールグループでは、このレベルで表示される情報はデフォルトバージョンの情報です。マネージドルールグループを保護パック (ウェブ ACL) に追加すると、コンソールに命名スキーム `-` に基づいて一覧表示されます。
+ **API** –
+ `ListAvailableManagedRuleGroups`
+ **CLI** –
+ `aws wafv2 list-available-managed-rule-groups --scope=`
# マネージドルールグループのルールの取得
マネージドルールグループ内のルールのリストを取得できます。API コールと CLI コールは、JSON モデルまたは で参照できるルール仕様を返します AWS CloudFormation。
**マネージドルールグループ内のルールの一覧を取得するには**
+ **コンソール**
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加する場合、**[Edit]** (編集) を選択してルールを表示できます。
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加したら、**[保護パック (ウェブ ACL)]** ページから、作成したばかりの保護パック (ウェブ ACL) を選択します。これにより、保護パック (ウェブ ACL) 編集ページが表示されます。
+ **[Rules]** (ルール) を選択します。
+ ルールリストを表示するルールグループを選択し、**Edit** を選択します。ルールグループ内のルールのリスト AWS WAF を表示します。
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
# マネージドルールグループで使用可能なバージョンの取得
マネージドルールグループの利用可能なバージョンは、まだ期限切れになる予定がないバージョンです。このリストは、ルールグループの現在のデフォルトバージョンであるバージョンを示します。
**マネージドルールグループの使用可能なバージョンのリストを取得するには**
+ **コンソール**
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加する場合は、**[Edit]** (編集) を選択して、ルールグループの情報を表示します。**[Version]** (バージョン) ドロップダウンを展開して、使用可能なバージョンのリストを表示します。
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加したら、保護パック (ウェブ ACL) で **[Edit]** (編集) を選択し、ルールグループルールを選択して編集します。**[Version]** (バージョン) ドロップダウンを展開して、使用可能なバージョンのリストを表示します。
+ **API** –
+ `ListAvailableManagedRuleGroupVersions`
+ **CLI** –
+ `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name `
# コンソールを通じた保護パック (ウェブ ACL) へのマネージドルールグループの追加
このセクションでは、コンソールを使用してマネージドルールグループを保護パック (ウェブ ACL) に追加する方法を説明します。このガイダンスは、すべての AWS マネージドルールルールグループと、サブスクライブしている AWS Marketplace ルールグループに適用されます。
**本番稼働トラフィックのリスク**
本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
**注記**
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。
**コンソールで保護パック (ウェブ ACL) にマネージドルールグループを追加するには**
**コンソールでウェブ ACL にマネージドルールグループを追加するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで **[保護パック (ウェブ ACL)]** を選択します。
1. **[保護パック (ウェブ ACL)]** ページで、保護パック (ウェブ ACL) のリストから、ルールグループを追加する保護パック (ウェブ ACL) を選択します。これにより、単一の保護パック (ウェブ ACL) のページが表示されます。
1. 保護パック (ウェブ ACL) ページで、**[ルール]** タブを選択します。
1. **[Rules]** (ルール) ペインで、**[Add rules]** (ルールを追加) を選択してから、**[Add managed rule groups]** (マネージドルールグループを追加) を選択します。
1. **[Add managed rule groups]** (マネージドルールグループを追加) ページで、ルールグループのベンダーの選択を展開して、使用可能なルールグループのリストを表示します。
1. 追加するルールグループごとに、**[保護パック (ウェブ ACL) に追加]** を選択します。ルールグループの保護パック (ウェブ ACL) の設定を変更する場合は、**[編集]** を選択し、変更を加えてから、**[ルールを保存]** を選択します。オプションの詳細については、[でのバージョニングされたマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups-versioning.md) のバージョニングに関するガイダンス、および [でのマネージドルールグループステートメントの使用 AWS WAF](waf-rule-statement-type-managed-rule-group.md) の保護パック (ウェブ ACL) でのマネージドルールグループの使用に関するガイダンスを参照してください。
1. **[Add managed rule groups]** (マネージドルールグループを追加) ページの下部で、**[Add rules]** (ルールを追加) を選択します。
1. **[Set rule priority]** (ルールの優先度を設定) ページで、必要に応じてルールが実行される順序を調整し、**[Save]** (保存) を選択します。詳細については、「[ルールの優先度を設定する](web-acl-processing-order.md)」を参照してください。
保護パック (ウェブ ACL) のページで、追加したマネージドルールグループが **[ルール]** タブに一覧表示されます。
本番トラフィックに使用する前に、 AWS WAF 保護の変更をテストして調整します。詳細については、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
**更新中の一時的な不一致**
保護パック (ウェブ ACL) または他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
+ 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
+ ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
+ ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
+ ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
# マネージドルールグループに対する新しいバージョンと更新の通知を受け取る
このセクションでは、新しいバージョンと更新に関する Amazon SNS 通知を受信する方法について説明します。
マネージドルールグループプロバイダーは、SNS 通知を使用して、今後の新しいバージョンや緊急のセキュリティアップデートなどのルールグループの変更を知らせます。
**SNS 通知をサブスクライブするには**
ルールグループの通知をサブスクライブするには、米国東部 (バージニア北部) リージョン us-east-1 のルールグループの Amazon SNS トピック ARN の Amazon SNS サブスクリプションを作成します。
サブスクライブする方法については、「[Amazon Simple Notification Service デベロッパーガイド](https://docs.aws.amazon.com/sns/latest/dg/)」を参照してください。
**注記**
SNS トピックのサブスクリプションを、us-east-1 リージョンでのみ作成します。
バージョニングされた AWS マネージドルールルールグループはすべて、同じ SNS トピックの Amazon リソースネーム (ARN) を使用します。 AWS マネージドルールのルールグループ通知の詳細については、「」を参照してください[デプロイ通知](waf-managed-rule-groups-deployments-notifications.md)。
**マネージドルールグループの Amazon SNS トピック ARN を確認できる場所**
AWS マネージドルールルールグループは 1 つの SNS トピック ARN を使用するため、いずれかのルールグループからトピック ARN を取得してサブスクライブし、SNS 通知を提供するすべての AWS マネージドルールルールルールグループの通知を取得できます。
+ **コンソール**
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加する場合は、**[Edit]** (編集) を選択して、ルールグループの Amazon SNS トピック ARN を含むルールグループの情報を表示します。
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加したら、保護パック (ウェブ ACL) で **[Edit]** (編集) を選択し、ルールグループのルールを選択して編集し、ルールグループの Amazon SNS トピック ARN を表示します。
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
Amazon SNS 通知形式に関する一般的な情報と、受信する通知をフィルタリングする方法については、「Amazon Simple Notification Service デベロッパーガイド」の「[メッセージ形式を解析する](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html)」と「[Amazon SNS サブスクリプションフィルターポリシー](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html)」を参照してください。
# ルールグループのバージョンの有効期限の追跡
このセクションでは、Amazon CloudWatch を介したマネージドルールグループの有効期限スケジュールをモニタリングする方法について説明します。
ルールグループの特定のバージョンを使用する場合は、有効期限切れのバージョンを使用し続けないようにしてください。
**ヒント**
マネージドルールグループの Amazon SNS 通知にサインアップし、マネージドルールグループバージョンで最新の状態を維持します。ルールグループからの最新の保護により、有効期限を先取りできます。詳細については、「[新しいバージョンとアップデートの通知を受け取る](waf-using-managed-rule-groups-sns-topic.md)」を参照してください。
**Amazon CloudWatch を使用してマネージドルールグループの有効期限スケジュールをモニタリングするには**
1. CloudWatch で、マネージドルールグループの の有効期限メトリクスを見つけ AWS WAF ます。メトリクスには、以下のメトリック名とディメンションがあります:
+ メトリクス名: DaysToExpiry
+ メトリクスのディメンション: Region、ManagedRuleGroup、Vendor、および Version
トラフィックを評価する保護パック (ウェブ ACL) にマネージドルールグループがある場合、そのメトリクスが取得されます。このメトリクスは、使用されていないルールグループでは使用できません。
1. 関心のあるメトリクスにアラームを設定して、新しいバージョンのルールグループに切り替えるよう通知を適時に受け取れるようにします。
Amazon CloudWatch メトリクスの使用とアラームの設定については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)」を参照してください。
# JSON および YAML でのマネージドルールグループ設定の例
このセクションでは、マネージドルールグループの設定の例を紹介します。
API コールと CLI コールは、JSON モデルまたは で参照できるマネージドルールグループ内のすべてのルールのリストを返します AWS CloudFormation。
**JSON**
JSON を使用して、ルールステートメント内でマネージドルールグループを参照および変更できます。次のリストは、 AWS マネージドルールルールグループ を JSON 形式で示`AWSManagedRulesCommonRuleSet`しています。RuleActionOverrides 仕様には、アクションが Count にオーバーライドされたルールが一覧表示されています。
```
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "NoUserAgent_HEADER"
}
],
"ExcludedRules": []
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
```
**YAML**
CloudFormation YAML テンプレートを使用して、ルールステートメント内のマネージドルールグループを参照および変更できます。次のリストは、 `AWSManagedRulesCommonRuleSet` CloudFormation テンプレート内の AWS マネージドルールルールグループ を示しています。RuleActionOverrides 仕様には、アクションが Count にオーバーライドされたルールが一覧表示されています。
```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
RuleActionOverrides:
- ActionToUse:
Count: {}
Name: NoUserAgent_HEADER
ExcludedRules: []
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: AWS-AWSManagedRulesCommonRuleSet
```
# AWS の マネージドルール AWS WAF
このセクションでは、 の AWS マネージドルールについて説明します AWS WAF 。
AWS の マネージドルール AWS WAF は、アプリケーションの脆弱性やその他の不要なトラフィックに対する保護を提供するマネージドサービスです。最大保護パック (ウェブ ACL) 容量単位 (WCU) の制限まで、ウェブ ACL ごとに AWS マネージドルールから 1 つ以上のルールグループを選択できます。
**誤検出の軽減とルールグループの変更のテスト**
本番稼働でルールグループを使用する前に、[AWS WAF 保護のテストとチューニング](web-acl-testing.md) にあるガイダンスに従って、非本番稼働環境でテストします。保護パック (ウェブ ACL) にルールグループを追加する場合、新しいバージョンのルールグループをテストする場合、およびルールグループが必要に応じてウェブトラフィックを処理していないときは、テストとチューニングのガイダンスに従ってください。
**セキュリティ責任の共有**
AWS マネージドルールは、一般的なウェブ脅威から保護するように設計されています。ドキュメントに従って使用すると、 AWS マネージドルールルールグループはアプリケーションに別のセキュリティレイヤーを追加します。ただし、 AWS マネージドルールルールグループは、選択した AWS リソースによって決定されるセキュリティ責任に代わるものではありません。責任[共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)を参照して、 のリソースが適切に保護 AWS されていることを確認します。
**重要**
AWS マネージドルールは、一般的なウェブ脅威から保護するように設計されています。ドキュメントに従って使用すると、 AWS マネージドルールルールグループはアプリケーションに別のセキュリティレイヤーを追加します。ただし、 AWS マネージドルールルールグループは、選択した AWS リソースによって決定されるセキュリティ責任に代わるものではありません。責任[共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)を参照して、 のリソースが適切に保護 AWS されていることを確認します。
# AWS マネージドルールのルールグループリスト
このセクションでは、使用可能な AWS マネージドルールルールグループのリストを示します。
このセクションでは、 AWS マネージドルールルールグループの最新バージョンについて説明します。これらの情報は、保護パック (ウェブ ACL) にマネージドルールグループを追加するときにコンソールに表示されます。API を使用して、 を呼び出すことで、サブスクライブしている AWS Marketplace ルールグループとともにこのリストを取得できます`ListAvailableManagedRuleGroups`。
**注記**
AWS マネージドルールのルールグループのバージョンを取得する方法については、「」を参照してください[マネージドルールグループで使用可能なバージョンの取得](waf-using-managed-rule-groups-versions.md)。
すべての AWS マネージドルールルールグループはラベル付けをサポートし、このセクションのルールリストにはラベル仕様が含まれています。`DescribeManagedRuleGroup` を呼び出すことにより、API を介してマネージドルールグループのラベルを取得できます。ラベルは、応答の AvailableLabels プロパティにリストされています。ラベル付けの詳細については、「[でのウェブリクエストのラベル付け AWS WAF](waf-labels.md)」を参照してください。
本番トラフィックに使用する前に、 AWS WAF 保護の変更をテストして調整します。詳細については、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
**Contents**
+ [ベースラインルールグループ](aws-managed-rule-groups-baseline.md)
+ [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
+ [管理者保護マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
+ [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [ユースケース固有のルールグループ](aws-managed-rule-groups-use-case.md)
+ [SQL データベースマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
+ [Linux オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
+ [POSIX オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
+ [Windows オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
+ [PHP アプリケーションマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
+ [WordPress アプリケーションマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [IP 評価ルールグループ](aws-managed-rule-groups-ip-rep.md)
+ [Amazon IP 評価リストマネージドルールグループ](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
+ [匿名 IP リストマネージドルールグループ](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ](aws-managed-rule-groups-acfp.md)
+ [このルールグループの使用に関する考慮事項](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
+ [このルールグループによって追加されるラベル](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
+ [トークンラベル](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
+ [ACFP ラベル](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
+ [Account Creation Fraud Prevention ルールリスト](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ](aws-managed-rule-groups-atp.md)
+ [このルールグループの使用に関する考慮事項](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
+ [このルールグループによって追加されるラベル](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
+ [トークンラベル](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
+ [ATP ラベル](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
+ [アカウント乗っ取り防止のルールリスト](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md)
+ [保護レベル](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
+ [このルールグループの使用に関する考慮事項](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
+ [このルールグループによって追加されるラベル](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
+ [トークンラベル](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
+ [Bot Control ラベル](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
+ [Bot Control のルールリスト](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ](aws-managed-rule-groups-anti-ddos.md)
+ [このルールグループの使用に関する考慮事項](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
+ [このルールグループによって追加されるラベル](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
+ [トークンラベル](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
+ [DDoS 対策ラベル](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
+ [DDoS 対策ルールのリスト](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)
# ベースラインルールグループ
ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。
## コアルールセット (CRS) マネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesCommonRuleSet`、WCU: 700
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、[OWASP Top 10](https://owasp.org/www-project-top-ten/) などの OWASP の出版物に記載されている、リスクが高く一般的に発生するいくつかの脆弱性を含む、さまざまな脆弱性の悪用に対する保護が提供されます。 AWS WAF ユースケースには、このルールグループの使用を検討してください。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| NoUserAgent\$1HEADER | HTTP `User-Agent` ヘッダーが欠落しているリクエストを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header` |
| UserAgent\$1BadBots\$1HEADER | リクエストが不正なボットであることを示す一般的な `User-Agent` ヘッダー値を検査します。パターンの例には、`nessus`、`nmap` などがあります。ボット管理については、「[AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md)」も参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:BadBots_Header` |
| SizeRestrictions\$1QUERYSTRING | 2,048 バイトを超える URI クエリ文字列を検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString` |
| SizeRestrictions\$1Cookie\$1HEADER | 10,240 バイトを超える cookie ヘッダーを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header` |
| SizeRestrictions\$1BODY | 8 KB (8,192 バイト) を超えるリクエストボディを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body` |
| SizeRestrictions\$1URIPATH | 1,024 バイトを超える URI パスを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath` |
| EC2MetaDataSSRF\$1BODY | リクエストボディから Amazon EC2 メタデータを盗み出す試みがないかを検査します。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body` |
| EC2MetaDataSSRF\$1COOKIE | リクエスト cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie` |
| EC2MetaDataSSRF\$1URIPATH | リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath` |
| EC2MetaDataSSRF\$1QUERYARGUMENTS | リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments` |
| GenericLFI\$1QUERYARGUMENTS | クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments` |
| GenericLFI\$1URIPATH | URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath` |
| GenericLFI\$1BODY | リクエストボディに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericLFI_Body` |
| RestrictedExtensions\$1URIPATH | 読み取りや実行が安全でないシステムファイルの拡張子が URI パスに含まれているリクエストを検査します。パターンの例には、`.log` や `.ini` などの拡張子があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath` |
| RestrictedExtensions\$1QUERYARGUMENTS | クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、`.log` や `.ini` などの拡張子があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments` |
| GenericRFI\$1QUERYARGUMENTS | IPv4 アドレスを含む URL を埋め込むことにより、Web アプリケーションでRFI (リモートファイルインクルード) を悪用しようとする試みに対して、すべてのクエリパラメーターの値を検査します。例としては、`http://`、`https://`、`ftp://`、`ftps://`、`file://` などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments` |
| GenericRFI\$1BODY | IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してリクエストボディを検査します。例としては、`http://`、`https://`、`ftp://`、`ftps://`、`file://` などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericRFI_Body` |
| GenericRFI\$1URIPATH | IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してURI パスを検査します。例としては、`http://`、`https://`、`ftp://`、`ftps://`、`file://` などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath` |
| CrossSiteScripting\$1COOKIE | 組み込み を使用して、一般的なクロスサイトスクリプティング (XSS) パターンの Cookie ヘッダーの値を検査します AWS WAF [クロスサイトスクリプティング攻撃ルールステートメント](waf-rule-statement-type-xss-match.md)。パターンの例には、`` などのスクリプトあります。 AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie` |
| CrossSiteScripting\$1QUERYARGUMENTS | 組み込み を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのクエリ引数の値を検査します AWS WAF [クロスサイトスクリプティング攻撃ルールステートメント](waf-rule-statement-type-xss-match.md)。パターンの例には、`` などのスクリプトあります。 AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments` |
| CrossSiteScripting\$1BODY | 組み込み を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのリクエストボディを検査します AWS WAF [クロスサイトスクリプティング攻撃ルールステートメント](waf-rule-statement-type-xss-match.md)。パターンの例には、`` などのスクリプトあります。 AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body` |
