AWS WAF Bot Control マネージドルールグループをウェブ ACL に追加 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

AWS WAF Bot Control マネージドルールグループをウェブ ACL に追加

このセクションでは、AWSManagedRulesBotControlRuleSet ルールグループを追加および設定する方法について説明します。

Bot Control マネージドルールグループ AWSManagedRulesBotControlRuleSet は、実装する保護レベルを特定するための追加設定が必要です。

ルールグループの説明とルールリストについては、「AWS WAF Bot Control ルールグループ」を参照してください。

このガイダンスは、AWS WAF ウェブ ACL、ルール、およびルールグループを作成および管理する方法を一般的に認識しているユーザーを対象としています。これらのトピックは、このガイドの前のセクションでカバーされています。マネージドルールグループをウェブ ACL に追加する方法の基本については、「コンソールを通じたウェブ ACL へのマネージドルールグループの追加」を参照してください。

ベストプラクティスに従う

Bot Control ルールグループは、「AWS WAF におけるインテリジェントな脅威を軽減するためのベストプラクティス」に記載されているベストプラクティスに従って使用してください。

ウェブ ACL で AWSManagedRulesBotControlRuleSet ルールグループを使用するには

  1. AWS マネージドルールグループである AWSManagedRulesBotControlRuleSet をウェブ ACL に追加します。ルールグループの詳細な説明については、「AWS WAF Bot Control ルールグループ」を参照してください。

    注記

    このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、AWS WAF 料金を参照してください。

    ルールグループを追加する際は、ルールグループの設定ページを開くように編集します。

  2. ルールグループの設定ページの [Inspection level] (検査レベル) ペインで、使用する検査レベルを選択します。

    • 共通 – ウェブスクレイピングフレームワーク、検索エンジン、自動ブラウザなど、さまざまな自己識別ボットを検出します。このレベルの Bot Control 保護は、静的リクエストデータ分析など、従来のボット検出技術を使用して一般的なボットを識別します。ルールはこれらのボットからのトラフィックにラベルを付け、検証できないものはブロックします。

    • ターゲットを絞った – 一般的な保護機能に加え、自己識別を行わない高度なボットに対するターゲットを絞った検出機能も追加されています。ターゲットを絞った保護は、レート制限と CAPTCHA およびバックグラウンドブラウザのチャレンジの組み合わせを使用してボットアクティビティを軽減します。

      • TGT_ – ターゲットを絞った保護を提供するルールには、TGT_ で始まる名前が付いています。すべてのターゲットを絞った保護では、ブラウザ調査、フィンガープリント、行動ヒューリスティックなどの検出技術を使用して不正なボットトラフィックを識別します。

      • TGT_ML_ – 機械学習を使用するターゲットを絞った保護のルールには、TGT_ML_ で始まる名前が付いています。これらのルールは、ウェブサイトのトラフィック統計を機械学習で自動的に分析し、分散または協調ボットのアクティビティを示す異常な動作を検出します。AWS WAF は、タイムスタンプ、ブラウザの特性、以前にアクセスした URL など、ウェブサイトのトラフィックに関する統計を分析し、Bot Control の機械学習モデルを改善します。機械学習機能はデフォルトで有効になっていますが、ルールグループ設定で無効にすることができます。機械学習が無効になっている場合、AWS WAF はこれらのルールを評価しません。

  3. ターゲットを絞った保護レベルを使用していて、分散または協調ボットを検出するために AWS WAF で機械学習 (ML) によるウェブトラフィックの分析を行わない場合は、機械学習オプションを無効にしてください。名前が TGT_ML_ で始まる Bot Control ルールでは機械学習が必要になります。これらのルールの詳細については、「Bot Control のルールリスト」を参照してください。

  4. ルールグループの使用コストを抑えるスコープダウンステートメントを追加します。スコープダウンステートメントは、ルールグループが検査する一連のリクエストを絞り込みます。ユースケースの例として、Bot Control の例: ログインページにのみ Bot Control を使用します および Bot Control の例: 動的コンテンツにのみ Bot Control を使用する で始めてください。

  5. ルールグループに必要な追加設定を指定します。

  6. ウェブ ACL に対する変更を保存します。

本番稼働トラフィックに Bot Control 実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、次のセクションを参照してください。