2025年7月11日
ど~も。うさノリブログです。
今回はAWSでのサービスの中で複数のAWSアカウントの
セキュリティを管理できるAWS Firewall Managerに
ついてゆるりお話ししていきましょう♪
AWS環境が大規模になるほど、セキュリティルールや
ファイアウォールポリシーの一貫性を保つことが難しく
なってきます。
たとえば、複数のアカウントやリージョンにわたって
WAFのルールを統一したい場合、手動で管理するのは
非効率で人的ミスの原因にもなります。
そんなときに活躍するのが
AWS Firewall Manager
(ファイアウォールマネージャー) です。
本記事では、Firewall Managerの基本機能、
できること、仕組み、導入方法、ユースケース、
料金まで初心者でも理解しやすいように解説します。
AWS Firewall Managerとは?
AWS Firewall Managerは、複数アカウントや
複数リージョンにまたがるファイアウォール設定を
一元管理・自動適用できるマネージドサービスです。
AWS Organizationsと連携することで、組織内の
全アカウントに対してセキュリティポリシーを
一括適用・監視できます。
一言でいうと
Firewall Managerは「複数AWSアカウントにわたってセキュリティポリシーを一元管理できるサービス」です。
AWS Firewall Managerでできること
| 機能 | 内容 |
|---|---|
| AWS WAFルールの集中管理 | Webアプリケーション ファイアウォールの ルールを全アカウントへ 一括適用 |
| Shield Advancedの ポリシー管理 | DDoS対策の自動有効化と ルールの統一 |
| VPCセキュリティグループの 監視と修正 | ポリシー違反の自動修復が 可能 |
| Network Firewall ポリシー管理 | VPC間の通信制御ルールの 集中管理 |
| セキュリティポリシーの 適用漏れ防止 | 新規アカウントが追加 された際も自動でルールを 適用 |
なぜFirewall Managerを使うのか?
| 理由 | 説明 |
| スケーラブルな管理 | 数十〜数百のアカウント でも統一管理が可能 |
| 一貫性の確保 | 全ての環境で同じルールを 強制できる |
| 自動修復機能 | ポリシーから逸脱した設定 を自動的に修正 |
| コンプライアンス対応 | セキュリティポリシーの 監査が容易 |
| インシデント対応の迅速化 | 全体のルールを一元的に 見直せる |
利用の前提条件
- AWS Organizationsを利用していること
- 管理アカウントからFirewall Managerを有効にする
必要があります - 各アカウントで対象のサービス
(WAF、Shield、Network Firewallなど)が有効
になっていること
仕組みと構成
- AWS Organizationsとの統合:
組織内の全アカウント情報を取得 - セキュリティポリシーの作成:
WAFやセキュリティグループのルールを定義 - 対象リソースを指定:
ポリシーを適用する対象
(VPC、CloudFront、ALBなど)を選択 - 自動適用と監視:
新規リソースやアカウントに対してもルールを自動適用
ポリシーの種類と例
| ポリシータイプ | 内容と使用例 |
| WAFポリシー | SQLインジェクション 対策ルールをALBに適用 |
| Shield Advancedポリシー | CloudFrontのDDoS保護 を全アカウントで有効化 |
| セキュリティグループ ポリシー | 特定ポート(例:SSH)の 使用を禁止 |
| Network Firewallポリシー | VPC間トラフィックに 制限ルールを適用 |
ステップバイステップ:Firewall Managerの使い方
1. Firewall Managerの有効化
AWS Management Consoleの管理アカウントから
Firewall Managerを開き、サービスを有効化します。
2. ポリシーの作成
セキュリティポリシーを作成し、どのアカウント、
どのリソースに適用するかを定義します。
3. 適用状況の監視
ダッシュボードで適用状況やポリシー違反の
リソースを確認できます。
4. 修復の自動化(オプション)
逸脱した設定を自動修正するオプションを有効に
すると、セキュリティリスクの低減に繋がります。
他AWSサービスとの連携
| サービス | 連携内容 |
| AWS WAF | Webアプリケーションの ルール適用 |
| AWS Shield | DDoS保護ポリシーの適用 |
| VPC Network Firewall | VPC間の通信制御 ポリシー管理 |
| Security Hub | セキュリティ状況の 統合可視化 |
よくあるユースケース
- 企業全体で統一したセキュリティルールを適用
- セキュリティグループの乱立を防止
- 新規アカウント作成時の自動セキュリティ設定
- インシデント発生時の即時ルール適用
よくある質問とトラブル対処
| 問題/質問 | 解決策 |
| ポリシーが反映されない | 対象アカウントが Organizationsに 含まれているか確認 |
| 一部リソースだけに 適用したい | スコープをリソースタグや アカウント単位で調整 |
| 設定変更が上書きされる | 修復オプションをオフに することで手動設定を 保持可能 |
まとめ
AWS Firewall Managerは、セキュリティルールを
複数アカウント・複数リージョンにわたって一括
適用できる強力なサービスです。
セキュリティの属人化を防ぎ、一貫したガバナンスを
維持するためにも非常に効果的です。
大規模環境やマルチアカウント構成を採用している
企業には、ぜひ導入を検討していただきたい
サービスです。
まずはOrganizationsの構築から始め、
Firewall Managerによる集中管理のメリットを
体験してみてください。
以上!今回はここまで!
コメント