| CrossSiteScripting\$1URIPATH | 組み込みの を使用して、URI パスの値を検査して、一般的なクロスサイトスクリプティング (XSS) パターンを確認します AWS WAF [クロスサイトスクリプティング攻撃ルールステートメント](waf-rule-statement-type-xss-match.md)。パターンの例には、`` などのスクリプトあります。 AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。 ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath` |
## 管理者保護マネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesAdminProtectionRuleSet`、WCU: 100
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| AdminProtection\$1URIPATH | 一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、`sqlmanager` などがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath` |
## 既知の不正な入力マネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesKnownBadInputsRuleSet`、WCU: 200
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| JavaDeserializationRCE\$1HEADER | HTTP リクエストヘッダーのキーと値に、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。 このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header` |
| JavaDeserializationRCE\$1BODY | リクエスト本文で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body` |
| JavaDeserializationRCE\$1URIPATH | リクエスト URI で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath` |
| JavaDeserializationRCE\$1QUERYSTRING | リクエストクエリ文字列で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString` |
| Host\$1localhost\$1HEADER | リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、`localhost` などがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header` |
| PROPFIND\$1METHOD | リクエストの HTTP メソッドに、`PROPFIND` がないかを検査します。このメソッドは `HEAD` と同様ですが、XML オブジェクトを抽出しようとする点が異なります。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Propfind_Method` |
| ExploitablePaths\$1URIPATH | URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、`web-inf` などのパスがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath` |
| Log4JRCE\$1HEADER | リクエストヘッダーのキーと値に Log4j の脆弱性 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。 このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header` |
| Log4JRCE\$1QUERYSTRING | クエリ文字列に Log4j の脆弱性 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString` |
| Log4JRCE\$1BODY | 本文に Log4j の脆弱性 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body` |
| Log4JRCE\$1URIPATH | URI パスに Log4j の脆弱性 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath` |
| ReactJSRCE\$1BODY | CVE-2025-55182 の存在を示すパターンについて、リクエスト本文を検査します。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と AWS AppSyncの場合、その制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、 AWS Verified Access の場合、デフォルトの制限は 16 KB であり、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `CONTINUE` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body` |
# ユースケース固有のルールグループ
ユースケース固有のルールグループは、さまざまな AWS WAF ユースケースに対して段階的な保護を提供します。アプリケーションに適用するルールグループを選択します。
## SQL データベースマネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesSQLiRuleSet`、WCU: 200
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
SQL Database ルールグループには、SQL インジェクション攻撃などの SQL データベースの悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、不正なクエリのリモートインジェクションを防ぐことができます。アプリケーションが SQL データベースと連結している場合は、このルールグループを評価します。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| SQLi\$1QUERYARGUMENTS | 組み込みの を使用し AWS WAF [SQL インジェクション攻撃ルールステートメント](waf-rule-statement-type-sqli-match.md)、機密レベルを に設定してLow、悪意のある SQL コードに一致するパターンがないか、すべてのクエリパラメータの値を検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:sql-database:SQLi_QueryArguments` |
| SQLiExtendedPatterns\$1QUERYARGUMENTS | すべてのクエリパラメータの値に、悪意のある SQL コードに一致するパターンがないかを検査します。このルールが検査するパターンは、ルール `SQLi_QUERYARGUMENTS` の対象外です。 ルールアクション: Block ラベル: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments` |
| SQLi\$1BODY | 組み込みの を使用し AWS WAF [SQL インジェクション攻撃ルールステートメント](waf-rule-statement-type-sqli-match.md)、機密レベルを に設定してLow、悪意のある SQL コードに一致するパターンがないかリクエストボディを検査します。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:sql-database:SQLi_Body` |
| SQLiExtendedPatterns\$1BODY | リクエストボディに、悪意のある SQL コードに一致するパターンがないかを検査します。このルールが検査するパターンは、ルール `SQLi_BODY` の対象外です。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body` |
| SQLi\$1COOKIE | 組み込みの を使用し AWS WAF [SQL インジェクション攻撃ルールステートメント](waf-rule-statement-type-sqli-match.md)、機密レベルを に設定してLow、悪意のある SQL コードに一致するパターンがないかリクエスト Cookie ヘッダーを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:sql-database:SQLi_Cookie` |
| SQLi\$1URIPATH | 組み込みの を使用し AWS WAF [SQL インジェクション攻撃ルールステートメント](waf-rule-statement-type-sqli-match.md)、機密レベルを に設定してLow、悪意のある SQL コードに一致するパターンがないかリクエスト Cookie ヘッダーを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:sql-database:SQLi_URIPath` |
## Linux オペレーティングシステムマネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesLinuxRuleSet`、WCU: 200
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
Linux オペレーティングシステムルールグループには、Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐことができます。アプリケーションの一部が Linux で実行されている場合は、このルールグループを評価する必要があります。このルールグループは、[POSIX オペレーティングシステム](#aws-managed-rule-groups-use-case-posix-os) ルールグループと組み合わせて使用する必要があります。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| LFI\$1URIPATH | リクエストパスに、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる `/proc/version` などのファイルがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:linux-os:LFI_URIPath` |
| LFI\$1QUERYSTRING | クエリ文字列の値に、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる `/proc/version` などのファイルがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:linux-os:LFI_QueryString` |
| LFI\$1HEADER | リクエストヘッダーに、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みの有無を検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる `/proc/version` などのファイルがあります。 このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:linux-os:LFI_Header` |
## POSIX オペレーティングシステムマネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesUnixRuleSet`、WCU: 100
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
POSIX オペレーティングシステムルールグループには、POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪用 (ローカルファイルインクルージョン (LFI) 攻撃など) に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐことができます。アプリケーションの一部が POSIX または POSIX と同等のオペレーティングシステム (Linux、AIX、HP-UX、macOS、Solaris、FreeBSD、OpenBSD など) で実行されている場合は、このルールグループを評価する必要があります。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| UNIXShellCommandsVariables\$1QUERYSTRING | Unix システム上で動作するウェブアプリケーションにおいて、コマンドインジェクション、LFI、およびパストラバーサルの脆弱性を悪用しようとする試みを検出するために、クエリ文字列の値を検査します。パターンの例には、`echo $HOME` や `echo $PATH` などがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString` |
| UNIXShellCommandsVariables\$1BODY | リクエストボディに、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みがないかを検査します。パターンの例には、`echo $HOME` や `echo $PATH` などがあります。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body` |
| UNIXShellCommandsVariables\$1HEADER | すべてのリクエストヘッダーに、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みがないかを検査します。パターンの例には、`echo $HOME` や `echo $PATH` などがあります。 このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header` |
## Windows オペレーティングシステムマネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesWindowsRuleSet`、WCU: 200
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
Windows オペレーティングシステムのルールグループには、PowerShell コマンドのリモート実行など、Windows 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者が不正なコマンドまたは悪意のあるコードを実行できる脆弱性の悪用を防ぐことができます。アプリケーションの一部が Windows オペレーティングシステムで実行されている場合は、このルールグループを評価します。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| WindowsShellCommands\$1COOKIE | ウェブアプリケーションでの WindowsShell コマンドインジェクションの試行についてリクエスト cookie ヘッダーを検査します。一致パターンは WindowsShell コマンドを表します。パターンの例には、`\|\|nslookup`、`;cmd` などがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie` |
| WindowsShellCommands\$1QUERYARGUMENTS | ウェブアプリケーションでの WindowsShell コマンドインジェクションの試行についてすべてのクエリパラメータの値を検査します。一致パターンは WindowsShell コマンドを表します。パターンの例には、`\|\|nslookup`、`;cmd` などがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments` |
| WindowsShellCommands\$1BODY | ウェブアプリケーションでの WindowsShell コマンドインジェクションの試行についてリクエストボディの値を検査します。一致パターンは WindowsShell コマンドを表します。パターンの例には、`\|\|nslookup`、`;cmd` などがあります。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body` |
| PowerShellCommands\$1COOKIE | ウェブアプリケーションでの PowerShell コマンドインジェクションの試行についてリクエスト cookie を検査します。一致パターンは PowerShell コマンドを表します。例えば、`Invoke-Expression`。 ルールアクション: Block ラベル: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie` |
| PowerShellCommands\$1QUERYARGUMENTS | ウェブアプリケーションでの PowerShell コマンドインジェクションの試行についてすべてのクエリパラメータの値を検査します。一致パターンは PowerShell コマンドを表します。例えば、`Invoke-Expression`。 ルールアクション: Block ラベル: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments` |
| PowerShellCommands\$1BODY | ウェブアプリケーションでの PowerShell コマンドインジェクションの試行についてリクエストボディを検査します。一致パターンは PowerShell コマンドを表します。例えば、`Invoke-Expression`。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:windows-os:PowerShellCommands_Body` |
## PHP アプリケーションマネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesPHPRuleSet`、WCU: 100
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
PHP アプリケーションルールグループには、安全でない PHP 関数のインジェクションなど、PHP プログラミング言語の使用に固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者が許可されていないコードまたはコマンドを遠隔で実行できる脆弱性の悪用を防ぐことができます。アプリケーションが連結するサーバーに PHP がインストールされている場合は、このルールグループを評価します。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| PHPHighRiskMethodsVariables\$1HEADER | PHP スクリプトコードインジェクションの試行について、すべてのヘッダーを検査します。パターンの例には、`fsockopen` や `$_GET` スーパーグローバル変数などの関数があります。 このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header` |
| PHPHighRiskMethodsVariables\$1QUERYSTRING | リクエスト URL の最初の `?` 以降をすべて検査し、PHP スクリプトコードインジェクションの試行がないかを調べます。パターンの例には、`fsockopen` や `$_GET` スーパーグローバル変数などの関数があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString` |
| PHPHighRiskMethodsVariables\$1BODY | リクエストボディの値に、PHP スクリプトコードインジェクションがないかを検査します。パターンの例には、`fsockopen` や `$_GET` スーパーグローバル変数などの関数があります。 このルールは、保護パック (ウェブ ACL) とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer と の場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、保護パック (ウェブ ACL) 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body` |
| PHPHighRiskMethodsVariables\$1URIPATH | PHP スクリプトコードの挿入試行のリクエストパスを検査します。パターンの例には、`fsockopen` や `$_GET` スーパーグローバル変数などの関数があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath` |
## WordPress アプリケーションマネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesWordPressRuleSet`、WCU: 100
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
WordPress アプリケーションルールグループには、WordPress サイト固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。WordPress を実行している場合は、このルールグループを評価する必要があります。このルールグループは、[SQL データベース](#aws-managed-rule-groups-use-case-sql-db) および [PHP アプリケーション](#aws-managed-rule-groups-use-case-php-app) ルールグループと組み合わせて使用する必要があります。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| WordPressExploitableCommands\$1QUERYSTRING | リクエストクエリ文字列に、脆弱なインストールまたはプラグインで悪用される可能性のある高リスクの WordPress コマンドがないかを検査します。パターンの例には、`do-reset-wordpress` などのコマンドがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING` |
| WordPressExploitablePaths\$1URIPATH | リクエストの URI パスに、脆弱性が簡単に悪用されることがわかっている `xmlrpc.php` などの WordPress ファイルがないかを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH` |
# IP 評価ルールグループ
IP 評価ルールグループはソース IP アドレスに基づいてリクエストをブロックします。
**注記**
これらのルールは、ウェブリクエストの発信元のソース IP アドレスを使用します。トラフィックが 1 つ以上のプロキシまたはロードバランサーを通過する場合、ウェブリクエストの発信元には、クライアントの発信アドレスではなく、最後のプロキシのアドレスが含まれます。
ボットトラフィックや悪用の試みを緩和する場合、またはコンテンツに地理的制限を適用する場合は、これらのルールグループを 1 つ以上選択します。ボット管理については、「[AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md)」も参照してください。
このカテゴリのルールグループは、バージョニングや SNS 更新通知を提供しません。
## Amazon IP 評価リストマネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesAmazonIpReputationList`、WCU: 25
**注記**
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
Amazon IP 評価リストルールグループには、Amazon 内部脅威インテリジェンスに基づくルールが含まれています。これは、通常、ボットやその他の脅威に関連付けられている IP アドレスをブロックする場合に便利です。これらの IP アドレスをブロックすることで、ボットを緩和し、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| AWSManagedIPReputationList | 悪意のあるアクティビティに積極的に関与していると特定された IP アドレスを検査します。 AWS WAF は、Amazon がサイバー犯罪から顧客を保護するために使用する脅威インテリジェンスツールである MadPot など、さまざまなソースから IP アドレスリストを収集します。MadPot の詳細については、[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime) を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList` |
| AWSManagedReconnaissanceList | AWS リソースに対して偵察を実行している IP アドレスからの接続を検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList` |
| AWSManagedIPDDoSList | DDoS アクティビティにアクティブに関与していると識別された IP アドレスを検査します。 ルールアクション: Count ラベル: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList` |
## 匿名 IP リストマネージドルールグループ
VendorName: `AWS`、名前: `AWSManagedRulesAnonymousIpList`、WCU: 50
**注記**
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
匿名 IP リストのルールグループには、ビューワー ID の難読化を許可するサービスからのリクエストをブロックするルールが含まれています。これには、VPN、プロキシ、Tor ノード、ウェブホスティングプロバイダーなどからのリクエストが含まれます。このルールグループは、アプリケーションから ID を隠そうとするビューワーを除外する場合に便利です。これらのサービスの IP アドレスをブロックすると、ボットの緩和や地理的制限の回避に役立ちます。
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
| ルール名 | 説明とラベル |
| --- | --- |
| AnonymousIPList | クライアントの情報を匿名化することがわかっているソース (TOR ノード、一時プロキシ、その他のマスキングサービスなど) の IP アドレスのリストを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList` |
| HostingProviderIPList | エンドユーザートラフィックのソースになる可能性が低いウェブホスティングプロバイダーとクラウドプロバイダーの IP アドレスのリストを検査します。IP リストには AWS IP アドレスは含まれません。 ルールアクション: Block ラベル: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` |
# AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ
このセクションでは、 AWS WAF Fraud Control アカウント作成不正防止 (ACFP) マネージドルールグループの動作について説明します。
VendorName: `AWS`、名前: `AWSManagedRulesACFPRuleSet`、WCU: 50
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) マネージドルールグループは、不正なアカウント作成の試みの一部である可能性のあるリクエストにラベルを付けて管理します。ルールグループは、クライアントがアプリケーションの登録エンドポイントとアカウント作成エンドポイントに送信するアカウント作成リクエストを検査することでこれを行います。
ACFP ルールグループは、さまざまな方法でアカウント作成の試みを検査し、悪意のある可能性のあるインタラクションを可視化し、コントロールできるようにします。ルールグループは、リクエストトークンを使用して、クライアントブラウザに関する情報と、アカウント作成リクエストの作成における人間のインタラクティビティのレベルに関する情報を収集します。ルールグループは、IP アドレスとクライアントセッションごとにリクエストを集計し、物理アドレスや電話番号などの提供されたアカウント情報ごとに集計することで、一括アカウント作成の試みを検出および管理します。さらに、ルールグループは、侵害された認証情報を使用した新しいアカウントの作成を検出してブロックします。これは、アプリケーションと新しいユーザーのセキュリティ体制の保護に役立ちます。
## このルールグループの使用に関する考慮事項
このルールグループには、アプリケーションのアカウント登録パスとアカウント作成パスの仕様を含むカスタム設定が必要です。特に明記されている場合を除き、このルールグループのルールは、クライアントがこれらの 2 つのエンドポイントに送信するすべてのリクエストを検査します。このルールグループを設定および実装するには、「[AWS WAF Fraud Control アカウント作成不正防止 (ACFP)](waf-acfp.md)」のガイダンスを参照してください。
**注記**
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、「[でのインテリジェントな脅威の軽減 AWS WAF](waf-managed-protections.md)」を参照してください。
コストを抑え、ウェブトラフィックを希望どおりに管理していることを確実にするには、[でのインテリジェントな脅威軽減のベストプラクティス AWS WAF](waf-managed-protections-best-practices.md) のガイダンスに従ってこのルールグループを使用してください。
このルールグループは、Amazon Cognito ユーザープールでは使用できません。このルールグループを使用する保護パック (ウェブ ACL) をユーザープールに関連付けることはできません。また、このルールグループをユーザープールに既に関連付けられた保護パック (ウェブ ACL) に追加することはできません。
## このルールグループによって追加されるラベル
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
### トークンラベル
このルールグループは、 AWS WAF トークン管理を使用して、 AWS WAF トークンのステータスに従ってウェブリクエストを検査し、ラベル付けします。 は、クライアントセッションの追跡と検証にトークン AWS WAF を使用します。
トークンおよびトークンの管理の詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。
ここで説明するラベルコンポーネントについては、「[でのラベル構文と命名要件 AWS WAF](waf-rule-label-requirements.md)」を参照してください。
**クライアントセッションラベル**
ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子`awswaf:managed:token:id:identifier`が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。
