AWS認定資格 WEB問題集＆徹底解説

会員登録/ログイン

1. サービス概要

AWS Firewall Managerは、AWS Organizations配下の複数アカウント・複数リソースにわたってファイアウォールルールを一元的に設定・管理するセキュリティ管理サービスです。新しく作成されたリソースにも自動的にポリシーを適用し、組織全体で一貫したセキュリティを維持します。

個々のアカウントで個別に設定する手間をなくし、コンプライアンス違反のリソースを検出・自動修復できます。

2. 主な特徴と機能

2.1 横断的なポリシー管理

以下のサービスのポリシーを組織横断で一元管理できます。

• AWS WAF: Web ACLとルールを一括適用。
• AWS Shield Advanced: DDoS保護を一元適用。
• VPCセキュリティグループ: 共通ルールの監査・適用。
• AWS Network Firewall: VPCファイアウォールポリシーの展開。
• Route 53 Resolver DNS Firewall: DNSファイアウォールルールの一元適用。

2.2 自動適用と自動修復

新規作成リソースにも自動でポリシーを適用。非準拠リソースを検出して自動修復（または通知）。

2.3 コンプライアンス監視

ポリシーに対する各アカウント・リソースの準拠状況をダッシュボードで可視化。

3. アーキテクチャおよび技術要素

• 前提条件: AWS Organizations（全機能有効）の利用と、Firewall Manager管理者アカウントの指定が必須。
• AWS Config依存: リソースの準拠状況評価にAWS Configの有効化が必要。
• ポリシースコープ: アカウント・リソースタイプ・タグでポリシーの適用範囲を指定。

4. セキュリティと認証・認可

• 管理者アカウント: Organizations管理アカウントがFirewall Manager管理者アカウントを委任。
• IAM: ポリシーの作成・管理権限をIAMで制御。
• 一貫性の担保: 個別アカウントでの設定漏れ・逸脱を防ぎ、組織全体で統一されたセキュリティポスチャを維持。

5. 料金形態

• 保護対象のポリシーごとに月額課金。
• 適用される各サービス（WAF・Shield Advanced・Network Firewall等）の利用料金は別途発生。

6. よくあるアーキテクチャ・設計パターン

• 組織全体のWAF適用: すべてのALB/CloudFront/API Gatewayに共通のWAFルールを自動適用。
• DDoS保護の一元化: Shield Advancedを組織全体のリソースに一括適用。
• セキュリティグループ監査: 危険なルール（0.0.0.0/0で全ポート開放等）を組織横断で検出・修復。
• 新規アカウント自動保護: Organizationsに新規追加されたアカウント・リソースに自動でポリシーを適用。

7. 設定・デプロイ手順（ハンズオン例）

1. AWS Organizations（全機能）を有効化し、Firewall Manager管理者アカウントを指定。
2. 各アカウントでAWS Configを有効化。
3. セキュリティポリシー（WAF/Shield/Network Firewall等）を作成して適用範囲（アカウント・タグ）を指定。
4. コンプライアンスダッシュボードで準拠状況を確認し、非準拠リソースを修復。

8. 試験で問われやすいポイント