AWS WAF ACFP コンポーネント
AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) の主なコンポーネントは次のとおりです。
-
AWSManagedRulesACFPRuleSet
– この AWS マネージドルールのルールグループのルールは、さまざまなタイプの不正なアカウント作成のアクティビティを検出、ラベル付け、および処理します。ルールグループは、指定されたアカウント登録エンドポイントにクライアントが送信する HTTPGET
テキスト/HTML リクエストと、指定されたアカウントサインアップエンドポイントにクライアントが送信するPOST
ウェブリクエストを検査します。保護された CloudFront ディストリビューションでは、ルールグループはディストリビューションがアカウント作成リクエストに送り返すレスポンスも検査します。このルールグループのルールのリストについては、「AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) ルールグループ」を参照してください。マネージドルールグループ参照ステートメントを使用して、このルールグループをウェブ ACL に含めます。このルールグループの使用については、「ACFP マネージドルールグループをウェブ ACL に追加」を参照してください。注記
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、AWS WAF 料金
を参照してください。 -
アプリケーションのアカウント登録ページと作成ページに関する詳細 –ウェブ ACL に
AWSManagedRulesACFPRuleSet
ルールグループを追加する際には、アカウント登録ページと作成ページに関する情報を提供する必要があります。これにより、ルールグループは検査するリクエストの範囲を絞り込み、アカウント作成ウェブリクエストを適切に検証できます。登録ページはGET
テキスト/HTML リクエストを受け入れる必要があります。アカウント作成パスはPOST
リクエストを受け入れる必要があります。ACFP ルールグループは、電子メール形式のユーザー名に対応します。詳細については、「ACFP マネージドルールグループをウェブ ACL に追加」を参照してください。 -
(保護された CloudFront ディストリビューションの場合) アカウント作成の試みに対するアプリケーションのレスポンスに関する詳細 – アカウント作成の試みに対するアプリケーションのレスポンスに関する詳細を提供すると、ACFP ルールグループは、単一の IP アドレスまたは単一のクライアントセッションからのアカウントの一括作成の試みを追跡および管理します。このオプションの設定については、「ACFP マネージドルールグループをウェブ ACL に追加」を参照してください。
-
JavaScript およびモバイルアプリケーション統合 SDK — AWS WAF JavaScript およびモバイル SDK を ACFP 実装で実装し、ルールグループが提供するすべての機能を使用できます。ACFP ルールの多くは、セッションレベルのクライアント検証および動作集約に SDK から提供された情報を使用し、正規のクライアントトラフィックをボットトラフィックから分離するために必要です。SDK の詳細については、「AWS WAF でクライアントアプリケーションを使用する」を参照してください。
ACFP 実装を次と組み合わせて、保護のモニタリング、チューニング、およびカスタマイズに役立てることができます。
-
ログ記録とメトリクス – ウェブ ACL 用にログ、Amazon Security Lake データ収集と Amazon CloudWatch メトリクスを設定して有効にすることで、トラフィックをモニタリングし、ACFP マネージドルールグループがトラフィックにどのように影響するのかを理解できます。
AWSManagedRulesACFPRuleSet
がウェブリクエストに追加するラベルは、データに含まれます。オプションの詳細については、AWS WAF のウェブ ACL トラフィックのログ記録、Amazon CloudWatch によるモニタリング、及び「What is Amazon Security Lake?」を参照してください。ニーズと確認できるトラフィックに応じて、
AWSManagedRulesACFPRuleSet
の実装をカスタマイズできます。例えば、ACFP の評価から一部のトラフィックを除外したり、スコープダウンステートメントやラベル一致ルールなどの AWS WAF の機能を使用して、識別したアカウントの不正な作成の試みの一部を処理する方法を変更したりできます。 -
ラベルとラベル一致ルール –
AWSManagedRulesACFPRuleSet
のどのルールでも、ブロック動作をカウントに切り替えて、ルールによって追加されたラベルと照合することができます。このアプローチを使用し、ACFP マネージドルールグループによって識別されるウェブリクエストの処理方法をカスタマイズします。ラベル付けおよびラベル一致ステートメントの使用の詳細については、「ラベル一致ルールステートメント」および「AWS WAF でのウェブリクエストにおけるラベルの使用」を参照してください。 -
カスタムリクエストとレスポンス - 許可するリクエストにはカスタムヘッダーを追加し、ブロックするリクエストにはカスタムレスポンスを送信できます。これを行うには、ラベル一致を AWS WAF カスタムリクエストおよび応答機能とペアリングします。リクエストとレスポンスをカスタマイズする方法については、「AWS WAF にカスタマイズされたウェブリクエストとレスポンスを追加する」を参照してください。