**注記**
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。
**ブラウザフィンガープリントラベル**
ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子`awswaf:managed:token:fingerprint:fingerprint-identifier`が含まれています。この識別子は、複数のトークン取得の試行全体で同じままです。フィンガープリント識別子は、単一のクライアントに対して一意ではありません。
**注記**
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。
**トークンステータスラベル: ラベル名前空間プレフィックス**
トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。
各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
+ `awswaf:managed:token:`— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。
+ `awswaf:managed:captcha:`— トークンの CAPTCHA 情報のステータスを報告するために使用されます。
**トークンステータスラベル: ラベル名**
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
+ `accepted` - リクエストトークンが存在し、以下の内容が含まれています。
+ 有効なチャレンジまたは CAPTCHA ソリューション。
+ 有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。
+ 保護パック (ウェブ ACL) に有効なドメイン仕様。
例: ラベル `awswaf:managed:token:accepted` には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。
+ `rejected` - リクエストトークンは存在するが、承認基準を満たしていない。
トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
+ `rejected:not_solved` — トークンにチャレンジまたは CAPTCHA ソリューションがない。
+ `rejected:expired` — 保護パック (ウェブ ACL) に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。
+ `rejected:domain_mismatch` — トークンのドメインが、保護パック (ウェブ ACL) のトークンドメイン設定と一致しない。
+ `rejected:invalid` – 指定されたトークンを読み取ることが AWS WAF できませんでした。
例: ラベル `awswaf:managed:captcha:rejected` と `awswaf:managed:captcha:rejected:expired` とともに、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定されている CAPTCHA トークンのイミュニティ時間を超えたために、リクエストには有効な CAPTCHA 解決がなかったことが示されています。
+ `absent` — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。
例: ラベル `awswaf:managed:captcha:absent` には、リクエストにトークンがないことが示されています。
### ACFP ラベル
このルールグループは、名前空間プレフィックス `awswaf:managed:aws:acfp:` が付いたラベルを生成し、その後にカスタム名前空間およびラベル名が付いたラベルを生成します。ルールグループは、リクエストに複数のラベルを追加する場合があります。
`DescribeManagedRuleGroup` を呼び出すことにより、API を介してルールグループのすべてのラベルを取得できます。ラベルは、応答の `AvailableLabels` プロパティにリストされています。
## Account Creation Fraud Prevention ルールリスト
次のセクションには、`AWSManagedRulesACFPRuleSet` の ACFP ルールとルールグループがウェブリクエストに追加するラベルが示されています。
このルールグループ内のすべてのルールでは、最初の 2 つの `UnsupportedCognitoIDP` と `AllRequests` を除き、ウェブリクエストトークンが必要です。トークンが提供する情報の説明については、「[AWS WAF トークンの特性](waf-tokens-details.md)」を参照してください。
特に明記されていない限り、このルールグループのルールは、ルールグループの設定で指定したアカウント登録ページのパスとアカウント作成ページのパスにクライアントが送信するすべてのリクエストを検査します。このルールグループの設定の詳細については、「[AWS WAF Fraud Control アカウント作成不正防止 (ACFP)](waf-acfp.md)」を参照してください。
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
| ルール名 | 説明とラベル |
| --- | --- |
| UnsupportedCognitoIDP | Amazon Cognito ユーザープールに向かうウェブトラフィックの有無を検査します。ACFP は Amazon Cognito ユーザープールでは使用できません。このルールは、他の ACFP ルールグループのルールがユーザープールのトラフィックの評価に使用されないようにすることに役立ちます。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:unsupported:cognito_idp` および `awswaf:managed:aws:acfp:UnsupportedCognitoIDP` |
| AllRequests | 登録ページのパスにアクセスするリクエストにルールアクションを適用します。ルールグループを設定するときに、登録ページのパスを設定します。 デフォルトでは、このルールは Challenge をリクエストに適用します。このアクションを適用することにより、ルールは、ルールグループ内の残りのルールによってリクエストが評価される前に、クライアントがチャレンジトークンを取得するようにします。 エンドユーザーがアカウント作成リクエストを送信する前に、登録ページのパスをロードするようにします。 トークンは、クライアントアプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。最も効率的にトークンを取得するために、アプリケーション統合 SDK を使用することを強くお勧めします。詳細については、「[でのクライアントアプリケーション統合 AWS WAF](waf-application-integration.md)」を参照してください。 ルールアクション: Challenge ラベル: なし |
| RiskScoreHigh | IP アドレスやその他の非常に疑わしい要素が含まれるアカウント作成リクエストを検査します。この評価は通常、複数の寄与要因に基づいており、ルールグループがリクエストに追加する `risk_score` ラベルで確認できます。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:risk_score:high` および `awswaf:managed:aws:acfp:RiskScoreHigh` このルールは、`medium` または `low` のリスクスコアラベルをリクエストに適用することもできます。 AWS WAF がウェブリクエストのリスクスコアの評価に成功しない場合、ルールはラベルを追加します。 `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` さらに、このルールは、IP レピュテーションや盗難された認証情報の評価など、特定のリスクスコアの寄与要因のリスクスコアの評価ステータスと結果を含む名前空間 `awswaf:managed:aws:acfp:risk_score:contributor:` のラベルを追加します。 |
| SignalCredentialCompromised | 盗まれた認証情報データベースで、アカウント作成リクエストで送信された認証情報を検索します。 このルールにより、新しいクライアントは、好ましいセキュリティ体制でアカウントを初期化するようになります。 カスタムブロックレスポンスを追加して、エンドユーザーに問題を説明し、続行方法を伝えることができます。詳細については、「[ACFP の例: 侵害された認証情報についてのカスタムレスポンス](waf-acfp-control-example-compromised-credentials.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:signal:credential_compromised` および `awswaf:managed:aws:acfp:SignalCredentialCompromised` ルールグループは次の関連ラベルを適用しますが、アカウント作成のすべてのリクエストに認証情報があるわけではないため、それに対するアクションは実行されません: `awswaf:managed:aws:acfp:signal:missing_credential`。 |
| SignalClientHumanInteractivityAbsentLow | アカウント作成リクエストのトークンで、人間によるアプリケーションとの異常なインタラクティブ性を示すデータがないかどうかを検査します。人間のインタラクティビティは、マウスの動きやキーの押下などのインタラクションを通じて検出されます。ページに HTML フォームがある場合、人間によるインタラクションにはフォームとのインタラクションが含まれます。 このルールは、アカウント作成パスに対するリクエストのみを検査し、アプリケーション統合 SDK を実装している場合にのみ評価されます。SDK を実装することで、人間のインタラクティブ性を受動的にキャプチャし、その情報をリクエストトークンに保存できます。詳細については、「[AWS WAF トークンの特性](waf-tokens-details.md)」および「[でのクライアントアプリケーション統合 AWS WAF](waf-application-integration.md)」を参照してください。 ルールアクション: CAPTCHA ラベル: なし。このルールはさまざまな要因に基づいて一致を決定するため、考えられるすべての一致シナリオに適用される個別のラベルはありません。 ルールグループは、次の 1 つ以上のラベルをリクエストに適用できます。 `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High` `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data` `awswaf:managed:aws:acfp:signal:form_detected`. |
| AutomatedBrowser | クライアントブラウザが自動化されている可能性を示す要素がないかを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:signal:automated_browser` および `awswaf:managed:aws:acfp:AutomatedBrowser` |
| BrowserInconsistency | ブラウザ調査のデータに一貫性がないかどうかを確認するために、リクエストのトークンを検査します。詳細については、「[AWS WAF トークンの特性](waf-tokens-details.md)」を参照してください。 ルールアクション: CAPTCHA ラベル: `awswaf:managed:aws:acfp:signal:browser_inconsistency` および `awswaf:managed:aws:acfp:BrowserInconsistency` |
| VolumetricIpHigh | 個々の IP アドレスから送信された大量のアカウント作成リクエストを検査します。大量とは、10 分ウィンドウにリクエストが 20 件を超えることです。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。大量の場合、ルールアクションが適用される前に、いくつかのリクエストが制限を超える可能性があります。 ルールアクション: CAPTCHA ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` および `awswaf:managed:aws:acfp:VolumetricIpHigh` ルールは、中程度の量 (10 分間の時間枠あたり 15 件以上のリクエスト)および少量 (10 分間の時間枠あたり 10 件以上のリクエスト)のリクエストに対して、以下のラベル `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` および `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low` を適用しますが、アクションは実行しません。 |
| VolumetricSessionHigh | 個々のクライアントセッションから送信された大量のアカウントリクエストを検査します。大量とは、30 分間の時間枠にリクエストが 10 件を超えることです。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` および `awswaf:managed:aws:acfp:VolumetricSessionHigh` ルールグループは、中程度の量 (30 分間の時間枠あたり 5 件以上のリクエスト) および少量 (30 分間の時間枠あたり 1 件以上のリクエスト)のリクエストに対して、以下のラベル `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` および `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low` を適用しますが、アクションは実行しません。 |
| AttributeUsernameTraversalHigh | 異なるユーザー名を使用する単一のクライアントセッションからアカウント作成リクエストが高頻度で発生していないかどうかを検査します。30 分間のリクエスト数が 10 件を超えている場合は、大量であると評価されます。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` および `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh` ルールグループは、ユーザー名トラバーサルリクエストの中程度の量 (30分間の時間枠あたり 5 件以上のリクエスト) および少量 (30 分間の時間枠あたり 1 件以上のリクエスト) に対して、以下のラベル `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` および `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low` を適用しますが、アクションは実行しません。 |
| VolumetricPhoneNumberHigh | 同じ電話番号を使用する大量のアカウント作成リクエストが発生していないかを検査します。30 分間のリクエスト数が 10 件を超えている場合は、大量であると評価されます。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` および `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` ルールグループは、中程度の量 (30 分間の時間枠あたり 5 件以上のリクエスト) および少量 (30 分間の時間枠あたり 1 件以上のリクエスト)のリクエストに対して、以下のラベル `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` および `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low` を適用しますが、アクションは実行しません。 |
| VolumetricAddressHigh | 同じ物理的な住所を使用する大量のアカウント作成リクエストが発生していないかを検査します。30 分間の時間枠あたりのリクエスト数が 100 件を超えている場合は、大量であると評価されます。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` および `awswaf:managed:aws:acfp:VolumetricAddressHigh` |
| VolumetricAddressLow | 同じ物理的な住所を使用する少量または中程度の量のアカウント作成リクエストが発生していないかを検査します。中程度の評価のしきい値は 30 分間の時間枠あたり 50 件以上のリクエストであり、低評価のしきい値は 30 分間の時間枠あたり 10 件以上のリクエストです。 このルールは、中程度の量または少量のいずれかの場合にアクションを適用します。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールアクション: CAPTCHA ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` および `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium` |
| VolumetricIPSuccessfulResponse | 単一の IP アドレスに対する大量の正常なアカウント作成リクエストを検査します。このルールは、保護されたリソースからのアカウント作成リクエストに対する成功レスポンスを集計します。10 分間の時間枠あたりのリクエスト数が 10 件を超えている場合は、大量であると評価されます。 このルールは、アカウントの一括作成の試みからの保護に役立ちます。リクエストのみをカウントするルール `VolumetricIpHigh` よりもしきい値が低くなります。 レスポンス本文または JSON コンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。 このルールは、同じ IP アドレスからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、IP アドレスからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。 AWS WAF は、Amazon CloudFront ディストリビューションを保護する保護パック (ウェブ ACLs) でのみこのルールを評価します。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後の試みに対して一致処理を開始する前に、正常なアカウント作成の試みが、許可されているよりも多くクライアントから送信される可能性があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` および `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse` ルールグループは、次の関連ラベルもリクエストに適用します。関連するアクションはありません。すべてのカウントは 10 分間の時間枠のものです。5 件以上の成功したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`、1 件以上の成功したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low`、10 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high`、5 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium`、1 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` です。 |
| VolumetricSessionSuccessfulResponse | 単一のクライアントセッションから送信されるアカウント作成リクエストに対する、保護されたリソースからの少量の成功したレスポンスを検査します。これは、アカウントの一括作成の試みからの保護に役立ちます。30 分間の時間枠あたりのリクエスト数が 1 件を超えている場合は、少量であると評価されます。 これは、アカウントの一括作成の試みからの保護に役立ちます。このルールは、リクエストのみをカウントするルール `VolumetricSessionHigh` よりも低いしきい値を使用します。 レスポンス本文または JSON コンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。 このルールは、同じクライアントセッションからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、クライアントセッションからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。 AWS WAF は、Amazon CloudFront ディストリビューションを保護する保護パック (ウェブ ACLs) でのみこのルールを評価します。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後の試みに対して一致処理を開始する前に、失敗したアカウント作成の試みが、許可されているよりも多くクライアントから送信される可能性があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` および `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse` ルールグループは、次の関連ラベルもリクエストに適用します。すべてのカウントは 30 分間の時間枠のものです。10 件以上の成功したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`、5 件以上の成功したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium`、10 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high`、5 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium`、1 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` です。 |
| VolumetricSessionTokenReuseIp | アカウント作成リクエストを検査して、5 つを超える異なる IP アドレス間で単一のトークンが使用されていないかどうかをチェックします。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` および `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp` |
# AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ
このセクションでは、 AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) マネージドルールグループの動作について説明します。
VendorName: `AWS`、名前: `AWSManagedRulesATPRuleSet`、WCU: 50
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) マネージドルールグループは、悪意のあるアカウント乗っ取りの試みの一部である可能性のあるリクエストにラベルを付けて管理します。ルールグループは、クライアントでアプリケーションのログインエンドポイントに送信するログイン試行を検査することでこれを行います。
+ **リクエスト検査** – ATP を使用すると、異常なログイン試行や盗まれた認証情報を使用するログイン試行を可視化して制御できるため、不正行為につながる可能性のあるアカウントの乗っ取りを防ぐことができます。ATP は、盗まれた認証情報のデータベースに照らして E メールとパスワードの組み合わせをチェックします。このデータベースは、漏洩された認証情報がダークウェブ上で新しく見つかると定期的に更新されます。ATP は、IP アドレスやクライアントセッションごとにデータを集約し、不審なリクエストを大量に送信するクライアントを検出してブロックします。
+ **レスポンス検査** – CloudFront ディストリビューションの場合、ATP ルールグループは、受信したログインリクエストを検査するだけでなく、ログイン試行に対するアプリケーションの応答も検査して、成功率と失敗率を追跡します。この情報を使用して、ATP はログイン失敗の回数が過度に多いクライアントセッションまたは IP アドレスを一時的にブロックできます。 AWS WAF は、レスポンス検査を非同期で実行するため、ウェブトラフィックのレイテンシーが大きくなることはありません。
## このルールグループの使用に関する考慮事項
このルールグループには特定の設定が必要です。このルールグループを設定および実装するには、「[AWS WAF Fraud Control アカウント乗っ取り防止 (ATP)](waf-atp.md)」のガイダンスを参照してください。
このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、「[でのインテリジェントな脅威の軽減 AWS WAF](waf-managed-protections.md)」を参照してください。
**注記**
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
コストを抑え、ウェブトラフィックを希望どおりに管理していることを確実にするには、[でのインテリジェントな脅威軽減のベストプラクティス AWS WAF](waf-managed-protections-best-practices.md) のガイダンスに従ってこのルールグループを使用してください。
このルールグループは、Amazon Cognito ユーザープールでは使用できません。このルールグループを使用する保護パック (ウェブ ACL) をユーザープールに関連付けることはできません。また、このルールグループをユーザープールに既に関連付けられた保護パック (ウェブ ACL) に追加することはできません。
## このルールグループによって追加されるラベル
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
### トークンラベル
このルールグループは、 AWS WAF トークン管理を使用して、 AWS WAF トークンのステータスに従ってウェブリクエストを検査し、ラベル付けします。 は、クライアントセッションの追跡と検証にトークン AWS WAF を使用します。
トークンおよびトークンの管理の詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。
ここで説明するラベルコンポーネントについては、「[でのラベル構文と命名要件 AWS WAF](waf-rule-label-requirements.md)」を参照してください。
**クライアントセッションラベル**
ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子`awswaf:managed:token:id:identifier`が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。
**注記**
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。
**ブラウザフィンガープリントラベル**
ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子`awswaf:managed:token:fingerprint:fingerprint-identifier`が含まれています。この識別子は、複数のトークン取得の試行全体で同じままです。フィンガープリント識別子は、単一のクライアントに対して一意ではありません。
**注記**
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。
**トークンステータスラベル: ラベル名前空間プレフィックス**
トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。
各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
+ `awswaf:managed:token:`— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。
+ `awswaf:managed:captcha:`— トークンの CAPTCHA 情報のステータスを報告するために使用されます。
**トークンステータスラベル: ラベル名**
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
+ `accepted` - リクエストトークンが存在し、以下の内容が含まれています。
+ 有効なチャレンジまたは CAPTCHA ソリューション。
+ 有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。
+ 保護パック (ウェブ ACL) に有効なドメイン仕様。
例: ラベル `awswaf:managed:token:accepted` には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。
+ `rejected` - リクエストトークンは存在するが、承認基準を満たしていない。
トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
+ `rejected:not_solved` — トークンにチャレンジまたは CAPTCHA ソリューションがない。
+ `rejected:expired` — 保護パック (ウェブ ACL) に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。
+ `rejected:domain_mismatch` — トークンのドメインが、保護パック (ウェブ ACL) のトークンドメイン設定と一致しない。
+ `rejected:invalid` – 指定されたトークンを読み取ることが AWS WAF できませんでした。
例: ラベル `awswaf:managed:captcha:rejected` と `awswaf:managed:captcha:rejected:expired` とともに、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定されている CAPTCHA トークンのイミュニティ時間を超えたために、リクエストには有効な CAPTCHA 解決がなかったことが示されています。
+ `absent` — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。
例: ラベル `awswaf:managed:captcha:absent` には、リクエストにトークンがないことが示されています。
### ATP ラベル
ATP マネージドルールグループは、名前空間プレフィックス `awswaf:managed:aws:atp:` が付いたラベルを生成し、その後にカスタム名前空間およびラベル名が付いたラベルを生成します。
ルールグループは、ルールリストに記載されているラベルに加えて、次のラベルのいずれかを追加する場合があります。
+ `awswaf:managed:aws:atp:signal:credential_compromised` – リクエストで送信された認証情報が、盗まれた認証情報データベースに含まれていることを示します。
