WAF ルールを含むトラフィックフィルタールールのベストプラクティス

Last update: Tue Jul 29 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

作成対象：

セキュリティを強化し、リスクを軽減するために、AEM as a Cloud Service で WAF ルールを含むトラフィックフィルタールールを設定するための推奨されるベストプラクティスについて説明します。

IMPORTANT

この記事に記載されているベストプラクティスは完全なものではなく、独自のセキュリティポリシーや手順の代用になるものではありません。

一般的なベストプラクティス

まず、アドビが提供する標準トラフィックフィルタールールと WAF ルールの推奨されるセットから開始して、アプリケーション固有のニーズと脅威の状況に基づいて微調整します。
セキュリティチームと共同作業して、組織のセキュリティ態勢とコンプライアンス要件に一致するルールを決定します。
新規ルールや更新済みのルールをステージ環境と実稼動環境に昇格させる前に、常に開発環境でテストします。
ルールを宣言および検証する際は、action タイプ log から開始して、正当なトラフィックをブロックせずに動作を確認します。
十分なトラフィックデータを分析し、有効なリクエストが影響を受けていないことを確認した後にのみ、log から block に移行します。
意図しない副作用を特定するために、QA、パフォーマンス、セキュリティテストチームを含めて、ルールを段階的に導入します。
ダッシュボードツールを使用して、ルールの効果を定期的に確認および分析します。確認の頻度（毎日、毎週、毎月）は、サイトのトラフィック量とリスクプロファイルに合わせる必要があります。
新しい脅威インテリジェンス、トラフィックの動作、監査結果に基づいて、ルールを継続的に調整します。

アドビの推奨される標準トラフィックフィルタールールをベースラインとして使用します。これには、エッジ、接触チャネル保護、OFAC ベースの制限のルールが含まれます。
定期的にアラートとログを確認して、不正使用や誤った設定のパターンを特定します。

アプリケーションのトラフィックパターンとユーザーの行動に基づいて、レート制限のしきい値を調整します。

しきい値の選択方法のガイダンスについては、次の表を参照してください。

table 0-row-2 1-row-2 2-row-2 1-align-left 2-align-left 4-align-left 5-align-left 7-align-left 8-align-left
バリエーション	値
接触チャネル	通常のトラフィック条件（つまり、DDoS 時のレートではない）における IP/POP あたりの最大接触チャネルリクエストの最大値を取得し、倍数で増やします。
Edge	通常のトラフィック条件（つまり、DDoS 時のレートではない）における IP/POP あたりの最大 Edge リクエストの最大値を取得し、倍数で増やします。

詳しくは、しきい値の選択の節も参照してください。

まず、アドビの推奨される WAF ルールから開始します。これには、既知の不正な IP をブロックし、DDoS 攻撃を検出し、ボットの不正使用を軽減するためのルールが含まれます。
ATTACK WAF フラグは、潜在的な脅威をアラートします。block に移行する前に、誤検出がないことを確認します。
推奨される WAF ルールが特定の脅威に対応していない場合は、アプリケーション固有の要件に基づいてカスタムルールを作成することを考慮します。WAF フラグの完全なリストについて詳しくは、ドキュメントを参照してください。