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint` – 保護されている Amazon CloudFront ディストリビューションでのみ利用できます。クライアントセッションが、疑わしい TLS フィンガープリントを使用した複数のリクエストを送信したことを示します。
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip` - 5 つを超える異なる IP アドレス間で単一のトークンが使用されていることを示します。このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ラベルが適用される前に、いくつかのリクエストが制限を超えることがあります。
`DescribeManagedRuleGroup` を呼び出すことにより、API を介してルールグループのすべてのラベルを取得できます。ラベルは、応答の `AvailableLabels` プロパティにリストされています。
## アカウント乗っ取り防止のルールリスト
次のセクションには、`AWSManagedRulesATPRuleSet` の ATP ルールとルールグループがウェブリクエストに追加するラベルが示されています。
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
| ルール名 | 説明とラベル |
| --- | --- |
| UnsupportedCognitoIDP | Amazon Cognito ユーザープールに向かうウェブトラフィックの有無を検査します。ATP は Amazon Cognito ユーザープールでは使用できません。このルールは、他の ATP ルールグループのルールがユーザープールのトラフィックの評価に使用されないようにすることに役立ちます。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:unsupported:cognito_idp` および `awswaf:managed:aws:atp:UnsupportedCognitoIDP` |
| VolumetricIpHigh | 個々の IP アドレスから送信された大量のリクエストを検査します。大量とは、10 分ウィンドウにリクエストが 20 件を超えることです。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。大量の場合、ルールアクションが適用される前に、いくつかのリクエストが制限を超える可能性があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` および `awswaf:managed:aws:atp:VolumetricIpHigh` ルールグループは、中程度の量 (10 分間の時間枠あたり 15 件以上のリクエスト) および少量 (10 分間の時間枠あたり 10 件以上のリクエスト)のリクエストに対して、以下のラベル `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` および `awswaf:managed:aws:atp:aggregate:volumetric:ip:low` を適用しますが、アクションは実行しません。 |
| VolumetricSession | 個々のクライアントセッションから送信された大量のリクエストを検査します。しきい値は、30 分ウィンドウあたり 20 を超えるリクエスト数に設定します。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:aggregate:volumetric:session` および `awswaf:managed:aws:atp:VolumetricSession` |
| AttributeCompromisedCredentials | 盗まれた認証情報を使用する同じクライアントセッションからの複数リクエストを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` および `awswaf:managed:aws:atp:AttributeCompromisedCredentials` |
| AttributeUsernameTraversal | ユーザー名トラバーサルを使用する同じクライアントセッションからの複数リクエストを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` および `awswaf:managed:aws:atp:AttributeUsernameTraversal` |
| AttributePasswordTraversal | パスワードトラバーサルと同じユーザー名を使用する複数のリクエストを検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` および `awswaf:managed:aws:atp:AttributePasswordTraversal` |
| AttributeLongSession | 長期に継続するセッションを使用する同じクライアントセッションからの複数リクエストを検査します。しきい値は、30 分ごとに少なくとも 1 つのログインリクエストが存在する 6 時間を超えるトラフィックです。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:aggregate:attribute:long_session` および `awswaf:managed:aws:atp:AttributeLongSession` |
| TokenRejected | トークン管理によって拒否された AWS WAF トークンを含むリクエストを検査します。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 ルールアクション: Block ラベル: なし。トークンが拒否されたかどうか確認するには、ラベル一致ルールを使用してラベル `awswaf:managed:token:rejected` を照合します。 |
| SignalMissingCredential | 認証情報を含むリクエストに、ユーザー名またはパスワードが不足しているかどうか検査します。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:signal:missing_credential` および `awswaf:managed:aws:atp:SignalMissingCredential` |
| VolumetricIpFailedLoginResponseHigh | 最近のログイン試行の失敗率が過度に高い IP アドレスを検査します。大量とは、10 分間の時間枠に 1 つの IP アドレスからの失敗したログインリクエストが 10 件を超えることです。 レスポンス本文または JSON コンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。 このルールは、同じ IP アドレスからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、IP アドレスからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。 AWS WAF は、Amazon CloudFront ディストリビューションを保護する保護パック (ウェブ ACLs) でのみこのルールを評価します。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後のログイン試行に対して一致処理を開始する前に、許可されているよりも多い回数の失敗したログイン試行がクライアントから送信される可能性があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` および `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` ルールグループは、次の関連ラベルもリクエストに適用します。関連するアクションはありません。すべてのカウントは 10 分間の時間枠のものです。5 件以上の失敗したリクエストには `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`、1 件以上の失敗したリクエストには `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low`、10 件以上の成功したリクエスト には `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high`、5 件以上の成功したリクエストには `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium`、1 件以上の成功したリクエストには `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` です。 |
| VolumetricSessionFailedLoginResponseHigh | 最近のログイン試行の失敗率が過度に高いクライアントセッションを検査します。大量とは、30 分間の時間枠にクライアントセッションからの失敗したログインリクエストが 10 件を超えることです。 レスポンス本文または JSON コンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。 このルールは、同じクライアントセッションからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、クライアントセッションからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。 AWS WAF は、Amazon CloudFront ディストリビューションを保護する保護パック (ウェブ ACLs) でのみこのルールを評価します。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後のログイン試行に対して一致処理を開始する前に、許可されているよりも多い回数の失敗したログイン試行がクライアントから送信される可能性があります。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 ルールアクション: Block ラベル: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` および `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` ルールグループは、次の関連ラベルもリクエストに適用します。関連するアクションはありません。すべてのカウントは 30 分間の時間枠のものです。5 件以上の失敗したリクエストには `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`、1 件以上の失敗したリクエストには `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low`、10 件以上の成功したリクエスト には `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high`、5 件以上の成功したリクエストには `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium`、1 件以上の成功したリクエストには `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` です。 |
# AWS WAF Bot Control ルールグループ
このセクションでは、Bot Control マネージドルールグループの動作について説明します。
VendorName: `AWS`、名前: `AWSManagedRulesBotControlRuleSet`、WCU: 50
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
Bot Control の新しいボット分類をリクエストする必要がある場合、またはここで説明されていない追加情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。
Bot Control マネージドルールグループは、ボットからのリクエストを管理するルールを提供します。ボットは過剰なリソースを消費し、ビジネスメトリクスを歪め、ダウンタイムを引き起こし、悪意のあるアクティビティを実行する可能性があります。
## 保護レベル
Bot Control マネージドルールグループには、次の 2 レベルの保護から選択できます。
+ **共通** – ウェブスクレイピングフレームワーク、検索エンジン、自動ブラウザなど、さまざまな自己識別ボットを検出します。このレベルの Bot Control 保護は、静的リクエストデータ分析など、従来のボット検出技術を使用して一般的なボットを識別します。ルールはこれらのボットからのトラフィックにラベルを付け、検証できないものはブロックします。
+ **ターゲットを絞った** – 一般的な保護機能に加え、自己識別を行わない高度なボットに対するターゲットを絞った検出機能も追加されています。ターゲットを絞った保護は、レート制限と CAPTCHA およびバックグラウンドブラウザのチャレンジの組み合わせを使用してボットアクティビティを軽減します。
+ **`TGT_`** – ターゲットを絞った保護を提供するルールには、`TGT_` で始まる名前が付いています。すべてのターゲットを絞った保護では、ブラウザ調査、フィンガープリント、行動ヒューリスティックなどの検出技術を使用して不正なボットトラフィックを識別します。
+ **`TGT_ML_`** – 機械学習を使用するターゲットを絞った保護のルールには、`TGT_ML_` で始まる名前が付いています。これらのルールでは、ウェブサイトトラフィック統計の自動機械学習分析を使用して、分散された調整されたボットアクティビティを示す異常な動作を検出します。 は、タイムスタンプ、ブラウザの特性、以前にアクセスした URL などのウェブサイトトラフィックに関する統計 AWS WAF を分析し、Bot Control 機械学習モデルを改善します。機械学習機能はデフォルトで有効になっていますが、ルールグループ設定で無効にすることができます。機械学習が無効になっている場合、 AWS WAF はこれらのルールを評価しません。
ターゲットを絞った保護レベルと AWS WAF レートベースのルールステートメントはどちらもレート制限を提供します。この 2 つのオプションの比較については、「[レートベースのルールとターゲットを絞った Bot Control ルールにおけるレート制限のオプション](waf-rate-limiting-options.md)」を参照してください。
## このルールグループの使用に関する考慮事項
このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、「[でのインテリジェントな脅威の軽減 AWS WAF](waf-managed-protections.md)」を参照してください。
**注記**
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
コストを抑え、ウェブトラフィックを希望どおりに管理していることを確実にするには、[でのインテリジェントな脅威軽減のベストプラクティス AWS WAF](waf-managed-protections-best-practices.md) のガイダンスに従ってこのルールグループを使用してください。
ボットの予測を改善するために、ターゲットを絞った保護レベルの ML に基づくルールの機械学習 (ML) モデルを定期的に更新しています。ML に基づくルールには、`TGT_ML_` で始まる名前があります。これらのルールによって行われたボット予測に突然、大幅な変更が見られた場合は、アカウントマネージャーを通じて当社に連絡するか、「[AWS サポート センター](https://console.aws.amazon.com/support/home#/)」でケースを開いてください。
## このルールグループによって追加されるラベル
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
### トークンラベル
このルールグループは、 AWS WAF トークン管理を使用して、 AWS WAF トークンのステータスに従ってウェブリクエストを検査し、ラベル付けします。 は、クライアントセッションの追跡と検証にトークン AWS WAF を使用します。
トークンおよびトークンの管理の詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。
ここで説明するラベルコンポーネントについては、「[でのラベル構文と命名要件 AWS WAF](waf-rule-label-requirements.md)」を参照してください。
**クライアントセッションラベル**
ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子`awswaf:managed:token:id:identifier`が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。
**注記**
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。
**ブラウザフィンガープリントラベル**
ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子`awswaf:managed:token:fingerprint:fingerprint-identifier`が含まれています。この識別子は、複数のトークン取得の試行全体で同じままです。フィンガープリント識別子は、単一のクライアントに対して一意ではありません。
**注記**
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。
**トークンステータスラベル: ラベル名前空間プレフィックス**
トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。
各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
+ `awswaf:managed:token:`— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。
+ `awswaf:managed:captcha:`— トークンの CAPTCHA 情報のステータスを報告するために使用されます。
**トークンステータスラベル: ラベル名**
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
+ `accepted` - リクエストトークンが存在し、以下の内容が含まれています。
+ 有効なチャレンジまたは CAPTCHA ソリューション。
+ 有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。
+ 保護パック (ウェブ ACL) に有効なドメイン仕様。
例: ラベル `awswaf:managed:token:accepted` には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。
+ `rejected` - リクエストトークンは存在するが、承認基準を満たしていない。
トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
+ `rejected:not_solved` — トークンにチャレンジまたは CAPTCHA ソリューションがない。
+ `rejected:expired` — 保護パック (ウェブ ACL) に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。
+ `rejected:domain_mismatch` — トークンのドメインが、保護パック (ウェブ ACL) のトークンドメイン設定と一致しない。
+ `rejected:invalid` – 指定されたトークンを読み取ることが AWS WAF できませんでした。
例: ラベル `awswaf:managed:captcha:rejected` と `awswaf:managed:captcha:rejected:expired` とともに、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定されている CAPTCHA トークンのイミュニティ時間を超えたために、リクエストには有効な CAPTCHA 解決がなかったことが示されています。
+ `absent` — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。
例: ラベル `awswaf:managed:captcha:absent` には、リクエストにトークンがないことが示されています。
### Bot Control ラベル
Bot Control マネージドルールグループは、名前空間プレフィックス `awswaf:managed:aws:bot-control:` の後にカスタム名前空間およびラベル名が続くラベルを生成します。ルールグループは、リクエストに複数のラベルを追加する場合があります。
各ラベルは、Bot Control ルールの検出結果を反映しています。
+ `awswaf:managed:aws:bot-control:bot:` – リクエストに関連付けられたボットに関する情報。
+ `awswaf:managed:aws:bot-control:bot:name:` – ボット名は (利用可能な場合)、たとえばカスタム名前空間 `bot:name:slurp`、`bot:name:googlebot`、`bot:name:pocket_parser`。
+ `awswaf:managed:aws:bot-control:bot:name:` – WBA 署名の RFC 製品トークンを使用して特定のボットを識別します。これは、特定のボットの詳細なカスタムルールを作成するために使用されます。たとえば、他のクローラを許可`GoogleBot`し、レート制限します。
+ `awswaf:managed:aws:bot-control:bot:category:` – ボットのカテゴリ AWS WAF。 `bot:category:search_engine`や などで定義されます`bot:category:content_fetcher`。
+ `awswaf:managed:aws:bot-control:bot:account:` – Amazon Bedrock エージェントコアを使用するボットのみ。このラベルには、エージェントを所有する AWS アカウントを一意に識別する不透明なハッシュが含まれています。このラベルを使用して、ログにアカウント IDs を公開することなく、特定の AWS アカウントのボットを許可、ブロック、またはレート制限するカスタムルールを作成します。
+ `awswaf:managed:aws:bot-control:bot:web_bot_auth:` – ウェブボット認証 (WBA) 検証がリクエストに対して実行されるときに適用されます。ステータスサフィックスは検証結果を示します。
+ `web_bot_auth:verified` – パブリックキーディレクトリに対して正常に検証された署名
+ `web_bot_auth:invalid` – 署名は存在しますが、暗号検証は失敗しました
+ `web_bot_auth:expired` – 署名が期限切れの暗号キーを使用
+ `web_bot_auth:unknown_bot` – キーディレクトリにキー ID が見つかりません
**注記**
`web_bot_auth:verified` ラベルが存在する場合、 ルール`CategoryAI`と `TGT_TokenAbsent`ルールが一致しないため、検証済みの WBA ホストを続行できます。
+ `awswaf:managed:aws:bot-control:bot:organization:` – ボットのパブリッシャー (例: `bot:organization:google`)。
+ `awswaf:managed:aws:bot-control:bot:verified` – 自己を識別し、Bot Control が検証できたボットを示すために使用されます。これは、一般的な望ましいボットに使用され、`bot:category:search_engine` のようなカテゴリラベルや `bot:name:googlebot` のような名前ラベルと組み合わせると便利です。
**注記**
Bot Control は、ウェブリクエストの送信元の IP アドレスを使用して、ボットが検証されているかどうかを判断します。 AWS WAF 転送される IP 設定を使用して別の IP アドレスソースを検査するように設定することはできません。プロキシまたはロードバランサーを介してルーティングするボットを検証した場合、Bot Control ルールグループの前に実行するルールを追加してこの問題に対処します。転送された IP アドレスを使用し、検証済みのボットからのリクエストを明示的に許可するように新しいルールを設定します。転送した IP アドレスの詳細については、「[で転送された IP アドレスを使用する AWS WAF](waf-rule-statement-forwarded-ip-address.md)」を参照してください。
+ `awswaf:managed:aws:bot-control:bot:vendor:` – 検証済みボットのベンダーまたはオペレーターを識別します。現在、Agentcore でのみ使用できます。を使用して、個々のボット名に関係なく、特定のボットベンダーを許可またはブロックするカスタムルールを作成します。
+ `awswaf:managed:aws:bot-control:bot:user_triggered:verified` – 検証済みのボットに類似しているが、エンドユーザーによって直接呼び出される可能性のあるボットを示すために使用されます。このカテゴリのボットは、Bot Control のルールによって未検証のボットのように扱われます。
+ `awswaf:managed:aws:bot-control:bot:developer_platform:verified` – 検証済みのボットに類似しているが、Google Apps Script などのデベロッパープラットフォームによってスクリプト作成のために使用されるボットを示すために使用されます。このカテゴリのボットは、Bot Control のルールによって未検証のボットのように扱われます。
+ `awswaf:managed:aws:bot-control:bot:unverified` – 自己を識別するボットを示すために使用されるため、名前を付けて分類できます。ただし、そのボットのアイデンティティを個別に検証する場合に使用する情報は公開されていません。これらの種類のボットシグネチャは改ざんされる可能性があるため、未検証として扱われます。
+ `awswaf:managed:aws:bot-control:targeted: ` — Bot Control の対象となる保護に固有のラベルに使用されます。
+ `awswaf:managed:aws:bot-control:signal:` および `awswaf:managed:aws:bot-control:targeted:signal: ` — 一部の状況において、リクエストに関する追加情報を提供するために使用されます。
シグナルラベルの例は、次のとおりです。これは網羅的なリストではありません。
+ `awswaf:managed:aws:bot-control:signal:cloud_service_provider:` – リクエストのクラウドサービスプロバイダー (CSP) を示します。CSP の例には Amazon Web Services インフラストラクチャの `aws`、Google Cloud Platform (GCP) インフラストラクチャの `gcp`、Microsoft Azure クラウドサービスの `azure`、Oracle Cloud サービスの `oracle` などがあります。
+ `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` — Selenium IDE など、自動化をサポートするブラウザー拡張機能が検出されたことを示します。
このラベルは、ユーザーがこのタイプの拡張をインストールすると、ユーザーが自発的に使用していない場合でも追加されます。このためのラベル照合ルールを実装する場合は、ルールロジックとアクション設定で誤検出が発生する可能性があることに注意してください。たとえば、オートメーションが使用されていることを確保するために、Block の代わりに CAPTCHA アクションを使用したり、このラベルマッチを他のラベルマッチと組み合わせたりすることができます。
+ `awswaf:managed:aws:bot-control:signal:automated_browser` — リクエストに、クライアントブラウザが自動化されている可能性があることを示す要素が含まれていることを示します。
+ `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` – リクエストの AWS WAF トークンに、クライアントブラウザが自動化されている可能性があることを示すインジケータが含まれていることを示します。
`DescribeManagedRuleGroup` を呼び出すことにより、API を介してルールグループのすべてのラベルを取得できます。ラベルは、応答の `AvailableLabels` プロパティにリストされています。
Bot Control マネージドルールグループは、一般的に許可されている検証可能な一連のボットにラベルを適用します。ルールグループは、これらの検証済みボットをブロックしません。必要に応じて、Bot Control マネージドルールグループによって適用されたラベルを使用するカスタムルールを記述することで、それらのボットまたはそのサブセットをブロックできます。これと例の詳細については、「[AWS WAF ボットコントロール](waf-bot-control.md)」を参照してください。
## Bot Control のルールリスト
このセクションには Bot Control ルールが表示されています。
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
Bot Control の新しいボット分類をリクエストする必要がある場合、またはここで説明されていない追加情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。
| ルール名 | 説明 |
| --- | --- |
| CategoryAdvertising | 広告目的で使用されるボットを検査します。例えば、プログラムによるウェブサイトへのアクセスを必要とするサードパーティーの広告サービスを使用する場合があります。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:advertising` および `awswaf:managed:aws:bot-control:CategoryAdvertising` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryArchiver | アーカイブ目的で使用されるボットを検査します。これらのボットは、アーカイブを作成する目的でウェブをクロールし、コンテンツをキャプチャします。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:archiver` および `awswaf:managed:aws:bot-control:CategoryArchiver` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryContentFetcher | ユーザーに代わってアプリケーションのウェブサイトにアクセスし、RSS フィードのようなコンテンツを取得したり、コンテンツを検証したりするボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:content_fetcher` および `awswaf:managed:aws:bot-control:CategoryContentFetcher` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryEmailClient | アプリケーションのウェブサイトを指し示すメール内のリンクをチェックするボットを検査します。これには、E メール内のリンクを確認したり、疑わしい電子メールにフラグを立てたりする企業や E メールプロバイダーによって実行されるボットが含まれます。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:email_client` および `awswaf:managed:aws:bot-control:CategoryEmailClient` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryHttpLibrary | さまざまなプログラミング言語の HTTP ライブラリからボットによって生成されたリクエストを検査します。これらには、許可またはモニタリングする API リクエストが含まれる場合があります。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:http_library` および `awswaf:managed:aws:bot-control:CategoryHttpLibrary` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryLinkChecker | 壊れたリンクをチェックするボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:link_checker` および `awswaf:managed:aws:bot-control:CategoryLinkChecker` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryMiscellaneous | 他のカテゴリに一致しないその他のボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:miscellaneous` および `awswaf:managed:aws:bot-control:CategoryMiscellaneous` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryMonitoring | モニタリング目的で使用されるボットを検査します。例えば、パフォーマンスや稼働時間などをモニタリングするために、アプリケーションのウェブサイトに定期的に ping を送信するボットモニタリングサービスを使用することができます。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:monitoring` および `awswaf:managed:aws:bot-control:CategoryMonitoring` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryPagePreview | コンテンツがメッセージングプラットフォーム、ソーシャルメディア、またはコラボレーションツールで共有されているときに、ページプレビューを生成し、プレビューをリンクするボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:page_preview` および `awswaf:managed:aws:bot-control:CategoryPagePreview` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryScrapingFramework | ウェブサイトからのコンテンツのクロールと抽出を自動化するために使用される、ウェブスクレイピングフレームワークからのボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:scraping_framework` および `awswaf:managed:aws:bot-control:CategoryScrapingFramework` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategorySearchEngine | ウェブサイトをクロールしてコンテンツをインデックス化し、その情報を検索エンジンの結果に利用できるようにする検索エンジンボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:search_engine` および `awswaf:managed:aws:bot-control:CategorySearchEngine` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategorySecurity | ウェブアプリケーションの脆弱性をスキャンしたり、セキュリティ監査を実施したりするボットを検査します。例えば、ウェブアプリケーションのセキュリティをスキャン、モニタリング、または監査するサードパーティーのセキュリティベンダーを利用することができます。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:security` および `awswaf:managed:aws:bot-control:CategorySecurity` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategorySeo | 検索エンジンの最適化に使用されるボットを検査します。例えば、検索エンジンのランキングを向上させるために、サイトをクロールする検索エンジンツールを使用することができます。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:seo` および `awswaf:managed:aws:bot-control:CategorySeo` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategorySocialMedia | ユーザーがコンテンツを共有するときに、コンテンツの概要を提供するためにソーシャルメディアプラットフォームで使用されるボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:social_media` および `awswaf:managed:aws:bot-control:CategorySocialMedia` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryWebhooks | HTTP コールバックを通じて、あるアプリケーションから別のアプリケーションに自動的に通知とデータ更新を配信するボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:webhooks` および `awswaf:managed:aws:bot-control:CategoryWebhooks` 検証済みボットについては、ルールグループはこのルールに一致もしないし、アクションを実行しませんが、ボット名とカテゴリにラベル付け、また、ラベル `awswaf:managed:aws:bot-control:bot:verified` を追加します。 |
| CategoryAI | 人工知能 (AI) ボットを検査します。 このルールは、ボットの検証の有無にかかわらず、すべての一致のアクションに適用します。 ルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:bot:category:ai` および `awswaf:managed:aws:bot-control:CategoryAI` 検証済みボットの場合、ルールグループはこのルールに一致し、アクションを実行します。さらに、ボット名とカテゴリのラベル付け、ルールのラベル付け、ラベル `awswaf:managed:aws:bot-control:bot:verified` が追加されます。 |
| SignalAutomatedBrowser | 検証済みのボットからのリクエストを検査し、クライアントブラウザが自動化されている可能性があることを示す要素があるかどうかを確認します。自動ブラウザはテストやスクレイピングに使用できます。例えば、以下のようなタイプのブラウザを使用して、アプリケーションウェブサイトのモニタリングや検証を行うことができます。 ルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:signal:automated_browser` および `awswaf:managed:aws:bot-control:SignalAutomatedBrowser` 検証済みボットの場合、ルールグループはこのルールに一致せず、シグナルラベルやルールラベルは適用されません。 |
| SignalKnownBotDataCenter | 検証済みのボットからではないリクエストを検査し、ボットが通常使用するデータセンターの要素があるかどうかを確認します。 ルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:signal:known_bot_data_center` および `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter` 検証済みボットの場合、ルールグループはこのルールに一致せず、シグナルラベルやルールラベルは適用されません。 |
| SignalNonBrowserUserAgent | 検証済みのボットからではないリクエストを検査し、ウェブブラウザからではないと考えられるユーザーエージェント文字列を検査します。このカテゴリには API リクエストが含まれる場合があります。 ルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` および `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent` 検証済みボットの場合、ルールグループはこのルールに一致せず、シグナルラベルやルールラベルは適用されません。 |
| TGT\$1VolumetricIpTokenAbsent | 検証済みのボットからではないリクエストを検査し、過去 5 分間の単一クライアントからのリクエストで、有効なチャレンジトークンが含まれていないものが 5 つ以上あるかどうかを確認します。トークンの詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 同じクライアントからのリクエストで、最近トークンの欠落が発生するようになったという場合は、このルールがトークンを有するリクエストに一致する可能性があります。 このルールが適用されるしきい値は、レイテンシーによって若干異なる場合があります。 このルールは、トークンラベル `awswaf:managed:token:absent` とは異なる方法で欠落したトークンを処理します。トークンラベルは、トークンがない個々のリクエストにラベルを付けます。このルールは、各クライアント IP のトークンが欠落しているリクエスト数を把握し、制限を超過するクライアントに一致させます。 ルールアクション: Challenge ラベル: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` および `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent` |
| TGT\$1TokenAbsent | 有効なチャレンジトークンを含まない検証済みのボットからのリクエストを検査します。トークンの詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 ルールアクション: Count ラベル: `awswaf:managed:aws:bot-control:TGT_TokenAbsent` |
| TGT\$1VolumetricSession | 5 分間で、単一クライアントセッションの検証済みのボットからではないリクエスト数が異常に多いかどうかを検査します。評価は、履歴トラフィックパターンを使用して が AWS WAF 維持する標準ボリューメトリックベースラインとの比較に基づいています。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 このルールは、有効にしてから有効になるまでに 5 分かかることがあります。Bot Control は、現在のトラフィックを が AWS WAF 計算するトラフィックベースラインと比較することで、ウェブトラフィックの異常な動作を識別します。 ルールアクション: CAPTCHA ラベル: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` および `awswaf:managed:aws:bot-control:TGT_VolumetricSession` ルールグループは、最小しきい値を超える中規模および低ボリュームのリクエストに次のラベルを適用します。これらのレベルでは、クライアントが検証されているかどうかにかかわらず、ルールは何も実行しません。すなわち、`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` および `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`。 |
| TGT\$1VolumetricSessionMaximum | 5 分間で、単一クライアントセッションの検証済みのボットからではないリクエスト数が異常に多いかどうかを検査します。評価は、履歴トラフィックパターンを使用して が AWS WAF 維持する標準ボリューメトリックベースラインとの比較に基づいています。 このルールは、評価における最大の信頼度を示します。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 このルールは、有効にしてから有効になるまでに 5 分かかることがあります。Bot Control は、現在のトラフィックを が AWS WAF 計算するトラフィックベースラインと比較することで、ウェブトラフィックの異常な動作を識別します。 ルールアクション: Block ラベル: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` および `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum` |
| TGT\$1SignalAutomatedBrowser | クライアントブラウザが自動化されている可能性があることを示す要素がないか、リクエストのトークンを検査します。詳細については、「[AWS WAF トークンの特性](waf-tokens-details.md)」を参照してください。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 ルールアクション: CAPTCHA ラベル: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` および `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser` |
| TGT\$1SignalBrowserAutomationExtension | Selenium IDE などの自動化を支援するブラウザ拡張機能の存在を示す検証済みのボットからではないリクエストを検査します。このルールの一致は、ユーザーがこのタイプの拡張をインストールすると、ユーザーが自発的に使用していない場合でも追加されます。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 ルールアクション: CAPTCHA ラベル: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` および `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension` |
| TGT\$1SignalBrowserInconsistency | 検証済みボットからではないリクエストを検査し、一貫性のないブラウザインテロゲーションデータがないかを確認します。詳細については、「[AWS WAF トークンの特性](waf-tokens-details.md)」を参照してください。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。 ルールアクション: CAPTCHA ラベル: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` および `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency` |
| TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh | 検証済みボットからではないリクエストを検査し、分散、および調整されたボットアクティビティと一致する異常な動作があるかどうかを確認します。ルールレベルは、リクエストのグループが協調攻撃に参加しているかどうかの信頼度のレベルを示します。 これらのルールは、ルールグループが機械学習 (ML) を使用するように設定されている場合にのみ実行されます。この場合の設定については、「[AWS WAF Bot Control マネージドルールグループをウェブ ACL に追加する](waf-bot-control-rg-using.md)」を参照してください。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 AWS WAF は、ウェブサイトトラフィック統計の機械学習分析を通じてこの検査を実行します。 は、数分ごとにウェブトラフィック AWS WAF を分析し、多くの IP アドレスに分散されている低強度で長期間のボットの検出のために分析を最適化します。 これらのルールは、協調攻撃が進行中ではないと判断される前に、ごく少数のリクエストに一致する場合があります。そのため、表示された一致が 1 つか 2 つしかない場合は、結果が誤検出である可能性があります。ただし、これらのルールからの一致が多数表示されている場合は、協調攻撃を受けていると考えられます。 ML オプションで Bot Control ターゲットルールを有効にしてから、これらのルールが有効になるまでに最大 24 時間かかることがあります。Bot Control は、現在のトラフィックを が計算した AWS WAF トラフィックベースラインと比較することで、ウェブトラフィックの異常な動作を識別します。 は、Bot Control のターゲットルールを ML オプションで使用している間 AWS WAF のみベースラインを計算し、意味のあるベースラインを確立するまでに最大 24 時間かかる場合があります。 これらのルールの機械学習モデルを定期的に更新して、ボットの予測を改善します。これらのルールによってボット予測が突然大幅に変更された場合は、アカウントマネージャーに連絡するか、「[AWS サポート センター](https://console.aws.amazon.com/support/home#/)」でケースを開きます。 ルールのアクション: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-bot.html) ラベル: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` および `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High` |
| TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh | 過去 5 分間に、検証済みのボットからではないリクエストを検査し、複数の IP 間で単一のトークンが使用されているかを確認します。各レベルには、個別の IP 数制限があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-bot.html) このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールのアクション: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-bot.html) ラベル: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` および `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High` |
| TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh | 過去 5 分間に、検証済みのボットからではないリクエストを検査し、複数の国/地域で 1 つのトークンを使用しているかどうかを確認します。各レベルには、個別の国/地域の数に制限があります: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-bot.html) このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールのアクション: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-bot.html) ラベル: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` および `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High` |
| TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh | 検証済みボットからのものではないリクエストを検査し、過去 5 分間に、複数のネットワーク AS 番号 (ASN) で 1 つのトークンが使用されるかどうかを確認します。各レベルには、個別の ASN 数制限があります: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-bot.html) このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールのアクション: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-bot.html) ラベル: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` および `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High` |
# AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ
このセクションでは、分散型サービス拒否 (DDoS) 攻撃に対する保護の AWS WAF マネージドルールグループについて説明します。
VendorName: `AWS`、名前: `AWSManagedRulesAntiDDoSRuleSet`、WCU: 50
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
DDoS 対策マネージドルールグループは、DDoS 攻撃に関与しているか、その可能性が高いリクエストを検出して管理するルールを提供します。さらに、ルールグループは、可能性の高いイベント中に評価されるすべてのリクエストにラベルを付けます。
## このルールグループの使用に関する考慮事項
このルールグループは、DDoS 攻撃を受けているリソースに送信されるウェブリクエストをソフトかつハードに軽減します。さまざまな脅威レベルを検出するには、両方の緩和タイプの機密性を高、中、または低の疑惑レベルに調整できます。
+ **ソフトな軽減** — ルールグループは、チャレンジインタースティシャルを処理できるリクエストに応答して、サイレントブラウザチャレンジを送信できます。チャレンジを実行するための要件については、「[CAPTCHA および Challenge アクション動作](waf-captcha-and-challenge-actions.md)」を参照してください。
+ **ハードな軽減** — ルールグループはリクエストを完全にブロックできます。
ルールグループの動作方法とその設定方法の詳細については、「[Anti-DDoS マネージドルールグループを使用した高度な AWS WAF Anti-DDoS 保護](waf-anti-ddos-advanced.md)」を参照してください。
**注記**
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、「[でのインテリジェントな脅威の軽減 AWS WAF](waf-managed-protections.md)」を参照してください。
コストを最小限に抑え、トラフィック管理を最適化するには、ベストプラクティスガイドラインに従ってこのルールグループを使用します。「[でのインテリジェントな脅威軽減のベストプラクティス AWS WAF](waf-managed-protections-best-practices.md)」を参照してください。
## このルールグループによって追加されるラベル
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。
### トークンラベル
このルールグループは、 AWS WAF トークン管理を使用して、 AWS WAF トークンのステータスに従ってウェブリクエストを検査し、ラベル付けします。 は、クライアントセッションの追跡と検証にトークン AWS WAF を使用します。
トークンおよびトークンの管理の詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。
ここで説明するラベルコンポーネントについては、「[でのラベル構文と命名要件 AWS WAF](waf-rule-label-requirements.md)」を参照してください。
**クライアントセッションラベル**
ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子`awswaf:managed:token:id:identifier`が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。
**注記**
AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。
**ブラウザフィンガープリントラベル**
ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子`awswaf:managed:token:fingerprint:fingerprint-identifier`が含まれています。この識別子は、複数のトークン取得の試行全体で同じままです。フィンガープリント識別子は、単一のクライアントに対して一意ではありません。
**注記**
AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。
**トークンステータスラベル: ラベル名前空間プレフィックス**
トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。
各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
+ `awswaf:managed:token:`— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。
+ `awswaf:managed:captcha:`— トークンの CAPTCHA 情報のステータスを報告するために使用されます。
**トークンステータスラベル: ラベル名**
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
+ `accepted` - リクエストトークンが存在し、以下の内容が含まれています。
+ 有効なチャレンジまたは CAPTCHA ソリューション。
+ 有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。
+ 保護パック (ウェブ ACL) に有効なドメイン仕様。
例: ラベル `awswaf:managed:token:accepted` には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。
+ `rejected` - リクエストトークンは存在するが、承認基準を満たしていない。
トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
+ `rejected:not_solved` — トークンにチャレンジまたは CAPTCHA ソリューションがない。
+ `rejected:expired` — 保護パック (ウェブ ACL) に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。
+ `rejected:domain_mismatch` — トークンのドメインが、保護パック (ウェブ ACL) のトークンドメイン設定と一致しない。
+ `rejected:invalid` – 指定されたトークンを読み取ることが AWS WAF できませんでした。
例: ラベル `awswaf:managed:captcha:rejected` と `awswaf:managed:captcha:rejected:expired` とともに、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定されている CAPTCHA トークンのイミュニティ時間を超えたために、リクエストには有効な CAPTCHA 解決がなかったことが示されています。
+ `absent` — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。
例: ラベル `awswaf:managed:captcha:absent` には、リクエストにトークンがないことが示されています。
### DDoS 対策ラベル
DDoS 対策マネージドルールグループは、名前空間プレフィックス `awswaf:managed:aws:anti-ddos:` が付いたラベルを生成し、その後にカスタム名前空間およびラベル名が付いたラベルを生成します。各ラベルには、DDoS 対策の検出結果の一部が反映されています。
ルールグループは、個々のルールによって追加されるラベルに加えて、次のラベルをリクエストに複数追加できます。
+ `awswaf:managed:aws:anti-ddos:event-detected` – マネージドルールグループが DDoS イベントを検出する保護されたリソースにリクエストが送信されることを示します。マネージドルールグループは、リソースへのトラフィックがリソースのトラフィックベースラインから大幅に逸脱した場合にイベントを検出します。
ルールグループは、この状態のリソースに送信されるすべてのリクエストにこのラベルを追加するため、正当なトラフィックと攻撃トラフィックはこのラベルを取得します。
+ `awswaf:managed:aws:anti-ddos:ddos-request` – リクエストがイベントに参加している疑いのあるソースからのものであることを示します。
ルールグループは、一般ラベルに加えて、信頼度を示す次のラベルを追加します。
`awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request` – DDoS 攻撃の可能性があるリクエストを示します。
`awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request` – DDoS 攻撃の可能性が高いリクエストを示します。
`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` – DDoS 攻撃の可能性が非常に高いリクエストを示します。
+ `awswaf:managed:aws:anti-ddos:challengeable-request` – リクエスト URI が Challenge アクションを処理できることを示します。マネージドルールグループは、URI が除外されていないすべてのリクエストにこれを適用します。URI は、ルールグループの除外 URI 正規表現と一致する場合、除外されます。
サイレントブラウザチャレンジを実行できるリクエストの要件については、「[CAPTCHA および Challenge アクション動作](waf-captcha-and-challenge-actions.md)」を参照してください。
`DescribeManagedRuleGroup` を呼び出すことにより、API を介してルールグループのすべてのラベルを取得できます。ラベルは、応答の `AvailableLabels` プロパティにリストされています。
DDoS 対策マネージドルールグループは、リクエストにラベルを適用しますが、必ずしもそれらに対して対応するとは限りません。リクエスト管理は、ルールグループが攻撃への参加を決定する信頼度によって異なります。必要に応じて、ルールグループの後に実行されるラベル一致ルールを追加して、ルールグループがラベル付けするリクエストを管理できます。これと例の詳細については、「[AWS WAF 分散サービス拒否 (DDoS) の防止](waf-anti-ddos.md)」を参照してください。
## DDoS 対策ルールのリスト
このセクションでは、DDoS 対策ルールを一覧表示します。
**注記**
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。
AWS マネージドルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。
| ルール名 | 説明 |
| --- | --- |
| ChallengeAllDuringEvent | 現在攻撃を受けている保護されたリソースのラベル `awswaf:managed:aws:anti-ddos:challengeable-request` を持つリクエストに一致します。 ルールアクション: Challenge このルールアクションは、Allow または Count にのみオーバーライドできます。Allow の使用はお勧めしません。ルールアクション設定では、ルールは `challengeable-request` ラベルを持つリクエストのみに一致します。 このルールの設定は、次のルールの評価に影響します`ChallengeDDoSRequests`。 は、マネージドルールグループのウェブ ACL の設定で、このルールのアクションにオーバーライドが に設定されている場合にのみCount、そのルール AWS WAF を評価します。 ワークロードが予期しないリクエストボリュームの変更に対して脆弱である場合は、デフォルトのアクション設定を Challenge のままにして、すべてのチャレンジ可能なリクエストにチャレンジすることをお勧めします。機密性の低いアプリケーションでは、このルールに対するアクションを Count に設定し、ルール `ChallengeDDoSRequests` を使用して Challenge レスポンスの感度を調整できます。 ラベル: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent` |
| ChallengeDDoSRequests | リソースが攻撃を受けている期間中に、ルールグループで設定されたチャレンジ感度のしきい値以上を満たす、保護対象リソースへのリクエストに一致します。 ルールアクション: Challenge このルールアクションは、Allow または Count にのみオーバーライドできます。Allow の使用はお勧めしません。いずれの場合も、ルールは `challengeable-request` ラベルを持つリクエストのみに一致します。 AWS WAF は、前のルール Countで アクションを に上書きする場合にのみ、このルールを評価します`ChallengeAllDuringEvent`。 ラベル: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests` |
| DDoSRequests | リソースが攻撃されている間に、ルールグループの設定されたブロック感度設定を満たすか超える保護されたリソースのリクエストに一致します。 ルールアクション: Block ラベル: `awswaf:managed:aws:anti-ddos:DDoSRequests` |
# バージョニングされた AWS マネージドルールルールグループのデプロイ
このセクションでは、 が AWS マネージドルールのルールグループに更新を AWS デプロイする方法について説明します。
AWS は、リリース候補、静的バージョン、デフォルトバージョンの 3 つの標準デプロイで、バージョン管理ルール AWS ルールグループに変更をデプロイします。さらに、例外デプロイをリリースするか、デフォルトバージョンのデプロイをロールバックする必要がある AWS 場合があります。
**注記**
このセクションは、バージョニングされた AWS マネージドルールのルールグループにのみ適用されます。バージョニングされていないルールグループは、IP 評価ルールグループのみです。
**Topics**
+ [AWS マネージドルールのルールグループのデプロイに関する通知](waf-managed-rule-groups-deployments-notifications.md)
+ [AWS マネージドルールの標準デプロイの概要](waf-managed-rule-groups-deployments-standard.md)
+ [AWS マネージドルールの一般的なバージョン状態](waf-managed-rule-groups-typical-version-states.md)
+ [AWS マネージドルールの候補デプロイをリリースする](waf-managed-rule-groups-deployments-release-candidate.md)
+ [AWS マネージドルールの静的バージョンデプロイ](waf-managed-rule-groups-deployments-static-version.md)
+ [AWS マネージドルールのデフォルトバージョンのデプロイ](waf-managed-rule-groups-deployments-default-version.md)
+ [AWS マネージドルールの例外デプロイ](waf-managed-rule-groups-deployments-exceptions.md)
+ [AWS マネージドルールのデフォルトのデプロイのロールバック](waf-managed-rule-groups-deployments-default-rollbacks.md)
# AWS マネージドルールのルールグループのデプロイに関する通知
このセクションでは、Amazon SNS 通知が AWS Managed Rules ルールグループと連携する方法について説明します。
バージョニングされた AWS マネージドルールのルールグループはすべてデプロイの SNS 更新通知を提供し、すべて同じ SNS トピック Amazon リソースネーム (ARN) を使用します。バージョニングされていないルールグループは、IP 評価ルールグループのみです。
保護に影響するデプロイ (デフォルトバージョンへの変更など) の場合、 AWS は SNS 通知を提供して、計画されたデプロイについて通知し、デプロイが開始されるタイミングを知らせます。保護に影響しないデプロイ (リリース候補や静的バージョンのデプロイなど) の場合、 AWS は、デプロイが開始された後や完了した後でも通知を行う場合があります。新しい静的バージョンのデプロイが完了すると、 はこのガイドを の変更ログで更新[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md)し、 のドキュメント履歴ページで AWS 更新します[ドキュメント履歴](doc-history.md)。
AWS マネージドルールルールグループに AWS が提供するすべての更新を受け取るには、このガイドの任意の HTML ページから RSS フィードにサブスクライブし、 AWS マネージドルールルールグループの SNS トピックにサブスクライブします。SNS 通知のサブスクライブの詳細については、[マネージドルールグループに対する新しいバージョンと更新の通知を受け取る](waf-using-managed-rule-groups-sns-topic.md) を参照してください。
**SNS 通知のコンテンツ**
Amazon SNS 通知のフィールドには常に題名、本文、メッセージ属性が含まれます。追加のフィールドは、メッセージのタイプと通知対象のマネージドルールグループによって異なります。`AWSManagedRulesCommonRuleSet` の通知リストの例を次に示します。
```
{
"Type": "Notification",
"MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
"TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
"Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
"Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
"Timestamp": "2021-08-24T11:12:19.810Z",
"SignatureVersion": "1",
"Signature": "EXAMPLEHXgJm...",
"SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
"SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
"MessageAttributes": {
"major_version": {
"Type": "String",
"Value": "v1"
},
"managed_rule_group": {
"Type": "String",
"Value": "AWSManagedRulesCommonRuleSet"
}
}
}
```
# AWS マネージドルールの標準デプロイの概要
AWS は、リリース候補、静的バージョン、デフォルトバージョンの 3 つの標準デプロイステージを使用して、新しい AWS マネージドルール機能をロールアウトします。
次の図は、これらの標準的なデプロイを示しています。それぞれについて、以降のセクションで詳しく説明します。
![\[4 つの垂直スイムレーンは、異なる標準デプロイ段階を示しています。一番左のスイムレーンは、推奨された静的バージョン 1.4 にセットされたデフォルトバージョンを示しています。2 つ目のスイムレーンは、テストとチューニング用のリリース候補 (RC) バージョンにセットされたデフォルトを示しています。RC バージョンには 1.4 ルールと RC ルールが含まれています。注記は、テスト後にデフォルトが推奨された静的バージョンに戻ることを示しています。3 つ目のスイムレーンは、リリース候補バージョンのルールから静的バージョン 1.5 の作成を示しています。4 つ目のスイムレーンは、新しい推奨された静的バージョン 1.5 にセットされたデフォルトバージョンを示しています。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)
# AWS マネージドルールの一般的なバージョン状態
通常、バージョニングされたマネージドルールグループには有効期限が切れていない静的バージョンが多数あり、デフォルトバージョンは が AWS 推奨する静的バージョンを指します。次の図は、典型的な一連の静的バージョンとデフォルトバージョンの設定における例を示しています。
![\[3 つの静的バージョン、Version_1.2、Version_1.3、Version_1.4 がスタックされ、Version_1.4 が一番上に表示されます。Version_1.4 には、RuleA と RuleB という 2 つのルールがあり、どちらも稼働アクションがあります。デフォルトのバージョンインジケータは Version_1.4 を指します。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/amr-rg-versions-diagram.png)
静的バージョンにおけるほとんどのルールの稼働アクションは Block ですが、別のアクションにセットされる場合があります。ルールアクション設定の詳細については、 「[AWS マネージドルールのルールグループリスト](aws-managed-rule-groups-list.md)」で各ルールグループに関するルールのリストを参照してください。
# AWS マネージドルールの候補デプロイをリリースする
このセクションでは、一時リリース候補デプロイの仕組みについて説明します。
AWS にマネージドルールグループのルール変更の候補セットがある場合、一時的なリリース候補デプロイでテストします。 AWS は、本番トラフィックに対してカウントモードで候補ルールを評価し、誤検出の軽減を含む最終的な調整アクティビティを実行します。 は、ルールグループのデフォルトバージョンを使用するすべての顧客に対して、この方法でリリース候補ルールを AWS テストします。リリース候補のデプロイは、ルールグループの静的バージョンを使用するお客様には適用されません。
デフォルトバージョンを使用する場合、リリース候補のデプロイは、ルールグループによるウェブトラフィックの管理方法を変更しません。候補ルールがテストされている間、次のことに気づくかもしれません。
+ デフォルトバージョン名が `Default (using Version_X.Y)` から `Default (using Version_X.Y_PLUS_RC_COUNT)` に変更された。
+ 名前に `RC_COUNT` が含まれる Amazon CloudWatch の追加のカウントメトリクス。これらはリリース候補ルールによって生成されます。
AWS はリリース候補を約 1 週間テストし、それを削除してデフォルトバージョンを現在の推奨静的バージョンにリセットします。
AWS は、リリース候補のデプロイに対して次のステップを実行します。
1. **リリース候補を作成する** – 現在の推奨静的バージョンに基づいてリリース候補 AWS を追加します。これは、デフォルトが指しているバージョンです。
リリース候補の名前は、静的バージョン名に `_PLUS_RC_COUNT` が付加されたものです。例えば、現在推奨されている静的バージョンが `Version_2.1` である場合、リリース候補の名前は `Version_2.1_PLUS_RC_COUNT` になります。
リリース候補には次のルールが含まれています。
+ ルール設定を変更せずに、現在推奨されている静的バージョンから正確にコピーされたルール。
+ ルールアクションが Count に設定され、名前が `_RC_COUNT` で終わる候補の新しいルール。
ほとんどの候補ルールは、ルールグループに既に存在するルールに対して提案された改善を提供します。これらの各ルールの名前は、既存のルールの名前に `_RC_COUNT` が付加されたものです。
1. **デフォルトバージョンをリリース候補に設定し、テスト**する – 本番トラフィックに対してテストを実行するために、新しいリリース候補を指すようにデフォルトバージョン AWS を設定します。通常、テストには約 1 週間かかります。
デフォルトバージョンの名前が、静的バージョンのみを示すもの (`Default (using Version_1.4)` など) から、静的バージョンとリリース候補ルールを示すもの (`Default (using Version_1.4_PLUS_RC_COUNT)` など) に変更されます。この命名スキームにより、ウェブトラフィックの管理に使用している静的バージョンを特定できます。
次の図は、この時点でのサンプルルールグループバージョンの状態を示しています。
![\[図の上部には、スタックされた静的バージョンが 3 つ表示され、Version_1.4 が一番上にあります。静的バージョンスのタックとは別に、Version_1.4_PLUS_RC_COUNT バージョンがあります。このバージョンには、Version_1.4 のルールが含まれており、RuleB_RC_COUNT と RuleZ_RC_COUNT の 2 つのリリース候補ルールも含まれ、どちらもカウントアクションがあります。デフォルトのバージョンインジケータは Version_1.4_PLUS_RC_COUNT を指します。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)
リリース候補ルールは常に Count アクションで設定されているため、ルールグループがウェブトラフィックを管理する方法が変更されることはありません。
リリース候補ルールは、 AWS が動作の検証と誤検出の特定に使用する Amazon CloudWatch カウントメトリクスを生成します。必要に応じて調整 AWS を行い、リリース候補カウントルールの動作を調整します。
リリース候補バージョンは静的バージョンではないため、静的ルールグループバージョンのリストから選択することはできません。デフォルトバージョンの仕様では、リリース候補バージョンの名前のみが表示されます。
1. **デフォルトバージョンを推奨静的バージョンに戻す – **リリース候補ルールをテストした後、 AWS はデフォルトバージョンを現在の推奨静的バージョンに戻します。デフォルトバージョン名の設定では `_PLUS_RC_COUNT` の末尾が削除され、ルールグループはリリース候補ルールの CloudWatch カウントメトリクスの生成を停止します。これはサイレント変更であり、デフォルトバージョンロールバックのデプロイとは異なります。
次の図は、リリース候補のテストが完了した後のサンプルルールグループのバージョンの状態を示しています。
![\[これは典型的なバージョンの状態図です。Version_1.2、Version_1.3、および Version_1.4 の 3 つの静的バージョンがスタックされ、Version_1.4 が一番上に表示されます。Version_1.4 には、RuleA と RuleB という 2 つのルールがあり、どちらも稼働アクションがあります。デフォルトのバージョンインジケータは Version_1.4 を指します。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)
**タイミングと通知**
AWS は、ルールグループの改善をテストするために、必要に応じてリリース候補バージョンをデプロイします。
+ **SNS** – デプロイの開始時に SNS 通知 AWS を送信します。通知には、リリース候補がテストされる推定時間が表示されます。テストが完了すると、 は 2 回目の通知なしで、デフォルトを静的バージョン設定に AWS サイレントに返します。
+ **変更ログ** – このタイプのデプロイでは、変更ログやこのガイドの他の部分を更新 AWS しません。
# AWS マネージドルールの静的バージョンデプロイ
がリリース候補がルールグループに重要な変更を提供する AWS と判断した場合、 はリリース候補に基づいてルールグループの新しい静的バージョンを AWS デプロイします。このデプロイでは、ルールグループのデフォルトバージョンは変更されません。
新しい静的バージョンには、リリース候補からの次のルールが含まれています。
+ リリース候補ルールの中に置換候補がない、以前の静的バージョンのルール。
+ 次の変更を加えて、候補ルールをリリースします。
+ AWS は、リリース候補のサフィックス を削除してルール名を変更します`_RC_COUNT`。
+ AWS は、ルールアクションを から本番稼働用ルールアクションCountに変更します。
以前の既存のルールを置き換えるリリース候補ルールの場合、これは新しい静的バージョンの以前のルールの機能を置き換えます。
次の図は、リリース候補から新しい静的バージョンを作成する方法を示しています。
![\[図の上部には、以前のリリース候補のデプロイ図と同じルールを持つリリース候補バージョン、Version_1.4_PLUS_RC_COUNT があります。このバージョンには、Version_1.4 のルールが含まれており、RuleB_RC_COUNT と RuleZ_RC_COUNT というリリース候補ルールも含まれ、どちらもカウントアクションを持っています。この下には、図の下部に静的バージョン Version_1.5 があります。このバージョンには、ルール RuleA、RuleB、RuleZ が含まれており、すべて稼働アクションを持っています。矢印は RC バージョンから Version_1.5 を指しており、RuleA が Version_1.4 ルールからコピーされ、RuleB と RuleZ がリリース候補ルールからコピーされたことを示します。Version_1.5 のすべてのルールには稼働アクションがあります。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)
デプロイ後、新しい静的バージョンをテストして、必要に応じて保護に使用できます。[AWS マネージドルールのルールグループリスト](aws-managed-rule-groups-list.md) のルールグループのルールリストで、新規および更新されたルールアクションと説明を確認できます。
静的バージョンはデプロイ後に変更できず、 AWS が期限切れになったときにのみ変更されます。バージョンのライフサイクルについては、「[でのバージョニングされたマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups-versioning.md)」を参照してください。
**タイミングと通知**
AWS は、ルールグループ機能の改善をデプロイするために、必要に応じて新しい静的バージョンをデプロイします。静的バージョンのデプロイは、デフォルトのバージョン設定には影響しません。
+ **SNS** – デプロイが完了すると SNS 通知 AWS を送信します。
+ **変更ログ** – 利用可能なすべての場所でデプロイが完了すると、 AWS WAF は必要に応じてこのガイドのルールグループ定義 AWS を更新し、 AWS マネージドルールのルールグループ変更ログとドキュメント履歴ページでリリースを発表します。
# AWS マネージドルールのデフォルトバージョンのデプロイ
新しい静的バージョンが現在のデフォルトと比較してルールグループの保護を改善すると が AWS 判断した場合、 はデフォルトバージョンを新しい静的バージョン AWS に更新します。ルールグループのデフォルトバージョンに昇格する前に、複数の静的バージョンをリリース AWS する可能性があります。
次の図は、 がデフォルトバージョン設定を新しい静的バージョン AWS に移行した後のルールグループバージョンの例の状態を示しています。
![\[これは典型的なバージョン状態図と似ていますが、Version_1.5 がスタックの一番上にあり、デフォルトのインジケータがそれを指しています。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)
この変更をデフォルトバージョンにデプロイする前に、 は今後の変更をテストして準備できるように通知 AWS を提供します。デフォルトバージョンを使用する場合は、何も実行せずに、更新後もそのバージョンに留まることができます。デフォルトバージョンのデプロイの計画された開始の前に、代わりに新しいバージョンへの切り替えを遅らせたい場合、デフォルトが設定されている静的バージョンを使用するように、ルールグループを明示的に設定できます。
**タイミングと通知**
AWS は、現在使用されているものとは異なる静的バージョンをルールグループに推奨する場合、デフォルトバージョンを更新します。
+ **SNS** – ターゲットデプロイ日の少なくとも 1 週間前に SNS 通知を送信し、デプロイ日のデプロイ開始時に別の SNS 通知 AWS を送信します。各通知には、ルールグループ名、デフォルトバージョンの更新先の静的バージョン、デプロイ日、更新が実行されている各 AWS リージョンのデプロイのスケジュールされたタイミングが含まれます。
+ **変更ログ** – このタイプのデプロイでは、変更ログやこのガイドの他の部分を更新 AWS しません。
# AWS マネージドルールの例外デプロイ
AWS は、重要なセキュリティリスクに対処する更新を迅速にデプロイするために、標準のデプロイステージをバイパスすることがあります。例外デプロイには、標準デプロイタイプのいずれかが含まれる場合があり、 AWS リージョン間で迅速にデプロイされる可能性があります。
AWS は、例外デプロイについて可能な限り多くの事前通知を提供します。
**タイミングと通知**
AWS は、必要な場合にのみ例外デプロイを実行します。
+ **SNS** – ターゲットデプロイ日のできるだけ前に SNS 通知 AWS を送信し、デプロイの開始時に別の通知を送信します。各通知には、ルールグループ名、行われる変更、およびデプロイ日が含まれます。
+ **変更ログ** – デプロイが静的バージョンの場合、利用可能なすべての場所でデプロイが完了した後、 AWS WAF は必要に応じてこのガイドのルールグループ定義 AWS を更新し、 AWS マネージドルールのルールグループ変更ログとドキュメント履歴ページでリリースを発表します。
# AWS マネージドルールのデフォルトのデプロイのロールバック
特定の条件下で AWS は、デフォルトバージョンを以前の設定にロールバックすることがあります。ロールバックには通常、すべての AWS リージョンで 10 分未満かかります。
AWS は、許容できないほど高いレベルの誤検出など、静的バージョンの重大な問題を軽減するためにのみロールバックを実行します。
デフォルトバージョン設定のロールバック後、 は、問題のある静的バージョンの有効期限と、問題に対処するための新しい静的バージョンのリリースの両方を AWS 迅速化します。
**タイミングと通知**
AWS は、必要な場合にのみデフォルトバージョンのロールバックを実行します。
+ **SNS** – ロールバック時に単一の SNS 通知 AWS を送信します。通知には、ルールグループ名、デフォルトバージョンが設定されるバージョン、およびデプロイ日が含まれます。このデプロイタイプは非常に高速なので、通知はリージョンのタイミング情報を提供しません。
+ **変更ログ** – このタイプのデプロイでは、変更ログやこのガイドの他の部分を更新 AWS しません。
# AWS マネージドルールの変更ログ
このセクションでは、2019 年 11 月のリリース AWS WAF 以降の の AWS マネージドルールの変更を一覧表示します。
**注記**
この変更ログは、 AWS マネージドルールのルールとルールグループの変更を報告します AWS WAF。
[IP 評価ルールグループ](aws-managed-rule-groups-ip-rep.md) において、この変更ログはルールとルールグループの変更を報告し、ルールが使用する IP アドレスリストのソースに大きな変更を報告します。このルールで使用されている IP アドレスリストは動的であるため、これらのリストの変更は報告されません。IP アドレスリストについて質問がある場合は、アカウントマネージャーに連絡するか、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)でケースを開きます。
| ルールグループおよびルール | 説明 | 日付 |
| --- | --- | --- |
| [PHP アプリケーションマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.2 をリリースしました。 検出が改善され、`PHPHighRiskMethodsVariables_URIPATH`ルールが追加されました。 | 2026-03-24 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) 新しいルール: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 5.0 をリリースしました。 ページプレビューとウェブフックの 2 つの新しいボットカテゴリとそれぞれのルールを含む、複数のカテゴリにまたがる 400 以上の新しいボットを追加しました。 **主な改善点** ボット検出シグナルと一般的なボットパターンマッチングの精度が向上し、トラフィック分類の精度が向上しました。 この更新により、マネージドルールグループがボット検出を優先する方法が変更されます。特定の未検証のボットパターンが、一般的なパターンと検出シグナルの前に評価されるようになりました。つまり、リクエストは一般的な指標ではなく、最も具体的な特性に基づいて分類される可能性が高くなります。 **これはトラフィックにとって何を意味しますか。** 一般的なボットパターンの一致頻度が低くなりました。これらのパターンは、より具体的なボットルールがまだトラフィックを特定していない場合にのみ適用されます。これにより、過剰分類が軽減され、利用可能な最も正確なボット識別でリクエストにラベルが付けられます。 リクエストがクラウドサービスプロバイダー、既知のボットデータセンターから発信された、またはブラウザ以外のユーザーエージェントを使用していることを示すインジケータなどの検出シグナルが、ボット識別ルールの後に適用されるようになりました。これにより、特定のボット分類が一般的なトラフィックシグナルよりも優先されます。 **影響:** リクエストが特定のボットルールによってより正確に分類されるようになったため、トラフィックログには汎用ボットパターンのラベルが少なくなる場合があります。これにより、自動トラフィックの実際の性質をより明確に把握でき、過度に広範なパターンマッチングによるノイズが軽減されます。未検証のボット分類は、より目立つ正確なものになり、アプリケーションへの自動リクエストをよりよく理解して管理するのに役立ちます。 **注:** このバージョンには Version\$14.0 からの`awswaf:managed:aws:bot-control:bot:web_bot_auth`ラベルとルールの更新が含まれていますが、`Web Bot Auth`この機能は引き続き CloudFront でのみ使用できます。 | 2026-02-25 |
| [POSIX オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | このルールグループの静的バージョン 3.2 をリリースしました。 すべてのルールの検出署名が改善されました。 | 2026-01-15 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.25 をリリースしました。 検出を改善する`ReactJSRCE_BODY`ために を更新しました。 | 2025-12-08 |
| [POSIX オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | このルールグループの静的バージョン 3.1 をリリースしました。 すべてのルールの検出署名が改善されました。 | 2025-12-08 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.24 をリリースしました。 検出を改善する`ReactJSRCE_BODY`ために を更新しました。 | 2025-12-04 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) 新しいラベル:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) スコープ: CloudFront | Web Bot Authentication (WBA) による暗号化ボット検証をサポートする新しい静的バージョン `AWSManagedRulesBotControlRuleSet` Version\$14.0 をデプロイしました。このバージョンは明示的に選択する必要があり、デフォルトバージョンを使用して既存のデプロイを自動的に更新することはありません。 新機能: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) ルールの更新: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Version\$14.0 は静的バージョンのみであり、デフォルトのバージョン動作は変更されません。WBA 機能を使用するには、ウェブ ACL を設定するときにバージョン \$14.0 を明示的に選択します。 | 2025-11-20 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) 新しい検証済みボットラベル:広告:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)AI:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)コンテンツフェッチャー:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)ソーシャルメディア:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 主な改善点: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Bot Control のボットカテゴリルールは、検証されていないボットでのみトリガーされます。ただし、検証済みのボットでもトリガーされる CategoryAI は除きます。Version\$13.3 は静的バージョンのみであり、デフォルトのバージョン動作は変更されません。 | 2025-11-17 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.20 をリリースしました。 Server Side Request Forgery (SSRF) ルールの検出署名が改善されました。 | 2025-10-02 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.19 をリリースしました。 クロスサイトスクリプティングルールの検出シグネチャが改善されました。 | 2025-08-14 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.18 をリリースしました。 クロスサイトスクリプティングルールの検出シグネチャが改善されました。 | 2025-06-18 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) 新しいラベル: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 3.2 をリリースしました。 リストされている新しいラベルを追加しました。 | 2025-05-29 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.17 をリリースしました。 クロスサイトスクリプティングルールの検出シグネチャが改善されました。 | 2025-03-03 |
| [SQL データベースマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.3 をリリースしました。 リストされたルールにダブル `URL_DECODE_UNI` テキスト変換を追加しました。 | 2025-01-24 |
| [Linux オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.6 をリリースしました。 検出の向上を図るために署名を追加しました。 | 2025-01-24 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) Bot Control ラベルの新しいボット名ラベル: `awswaf:managed:aws:bot-control:bot::name:nytimes` | このルールグループの静的バージョン 3.1 をリリースしました。 ボット名ラベルのリストに New York Times ラベルを追加しました。 | 2024-11-07 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.16 をリリースしました。 クロスサイトスクリプティングルールの検出シグネチャが改善されました。 | 2024-10-16 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) 新しいルール: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 削除されたルール: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 新しいラベル: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 既存のルールの追加ラベル付け。 | このルールグループの静的バージョン 2.0 および 3.0 をリリースしました。バージョン 2.0 はバージョン 3.0 と同じですが、すべての新しいルールのルールアクションは Count に設定されています。このガイドは、各ルールグループの最新バージョンについて記録します。 リストされている新しいルールを追加しました。 すべてのルールがパターン `awswaf:managed:aws:bot-control:` を持つラベルを適用するようにラベルを更新しました。 Bot Control シグナルラベルにクラウドサービスプロバイダーラベルを追加しました。 ボットカテゴリルールによって検査される新しいボット名ラベルを追加しました。 | 2024-09-13 |
| [AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ](aws-managed-rule-groups-atp.md) すべてのルール | このルールグループの静的バージョン 1.1 をリリースしました。 すべてのルールがパターン `awswaf:managed:aws:atp:` を持つラベルを適用するようにラベルを更新しました。 | 2024-09-13 |
| [AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ](aws-managed-rule-groups-acfp.md) すべてのルール | このルールグループの静的バージョン 1.1 をリリースしました。 すべてのルールがパターン `awswaf:managed:aws:acfp:` を持つラベルを適用するようにラベルを更新しました。 | 2024-09-13 |
| [Linux オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) すべてのルール | このルールグループの静的バージョン 2.5 をリリースしました。 検出の向上を図るために署名を追加しました。 | 2024-09-02 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.15 をリリースしました。 汎用 LFI ルールの検出署名が改善されました。 | 2024-08-30 |
| [Windows オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.3 をリリースしました。 リストされたルールでは、誤検出を減らすために検出シグネチャをチューニングしました。 | 2024-08-28 |
| [WordPress アプリケーションマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.3 をリリースしました。 リストされたルールに JS\$1DECODE テキスト変換を追加しました。 | 2024-07-15 |
| [Linux オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.4 をリリースしました。 リストされたルールに JS\$1DECODE テキスト変換を追加しました。 | 2024-07-12 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.14 をリリースしました。 リストされているルールに JS\$1DECODE テキスト変換を追加しました。 | 2024-07-09 |
| [PHP アプリケーションマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.1 をリリースしました。 リストされているルールに JS\$1DECODE テキスト変換を追加しました。 | 2024-07-03 |
| [Windows オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.2 をリリースしました。 リストされているルールに JS\$1DECODE テキスト変換を追加しました。 | 2024-07-03 |
| [Linux オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) すべてのルール | このルールグループの静的バージョン 2.3 をリリースしました。 検出の向上を図るために署名を追加しました。 | 2024-06-06 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) [AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ](aws-managed-rule-groups-atp.md) [AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ](aws-managed-rule-groups-acfp.md) | ボットおよび不正ルールグループがバージョン管理されるようになりました。これらのルールグループを使用している場合、この更新によってウェブトラフィックの処理方法が変更されることはありません。 この更新では、現在のルールグループバージョンを静的バージョン 1.0 に設定し、それを指すデフォルトバージョンを設定します。 バージョンで管理されたルールの詳細については、以下の内容を参照してください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2024-05-29 |
| [POSIX オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 3.0 をリリースしました。 `UNIXShellCommandsVariables_QUERYARGUMENTS` を削除し、`UNIXShellCommandsVariables_QUERYSTRING` で置き換えました。`UNIXShellCommandsVariables_QUERYARGUMENTS` のラベルに一致するルールがある場合、このバージョンを使用する場合は、`UNIXShellCommandsVariables_QUERYSTRING` のラベルと一致するように切り替えます。新しいラベルは `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString` です。 すべてのヘッダーに一致するルール `UNIXShellCommandsVariables_HEADER` を追加しました。 改善された検出ロジックで管理ルールグループのすべてのルールを更新しました。 `UNIXShellCommandsVariables_BODY` のラベルの大文字が文書化されている箇所を修正しました。 | 2024-05-28 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.12 をリリースしました。 検出の向上と誤検出の低減のため、クロスサイトのスクリプティングルール全体にシグネチャーを追加しました。 | 2024-05-21 |
| [SQL データベースマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.2 をリリースしました。 リストされたルールに `JS_DECODE` テキスト変換を追加しました。 | 2024-05-14 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.22 をリリースしました。 リストされたルールに `JS_DECODE` テキスト変換を追加しました。 | 2024-05-08 |
| [POSIX オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | このルールグループの静的バージョン 2.2 をリリースしました。 2 つのルールに `JS_DECODE` テキスト変換を追加しました。 | 2024-05-08 |
| [Windows オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.1 をリリースしました。 検出結果の改善を図るために署名を `PowerShellCommands_BODY` に追加しました。 | 2024-05-03 |
| [Amazon IP 評価リストマネージドルールグループ](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | IP 評価リストのソースを更新し、悪意のあるアクティビティに積極的に関与しているアドレスの特定を改善し、誤検出を減らしました。 このルールグループはバージョン化されていないため、この更新には新しいバージョンは含まれません。 | 2024-03-13 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) | このルールグループの静的バージョン 1.21 をリリースしました。 検出を改善し、誤検出を減らすためにシグネチャを追加しました。 | 2023-12-16 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.20 をリリースしました。 Atlassian Confluence CVE-2023-22518 の不適切な認可の脆弱性に一致するリクエストの検出を追加するように `ExploitablePaths_URIPATH` ルールを更新しました。この脆弱性は Confluence Data Center および Server のすべてのバージョンに影響します。詳細については、「[NIST: National Vulnerability Database: CVE-2023-22518 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22518)」を参照してください。 | 2023-12-14 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.11 をリリースしました。 検出の向上と誤検出の低減のため、クロスサイトのスクリプティングルール全体にシグネチャーを追加しました。 | 2023-12-06 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | ルールグループの対象保護レベルラベルに調整されたアクティビティの下限ラベルを追加しました。このラベルはいずれのルールにも関連付けられていません。このラベルは、中レベルおよび高レベルのルールとラベルに追加されるものです。 | 2023-12-05 |
| [Bot Control ラベル](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 自動化を支援するブラウザ拡張機能が検出されたことを示すシグナルラベルをルールグループに追加しました。このラベルは個々のルールに固有のものではありません。 | 2023-11-14 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.10 をリリースしました。 1 つのルールを更新し、検出の向上と誤検出の低減を実現しました。 | 2023-11-02 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.9 をリリースしました。 ルールが更新され、検出の向上と誤検出の低減を実現しました。 | 2023-10-30 |
| [POSIX オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.1 をリリースしました。 クエリ引数ルールを更新して、検出を改善しました。 | 2023-10-12 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.8 をリリースしました。 ルールを更新して検出を改善しました。 | 2023-10-11 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 例外のデプロイ: このルールグループの静的バージョン 1.19 をリリースしました。バージョン 1.19 を使用するようにデフォルトバージョンを更新しました。 Atlassian Confluence CVE-2023-22515 の権限昇格の脆弱性に一致するリクエストの検出を追加するように `ExploitablePaths_URIPATH` ルールを更新しました。この脆弱性は、Atlassian Confluence の一部のバージョンに影響を及ぼします。詳細については、「[NIST: National Vulnerability Database: CVE-2023-22515 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22515)」および「[Atlassian Support: FAQ for CVE-2023-22515](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html)」を参照してください。 デプロイタイプの詳細については、「[AWS マネージドルールの例外デプロイ](waf-managed-rule-groups-deployments-exceptions.md)」を参照してください。 | 2023-10-04 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 例外のデプロイ: このルールグループの静的バージョン 1.18 をリリースしました。これは、この静的バージョンの迅速なロールアウトであり、バージョン 1.19 の作成とロールアウトに対応するためのものです。 検出を改善するため、`Host_localhost_HEADER` ルールとすべての Log4J および Java 逆シリアル化ルールを更新しました。 デプロイタイプの詳細については、「[AWS マネージドルールの例外デプロイ](waf-managed-rule-groups-deployments-exceptions.md)」を参照してください。 | 2023-10-04 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Count アクションでルールグループにルールを追加しました。 トークン再利用 IP ルールは、IP アドレス間でのトークンの共有を検出してカウントします。 調整されたアクティビティルールは、ウェブサイトのトラフィックを機械学習 (ML) で自動的に分析し、ボット関連のアクティビティを検出します。ルールグループ設定で、ML の使用をオプトアウトできます。このリリースでは、ターゲットを絞った保護レベルを現在使用しているユーザーが ML の使用にオプトインされます。オプトアウトすると、調整されたアクティビティルールが無効になります。 | 2023-09-06 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | ルール `CategoryAI` をルールグループに追加しました。 | 2023-08-30 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.7 をリリースしました。 制限付き拡張ルールおよび EC2 メタデータ SSRF ルールを更新し、検出の向上と誤検出の低減を実現しました。 | 2023-07-26 |
| [AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ](aws-managed-rule-groups-acfp.md) 新しいルールグループ内のすべてのルール | ルールグループ AWSManagedRulesACFPRuleSet を追加しました。 | 2023-06-13 |
| [Linux オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.2 をリリースしました。 検出の向上を図るために署名を追加しました。 | 2023-05-22 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.6 をリリースしました。 クロスサイトスクリプティング (XSS) および制限付き拡張ルールを更新し、検出の向上と誤検出の低減を実現しました。 | 2023-04-28 |
| [PHP アプリケーションマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.0 をリリースしました。 すべてのルールで検出を改善するために署名を追加しました。 ルール `PHPHighRiskMethodsVariables_QUERYARGUMENTS` を、クエリ引数だけでなくクエリ文字列全体を検査する `PHPHighRiskMethodsVariables_QUERYSTRING` に置き換えました。 ルール `PHPHighRiskMethodsVariables_HEADER` を追加し、すべてのヘッダーを含むようにカバレッジを拡張しました。 標準の AWS マネージドルールのラベル付けに合わせて、次のラベルを更新しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2023-02-27 |
| [AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 保護されている Amazon CloudFront ディストリビューションで使用するためのログインレスポンス検査ルールを追加しました。これらのルールは、最近のログイン試行の失敗回数が過度に多い IP アドレスやクライアントセッションからの新たなログイン試行をブロックします。 | 2023-02-15 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.5 をリリースしました。 検出を改善するため、クロスサイトスクリプティング (XSS) フィルターを更新しました。 | 2023-01-25 |
| [Linux オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 2.1 をリリースしました。 ルール `LFI_COOKIE` およびそのラベル `awswaf:managed:aws:linux-os:LFI_Cookie` を削除し、新しいルール `LFI_HEADER` およびそのラベル `awswaf:managed:aws:linux-os:LFI_Header` に置き換えました。この変更により、検査が複数のヘッダーに拡張されます。 検出を改善するため、すべてのルールにテキスト変換および署名を追加しました。 | 2022-12-15 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.4 をリリースしました。 すべての NULL バイトを削除するため、テキスト変換を `NoUserAgent_HEADER` に追加しました。検出を改善するため、クロスサイトのスクリプティングルールのフィルターを更新しました。 | 2022-12-05 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.17 をリリースしました。 Java 逆シリアル化ルールを更新し、1.10.0 以前の Apache Commons Text バージョンのリモートコード実行 (RCE) 脆弱性である Apache CVE-2022-42889 に一致するリクエストの検出を追加しました。詳細については、「[NIST: National Vulnerability Database: CVE-2022-42889 Detail](https://nvd.nist.gov/vuln/detail/CVE-2022-42889)」(NIST: 国家脆弱性データベース: CVE-2022-42889 詳細) および「[CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om)」(CVE-2022-42889: 信頼されない入力に適用された場合にセキュアでない補間デフォルトが原因で 1.10.0 以前の Apache Commons Text で RCE が許可される) を参照してください。 `Host_localhost_HEADER` での検出を改善しました。 | 2022-10-20 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.16 をリリースしました。 バージョン 1.15 で AWS 識別された誤検出を削除しました。 | 2022-10-05 |
| [POSIX オペレーティングシステムマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [PHP アプリケーションマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [WordPress アプリケーションマネージドルールグループ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) | 記載されているラベル名を修正しました。 | 2022-09-19 |
| [IP 評価ルールグループ](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | この変更により、ルールグループがウェブトラフィックを処理する方法が変更されることはありません。 Amazon 脅威インテリジェンスに従い、DDoS アクティビティに積極的に関与している IP アドレスを検査する Count アクションを含む新しいルールが追加されました。 | 2022-08-30 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループの静的バージョン 1.15 をリリースしました。 誤検出のよりきめ細かにモニタリングと管理を行うため、`Log4JRCE` を削除して `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI`、`Log4JRCE_BODY` に置き換えました。 `PROPFIND_METHOD` とすべての `JavaDeserializationRCE*` と `Log4JRCE*` ルールに対する検出とブロックを改善するため、署名を追加しました。 `Host_localhost_HEADER` と全ての `JavaDeserializationRCE*` ルールにおける大文字化の修正をするためにラベルを更新しました。 `JavaDeserializationRCE_HEADER` の記述を修正しました。 | 2022-08-22 |
| [AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Amazon Cognito ユーザープールのウェブトラフィック用のアカウント乗っ取り防止マネージドルールグループの使用を防止するルールを追加しました。 | 2022-08-11 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) | AWS には、ルールグループのバージョン `Version_1.2` と `Version_2.0` の有効期限がスケジュールされています。このバージョンの有効期限は 2022 年 9 月 9 日に失効します。バージョンの有効期限の詳細については、「[でのバージョニングされたマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups-versioning.md)」を参照してください。 | 2022-06-09 |
| [コアルールセット (CRS) マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループのバージョン 1.3 をリリースしました。このリリースでは、検出を改善するため、`GenericLFI_URIPATH` および `GenericRFI_URIPATH` のルールにある一致する署名が更新されます。 | 2022-05-24 |
| [AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | ルール `CategoryEmailClient` をルールグループに追加しました。 | 2022-04-06 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループのバージョン 1.14 をリリースしました。4 つの `JavaDeserializtionRCE` ルールが Block モードに移行します。 | 2022-03-31 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループのバージョン 1.13 をリリースしました。Spring Core および Cloud Function RCE 脆弱性のテキスト変換を更新しました。これらのルールは、メトリクスを収集して一致したパターンを評価するため、カウントモードになっています。ラベルは、カスタムルール内のリクエストをブロックするために使用できます。後続のバージョンは、これらのルールがブロックモードになった状態でデプロイされます。 | 2022-03-31 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループのバージョン 1.12 をリリースしました。Spring Core および Cloud Function RCE の脆弱性の署名を追加しました。これらのルールは、メトリクスを収集して一致したパターンを評価するため、カウントモードになっています。ラベルは、カスタムルール内のリクエストをブロックするために使用できます。後続のバージョンは、これらのルールがブロックモードになった状態でデプロイされます。 ルール `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI`、`Log4JRCE_BODY` を削除してルール `Log4JRCE` に置き換えました。 | 2022-03-30 |
| [IP 評価ルールグループ](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | アクションをカウントからブロックに変更するように AWSManagedReconnaissanceList ルールを更新しました。 | 2022-02-15 |
| [AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ](aws-managed-rule-groups-atp.md) 新しいルールグループ内のすべてのルール | ルールグループ AWSManagedRulesATPRuleSet を追加しました。 | 2022-02-11 |
| [既知の不正な入力マネージドルールグループ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループのバージョン 1.9 をリリースしました。この機能を柔軟に使用できるように、ルール `Log4JRCE` を削除し、ルール `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI`、および `Log4JRCE_BODY` に置き換えました。検出とブロックを改善するために署名を追加しました。 | 2022-01-28 |
| コアルールセット (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループのバージョン 2.0 をリリースしました。これらのルールでは、誤検出を減らすために検出シグネチャをチューニングしました。`URL_DECODE` テキスト変換をダブル `URL_DECODE_UNI` テキスト変換に置き換えました。`HTML_ENTITY_DECODE` テキスト変換を追加しました。 | 2022-01-10 |
| コアルールセット (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループのバージョン 2.0 のリリースの一部として、`URL_DECODE_UNI`テキスト変換が追加されました。`RestrictedExtensions_URIPATH` から `URL_DECODE` テキスト変換を削除しました。 | 2022-01-10 |
| SQL データベース [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | このルールグループのバージョン 2.0 をリリースしました。`URL_DECODE` テキスト変換をダブル `URL_DECODE_UNI` テキスト変換に置き換え、`COMPRESS_WHITE_SPACE` テキスト変換を追加しました。 検出シグネチャを `SQLiExtendedPatterns_QUERYARGUMENTS` に追加しました。 `SQLi_BODY` に JSON 検査を追加しました。 ルール `SQLiExtendedPatterns_BODY` を追加しました。 ルール `SQLi_URIPATH` を削除しました。 | 2022-01-10 |
| 既知の不正な入力 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | ヘッダーの検査と一致基準を改善するために、ルール `Log4JRCE` のバージョン 1.8 をリリースしました。 | 2021-12-17 |
| 既知の不正な入力 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 一致基準をチューニングし、追加のヘッダーを検査するために、ルール `Log4JRCE` のバージョン 1.4 をリリースしました。バージョン 1.5 をリリースし、一致条件をチューニングしました。 | 2021-12-11 |
| 既知の不正な入力 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Log4j 内で最近公開されたセキュリティ問題に対応して、ルール `Log4JRCE` バージョン 1.2 を追加しました。詳細については、「[CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)」を参照してください。このルールは、共通の URI パス、クエリ文字列、リクエストボディの最初の 8 KB、および共通ヘッダーを検査します。ルールはダブル `URL_DECODE_UNI` テキスト変換を使用します。一致基準をチューニングし、追加のヘッダーを検査するために、`Log4JRCE` のバージョン 1.3 をリリースしました。 ルール `BadAuthToken_COOKIE_AUTHORIZATION` を削除しました。 | 2021-12-10 |
次の表には、2021 年 12 月よりも前の変更が記載されています。
| ルールグループおよびルール | 説明 | Date |
| --- | --- | --- |
| Amazon IP 評価リスト | `AWSManagedReconnaissanceList` | モニタリング/カウントモードの AWSManagedReconnaissanceList ルールを追加しました。このルールには、 AWS リソースに対して偵察を実行している IP アドレスが含まれています。 | 2021-11-23 |
| Windows オペレーティングシステム | `WindowsShellCommands` `PowerShellCommands` | WindowsShell コマンド用に 3 つの新しいルールを追加しました: `WindowsShellCommands_COOKIE`、`WindowsShellCommands_QUERYARGUMENTS`、および `WindowsShellCommands_BODY`。 新しい PowerShell ルールを追加しました: `PowerShellCommands_COOKIE`。 文字列 \$1Set1 と \$1Set2 を削除して、`PowerShellComands` ルールの命名を再構築しました。 より包括的な検出シグネチャを `PowerShellRules` に追加しました。 すべての Windows オペレーティングシステムのルールに `URL_DECODE_UNI` テキスト変換を追加しました。 | 2021-11-23 |
| Linux オペレーティングシステム | `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE` | ダブル `URL_DECODE` テキスト変換をダブル `URL_DECODE_UNI` に置き換えました。 2 つ目のテキスト変換として `NORMALIZE_PATH_WIN` を追加しました。 `LFI_BODY` ルールを `LFI_COOKIE` ルールに置き換えました。 すべての `LFI` ルールに、より包括的な検出シグネチャを追加しました。 | 2021-11-23 |
| コアルールセット (CRS) | `SizeRestrictions_BODY` | 8 KB を超える本文ペイロードを持つウェブリクエストをブロックするためのサイズ制限を縮小しました。これまでは、制限は 10 KB でした。 | 2021-10-27 |
| コアルールセット (CRS) | `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS` | 検出シグネチャを追加しました。ブロックを改善するためにダブルユニコード URL デコードを追加しました。 | 2021-10-27 |
| コアルールセット (CRS) | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS` | ブロックを改善するためにダブルユニコード URL デコードを追加しました。 | 2021-10-27 |
| コアルールセット (CRS) | `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH` | お客様からのフィードバックに基づいて、誤検出を減らすためにルールシグネチャを更新しました。ブロックを改善するためにダブルユニコード URL デコードを追加しました。 | 2021-10-27 |
| すべて | すべてのルール | AWS WAF ラベル付けをまだサポートしていないすべてのルールにラベルのサポートを追加しました。 | 2021-10-25 |
| Amazon IP 評価リスト | `AWSManagedIPReputationList_xxxx` | IP 評価リストを再構築し、ルール名からサフィックスを削除し、 AWS WAF ラベルのサポートを追加しました。 | 2021-05-04 |
| 匿名 IP リスト | `AnonymousIPList` `HostingProviderList` | AWS WAF ラベルのサポートが追加されました。 | 2021-05-04 |
| Bot Control | すべて | Bot Control ルールセットを追加しました。 | 2021-04-01 |
| コアルールセット (CRS) | `GenericRFI_QUERYARGUMENTS` | 二重 URL デコードを追加しました。 | 2021-03-03 |
| コアルールセット (CRS) | `RestrictedExtensions_URIPATH` | ルールの設定を改善し、追加の URL デコードを追加しました。 | 2021-03-03 |
| 管理者保護 | `AdminProtection_URIPATH` | 二重 URL デコードを追加しました。 | 2021-03-03 |
| 既知の不正な入力 | `ExploitablePaths_URIPATH` | ルールの設定を改善し、追加の URL デコードを追加しました。 | 2021-03-03 |
| Linux オペレーティングシステム | `LFI_QUERYARGUMENTS` | ルールの設定を改善し、追加の URL デコードを追加しました。 | 2021-03-03 |
| Windows オペレーティングシステム | すべて | ルールの設定を改善しました。 | 2020-09-23 |
| PHP アプリケーション | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY` | ブロックを改善するために、テキスト変換を HTML デコードから URL デコードに変更しました。 | 2020-09-16 |
| POSIX オペレーティングシステム | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY` | ブロックを改善するために、テキスト変換を HTML デコードから URL デコードに変更しました。 | 2020-09-16 |
| コアルールセット | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY | ブロックを改善するために、テキスト変換を HTML デコードから URL デコードに変更しました。 | 2020-08-07 |
| Linux オペレーティングシステム | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY` | 検出とブロックを改良するために、テキスト変換を HTML エンティティデコードから URL デコードに変更しました。 | 2020-05-19 |
| 匿名 IP リスト | すべて | ビューワー ID の難読化を許可するサービスからのリクエストをブロックする [IP 評価ルールグループ](aws-managed-rule-groups-ip-rep.md) の新しいルールグループは、ボットや地理的制限の回避に対する軽減に役立ちます。 | 2020-03-06 |
| WordPress アプリケーション | `WordPressExploitableCommands_QUERYSTRING` | クエリ文字列内の悪用の対象となるコマンドをチェックする新しいルール。 | 2020-03-03 |
| コアルールセット (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH` | 精度を向上させるために、サイズ値の制約を調整しました。 | 2020-03-03 |
| SQL データベース | `SQLi_URIPATH` | ルールは、メッセージ URI をチェックするようになりました。 | 2020-01-23 |
| SQL データベース | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE` | テキスト変換を更新しました。 | 2019-12-20 |
| コアルールセット (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE` | テキスト変換を更新しました。 | 2019-12-20 |
# 独自のルールグループの管理
独自のルールグループを作成して、マネージドルールグループサービスに見つからないルールのコレクションや、自分で処理したいルールのコレクションを再利用できます。
作成したルールグループは、保護パック (ウェブ ACL) と同じようにルールを保持し、保護パック (ウェブ ACL) と同じようにルールグループにルールを追加します。独自のルールグループを作成する場合は、そのルールにイミュータブルな最大容量を設定する必要があります。
**Topics**
+ [ルールグループの作成](waf-rule-group-creating.md)
+ [ルールグループの編集](waf-rule-group-editing.md)
+ [保護パック (ウェブ ACL) でのルールグループの使用](waf-rule-group-using.md)
+ [ルールグループの削除](waf-rule-group-deleting.md)
+ [ルールグループの共有](waf-rule-group-sharing.md)
# ルールグループの作成
新しいルールグループを作成するには、このページにある手順に従います。
**ルールグループを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで、**[Rule groups]** (ルールグループ)、**[Create rule group]** (ルールグループの作成) の順に選択します。
1. ルールの名前と説明を入力します。これらを使用して、ルールセットを識別して管理し、使用します。
`AWS`、`Shield`、`PreFM`、または `PostFM` で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。「[他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)」を参照してください。
**注記**
ウェブ ACL の作成後は、名前を変更できません。
1. **[Region]** (リージョン) で、ルールグループを保存するリージョンを選択します。Amazon CloudFront ディストリビューションを保護する保護パック (ウェブ ACL) でルールグループを使用するには、グローバル設定を使用する必要があります。リージョン別アプリケーションにもグローバル設定を使用できます。
1. [**次へ**] を選択します。
1. 保護パック (ウェブ ACL) 管理の場合と同様に、[**Rule builder (ルールビルダー)**] ウィザードを使用してルールグループにルールを追加します。唯一の違いは、ルールグループを別のルールグループに追加できないことです。
1. **[Capacity]** (容量) で、ルールグループによる保護パック (ウェブ ACL) 容量ユニット (WCU) の使用の最大値を設定します。この設定はイミュータブルです。WCU の詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」を参照してください。
ルールグループにルールを追加すると、**[Add rules and set capacity]** (ルールの追加と容量の設定) ペインに、追加済みのルールに基づいて、必要な最小容量が表示されます。これとルールグループの将来の計画を使用して、ルールグループに必要な容量を見積もることができます。
1. ルールグループの設定を確認し、**[Create]** (作成) を選択します。
# ルールグループの編集
ルールグループを追加、削除、あるいは設定を変更するには、このページの手順を使用してルールグループにアクセスします。
**本番稼働トラフィックのリスク**
保護パック (ウェブ ACL) で現在使用しているルールグループを変更すると、その変更は、使用されている場所に関係なく保護パック (ウェブ ACL) の動作に影響します。トラフィックへの潜在的な影響に納得がいくまで、すべての変更をステージング環境またはテスト環境でテストし、調整するようにしてください。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
**ルールグループを編集するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで、**[Rule groups]** (ルールグループ) を選択します。
1. 編集するルールグループ名を選択します。コンソールにルールグループのページが表示されます。
**注記**
編集するルールグループが表示されない場合は、**[ルールグループ]** セクション内に選択されたリージョンを確認してください。Amazon CloudFront ディストリビューションの保護に使用されるルールグループの場合は、**[グローバル (CloudFront)]** 設定を使用します。
1. 必要に応じてルールグループを編集します。ルールグループの変更可能なプロパティは、作成時と同様に編集できます。変更内容は、実行中にコンソールに保存されます。
**注記**
ルールの名前を変更し、ルールのメトリクス名に変更を反映する場合は、メトリクス名も更新する必要があります。ルール名を変更しても、ルールのメトリクス名は自動的に更新 AWS WAF されません。ルールの JSON エディターを使用して、コンソールでルールを編集するときに、メトリック名を変更できます。API や、保護パック (ウェブ ACL) またはルールグループの定義に使用する JSON リストを使用して、両方の名前を変更することもできます。
**更新中の一時的な不一致**
保護パック (ウェブ ACL) または他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
+ 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
+ ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
+ ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
+ ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
# 保護パック (ウェブ ACL) でのルールグループの使用
保護パック (ウェブ ACL) でルールグループを使用するには、ルールグループリファレンスステートメントの保護パック (ウェブ ACL) にルールグループを追加します。
**本番稼働トラフィックのリスク**
本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
**注記**
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。
**ルールグループを使用するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで、**[Rule groups]** (ルールグループ) を選択します。
1. 使用するルールグループ名を選択します。
1. **[ルールの追加]** を選択してから **[独自のルールとルールグループの追加]** を選択します。
1. **[ルールグループ]** を選択し、リストからルールグループを選択します。
保護パック (ウェブ ACL) では、個々のルールアクションが Count またはその他のアクションを起こすように設定することで、ルールグループおよびそのルールの動作を変更できます。これは、ルールグループのテスト、ルールグループ内のルールからの誤検出の特定、マネージドルールグループによるリクエストの処理方法のカスタマイズなどを行うのに役立ちます。詳細については、「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。
ルールグループにレートベースのステートメントが含まれている場合、ルールグループを使用する各保護パック (ウェブ ACL) は、ルールグループを使用する他の保護パック (ウェブ ACL) とは無関係に、レートベースのルールについて独自のレートトラッキングと管理を行います。詳細については、「[でのレートベースのルールステートメントの使用 AWS WAF](waf-rule-statement-type-rate-based.md)」を参照してください。
**更新中の一時的な不一致**
保護パック (ウェブ ACL) または他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
+ 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
+ ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
+ ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
+ ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
# ルールグループの削除
ルールグループを削除するには、このセクションのガイダンスに従います。
**参照セットとルールグループの削除**
IP セット、正規表現パターンセット、ルールグループなど、保護パック (ウェブ ACL) で使用できるエンティティを削除すると、 はエンティティが保護パック (ウェブ ACL) で現在使用されている AWS WAF かどうかを確認します。使用中であることがわかった場合、 は AWS WAF 警告します。 AWS WAF はほとんどの場合、エンティティが保護パック (ウェブ ACL) によって参照されているかどうかを判断できます。ただし、まれに判別できないことがあります。エンティティが現在使用中でないことを確認する必要がある場合は、削除する前に保護パック (ウェブ ACL) でそのエンティティを確認してください。エンティティが参照されているセットである場合は、ルールグループでエンティティが使用されていないことも確認してください。
**ルールグループを削除するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで、**[Rule groups]** (ルールグループ) を選択します。
1. 削除するスナップショットを選択し、**[Delete]** (削除) を選択します。
**注記**
削除したいルールグループが表示されない場合は、**[ルールグループ]** セクション内のリージョンの選択を確認してください。Amazon CloudFront ディストリビューションの保護に使用されるルールグループの場合は、**[グローバル (CloudFront)]** 設定を使用します。
# ルールグループの共有
ルールグループを別のアカウントと共有して、そのアカウントで使用することができます。
**ルールグループの共有**
1 つ以上の特定のアカウントと共有でき、組織内のすべてのアカウントと共有できます。
ルールグループを共有するには、 AWS WAF API を使用して、必要なルールグループ共有のポリシーを作成します。詳細については、「*AWS WAF API リファレンス*」の「[PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)」を参照してください。
**共有されているルールグループの使用**
ルールグループがアカウントと共有されている場合は、API 経由でアクセスでき、API 経由で保護パック (ウェブ ACL) を作成または更新するときに参照できます。詳細については、*AWS WAF API リファレンス*の「[GetRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRuleGroup.html)」、「[CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html)」、および「[UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html)」を参照してください。共有されているルールグループは、 AWS WAF コンソールのルールグループリストに表示されません。
# AWS Marketplace ルールグループ
このセクションでは、 AWS Marketplace ルールグループを使用する方法について説明します。
AWS Marketplace ルールグループは、 の AWS Marketplace コンソールからサブスクリプションで使用できます[AWS Marketplace](https://aws.amazon.com/marketplace)。 AWS Marketplace ルールグループをサブスクライブしたら、 で使用できます AWS WAF。 AWS Firewall Manager AWS WAF ポリシーで AWS Marketplace ルールグループを使用するには、組織内の各アカウントがルールグループをサブスクライブする必要があります。
**さまざまなタイプのルールグループをサブスクライブするには、以下を使用します AWS Marketplace。**
+ AWS WAF パートナーマネージドルールグループ
+ クライアント側の保護
本番トラフィックに使用する前に、 AWS WAF 保護の変更をテストして調整します。詳細については、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
**AWS Marketplace ルールグループの料金**
AWS Marketplace ルールグループは、長期契約や最低契約金なしで使用できます。ルールグループをサブスクライブすると、月額料金 (時間単位の日割り計算) と、ボリュームに基づく継続的なリクエスト料金が課金されます。ただし、サブスクライブされたルールグループをウェブ ACL に追加して使用を開始した場合にのみ、サブスクリプション料金が課金されます。詳細については、「」の[AWS WAF 「料金](https://aws.amazon.com/waf/pricing/)表」と「各 AWS Marketplace ルールグループの説明」を参照してください[AWS Marketplace](https://aws.amazon.com/marketplace)。
**AWS Marketplace ルールグループについて質問がありますか?**
AWS Marketplace 販売者が管理するルールグループに関する質問や機能の変更をリクエストするには、プロバイダーのカスタマーサポートチームにお問い合わせください。連絡先情報を検索するには、「[AWS Marketplace](https://aws.amazon.com/marketplace)」のプロバイダーのリストを参照してください。
AWS Marketplace ルールグループプロバイダーは、ルールグループを更新する方法や、ルールグループがバージョニングされているかどうかなど、ルールグループを管理する方法を決定します。プロバイダーは、ルール、ルールアクション、ルールが一致するウェブリクエストに追加するラベルなど、ルールグループの詳細も決定します。
## AWS Marketplace ルールグループのサブスクライブ
AWS WAF コンソールで AWS Marketplace ルールグループをサブスクライブまたはサブスクライブ解除できます。
**重要**
AWS Firewall Manager ポリシーで AWS Marketplace ルールグループを使用するには、まず組織内の各アカウントがそのルールグループにサブスクライブする必要があります。
**AWS Marketplace ルールグループをサブスクライブするには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで、**[アドオン保護]** を選択します。
1. **AWS Marketplace** セクションで、ルールグループの名前を選択して、詳細と料金情報を表示します。
**ヒント**
フィルターを使用して、最も関心のあるルールをすばやくソートします。例えば、**カテゴリ** フィルターを使用して、クライアント側の保護のみを表示できます。
1. AWS Marketplace ルールグループにサブスクライブするには:
1. ルールグループに移動し、**[Marketplace 経由でサブスクライブ]** を選択します。
1. 開いた Marketplace ページで、**[購入オプションを表示]** を選択し、**[サブスクライブ]** を選択します。
**注記**
ルールグループをサブスクライブしない場合は、ポップアップを閉じます。
AWS Marketplace ルールグループをサブスクライブしたら、他のマネージドルールグループと同様に保護パック (ウェブ ACLs) で使用します。詳細については、「[で保護パック (ウェブ ACL) を作成する AWS WAF](web-acl-creating.md)」を参照してください。
ルールグループを保護パック (ウェブ ACL) に追加する場合、ルールグループ内のルールおよびルールグループの結果のアクションをオーバーライドできます。詳細については、「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。
## AWS Marketplace ルールグループからのサブスクリプション解除
AWS Marketplace コンソールで AWS Marketplace ルールグループのサブスクリプションを解除できます。
**重要**
AWS Marketplace ルールグループのサブスクリプション料金を停止するには、ルールグループのサブスクリプションを解除するだけでなく、Firewall Manager AWS WAF ポリシー AWS WAF のすべての保護パック (ウェブ ACLs) から削除する必要があります。 AWS Marketplace ルールグループからサブスクリプションを解除しても、保護パック (ウェブ ACLs) から削除しない場合は、サブスクリプションに対して引き続き課金されます。
**AWS Marketplace ルールグループのサブスクリプションを解除するには**
1. すべての保護パック (ウェブ ACL) からルールグループを削除します。詳細については、「[での保護パック (ウェブ ACL) の編集 AWS WAF](web-acl-editing.md)」を参照してください。
1. [https://console.aws.amazon.com/marketplace](https://console.aws.amazon.com/marketplace) で AWS コンソールを開きます。
**[サブスクリプションを管理]** ページが表示されます。
1. **[配信方法]** リストを開き、**[SaaS]** を選択します。
1. **[契約]** で、**[アクションリスト]** を開き、サブスクリプションを解除するルールグループの名前の横にある **[サブスクリプションをキャンセル]** を選択します。
1. **[サブスクリプションをキャンセル]** ダイアログボックスで、**confirm** と入力し、**[はい、サブスクリプションをキャンセルします]** を選択します。
## AWS Marketplace ルールグループのトラブルシューティング
AWS Marketplace ルールグループが正当なトラフィックをブロックしていることがわかった場合は、次の手順を実行して問題をトラブルシューティングできます。
**AWS Marketplace ルールグループのトラブルシューティングを行うには**
1. アクションをオーバーライドして、正当なトラフィックをブロックしているルールをカウントします。 AWS WAF サンプリングされたリクエストまたは AWS WAF ログを使用して、特定のリクエストをブロックしているルールを特定できます。ログの `ruleGroupId` フィールドまたはサンプリングされたリクエストの `RuleWithinRuleGroup` フィールドを調べることによって、ルールを識別できます。パターン `##` 内のルールを識別できます。
1. リクエストのみをカウントするように特定のルールを設定しても問題が解決しない場合は、すべてのルールアクションを上書きするか、 AWS Marketplace ルールグループ自体のアクションを**上書きなし**から**上書きしてカウントするように**変更できます。これにより、ルールグループ内の個々のルールアクションに関係なく、ウェブリクエストが通過します。
1. 個々のルールアクションまたは AWS Marketplace ルールグループアクション全体を上書きした後、ルールグループプロバイダーのカスタマーサポートチームに連絡して、問題のトラブルシューティングをさらに行ってください。連絡先については、「 AWS Marketplace」の製品リストページのルールグループリストを参照してください。
### AWS サポートへのお問い合わせ
AWS WAF または が管理するルールグループに関する問題については AWS、 にお問い合わせください AWS サポート。 AWS Marketplace 販売者が管理するルールグループに関する問題については、プロバイダーのカスタマーサポートチームにお問い合わせください。連絡先情報を確認するには、プロバイダーのリストを参照してください AWS Marketplace。
# 他のサービスによって提供されるルールグループを識別する
ユーザーまたは組織の管理者が AWS Firewall Manager または を使用してリソース保護 AWS Shield Advanced を管理する場合 AWS WAF、アカウントの保護パック (ウェブ ACLs) に追加されたルールグループのリファレンスステートメントが表示されることがあります。
これらのルールグループの名前は、次の文字列で始まります。
+ **`ShieldMitigationRuleGroup`** – これらのルールグループは によって管理 AWS Shield Advanced され、保護されたアプリケーションレイヤー (レイヤー 7) リソースにアプリケーションレイヤー DDoS の自動緩和を提供するために使用されます。
保護されたリソースでアプリケーションレイヤー DDoS 自動緩和を有効にすると、Shield Advanced は、リソースに関連付けた保護パック (ウェブ ACL) に、これらのルールグループの 1 つを追加します。Shield Advanced は、ルールグループ参照ステートメントに優先順位の設定として 10,000,000 を割り当て、ユーザーが保護パック (ウェブ ACL) で設定したルールの後に実行されるようにします。これらのルールタイプの詳細については、「[Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和](ddos-automatic-app-layer-response.md)」を参照してください。
**警告**
保護パック (ウェブ ACL) 内のこのルールグループを手動で管理しないでください。特に、`ShieldMitigationRuleGroup` ルールグループ参照ステートメントを保護パック (ウェブ ACL) から手動で削除しないでください。これにより、保護パック (ウェブ ACL) に関連付けられているすべてのリソースに意図しない結果が生じていた可能性もあります。代わりに、Shield Advanced を使用して、保護パック (ウェブ ACL) に関連付けられているリソースの自動緩和を無効にします。Shield Advanced は、ルールグループが自動緩和に必要でない場合に、ユーザーに代わって削除します。
+ **`PREFMManaged` および `POSTFMManaged`** – これらのルールグループは、Firewall Manager AWS WAF ポリシー設定 AWS Firewall Manager に基づいて によって管理されます。Firewall Manager は、Firewall Manager が管理する保護パック (ウェブ ACL) 内にそれらのルールグループを提供します。
Firewall Manager は、`FMManagedWebACLV2` で始まる名前で保護パック (ウェブ ACL) を作成します。既存の保護パック (ウェブ ACL) を改良するように Firewall Manager を設定することもできます。その場合、保護パック (ウェブ ACL) 名は作成時に指定した名前です。いずれの場合も、Firewall Manager はこれらのルールグループを保護パック (ウェブ ACL) に追加します。詳細については、「[Firewall Manager での AWS WAF ポリシーの使用](waf-policies.md)」を参照してください。