目次
AWS Firewall Manager v2.0 完全ガイド
多アカウント セキュリティポリシー一元管理プラットフォーム
AWS Firewall Manager は、AWS Organizations 全体の WAF・Shield Advanced・Security Group・Network Firewall・Route 53 Resolver DNS Firewall・ACL を一箇所から一元管理・自動適用するサービスです。新規アカウントの自動ポリシー適用・既存リソースへの自動コンプライアンス実施・多アカウント監視ダッシュボードにより、大規模マルチアカウント環境でのセキュリティガバナンスを効率化します。管理者 1 名で 50~1000 アカウントの統制が可能で、新しいアカウント追加時のセキュリティ設定漏れを根絶し、OU 単位・タグ単位の柔軟なポリシー委譲により分散チーム対応も実現します。2025年の Multi-Admin 機能拡張で最大 10 個の Firewall Manager 管理者アカウント化が可能となり、大規模企業の責任分散と監査対応が飛躍的に改善されました。本ガイドは Firewall Manager の仕組み・ポリシータイプ・マルチアカウント設定・自動修復・ベストプラクティスを体系的に解説する完全リファレンスです。
目次
- 概要と課題
- 主な特徴
- アーキテクチャ
- ポリシータイプ完全解説
- 管理アカウント設定
- マルチアカウント設定
- 主要ユースケース
- 設定・操作の具体例
- 類似サービス比較表
- ベストプラクティス
- トラブルシューティング
- 2025-2026 最新動向
- 学習リソース・参考文献
- 実装チェックリスト
- まとめ
概要と課題
Firewall Manager が解決する課題
1. マルチアカウント環境での設定乖離
課題:
- 50 アカウント × 各アカウント ALB × ルール管理 → アカウント間で異なる WAF ルールが適用
- 新規アカウント追加 → セキュリティ未適用で運用開始(gap)
Firewall Manager の解決:
- 一元管理:管理アカウント 1 個所でポリシー定義
- 自動適用:全メンバーアカウントに自動配布
- 自動修復:非準拠リソースを自動ポリシー適用
2. セキュリティグループの過剰な許可ルール
課題:
- セキュリティグループ設定例(アンチパターン):
- インバウンド 0.0.0.0/0 → 22 ← セキュリティリスク(SSH 公開)
- インバウンド 0.0.0.0/0 → 3306 ← DB 公開
- 審査対象外で展開される
Firewall Manager の解決:
- セキュリティグループポリシーで デニスト強制(0.0.0.0/0 禁止)
- 自動修復で非準拠 SG を自動修正
- コンプライアンスダッシュボードで可視化
3. Shield Advanced・Network Firewall の片落ち対応
課題:
- 100 アカウント中 30 個のみ Shield Advanced 加入 → 70 個が DDoS 脆弱
- Network Firewall 導入アカウント不統一 → East-West 検査の blind spot
Firewall Manager の解決:
- Shield Advanced を全アカウントに一括加入・自動更新
- Network Firewall ポリシーを全 VPC に自動デプロイ
- 新規アカウント追加時も自動適用
4. WAF ポリシー更新時の運用負担
課題:
- OWASP Top 10 新脅威検知 → 50 アカウントの WAF を個別更新 → 1 週間を要する
- 更新漏れリスク
Firewall Manager の解決:
- ポリシー 1 個を更新 → 全アカウントに即座に反映
- ロールバック可能(バージョン管理)
ユースケース概要
- 50+ アカウント企業の統一 WAF ルール展開
- 新規 AWS アカウント開設時の自動セキュリティ適用
- OU(Organizational Unit)ごとのポリシー分岐
- コンプライアンス(PCI DSS・HIPAA)の全アカウント監視
- SaaS マルチテナント環境での顧客ごとのポリシー分離
主な特徴
| 特徴 | 説明 |
|---|---|
| 一元管理 | 管理アカウント 1 個所で全ポリシー定義・管理 |
| 自動適用 | 新規アカウント・新規リソース自動にポリシー適用 |
| 自動修復 | 非準拠リソースを自動修正(SG ルール削除等) |
| 複数ポリシー種別 | WAF・Shield・SG・NF・DNS FW・ACL(6種類) |
| OU・タグフィルタ | OU/タグ単位でスコープ制限、柔軟なポリシー分岐 |
| マルチアカウント監視 | ダッシュボードで全アカウントのコンプライアンス可視化 |
| Multi-Admin (2025) | 最大 10 個の管理者アカウント、責任分散・監査委譲 |
| コスト最適化 | AWS Config・マネージドルール利用で余分な運用コスト削減 |
| API・IaC対応 | CloudFormation・Terraform で自動デプロイ対応 |
| EventBridge統合 | 非準拠検知時のアラート・自動修復トリガー |
アーキテクチャ
AWS Organizations(全社)
├─ 管理アカウント(Firewall Manager 委任管理者)
│ ├─ Firewall Manager ダッシュボード
│ ├─ ポリシー定義(WAF, Shield, SG, NF, DNS FW)
│ └─ コンプライアンス監視・レポート
│
├─ OU: Finance(金融)
│ ├─ Account-101 → 金融向けWAFポリシー自動適用
│ ├─ Account-102 → Shield Advanced 自動加入
│ └─ Account-103 → Network Firewall 自動デプロイ
│
├─ OU: Engineering(開発)
│ ├─ Account-201 → 開発向けWAFポリシー自動適用
│ ├─ Account-202 → 基本的なSG統制のみ
│ └─ Account-203 → タグ: env=staging → 共通NWポリシー
│
└─ OU: Operations(運用)
├─ Account-301 → すべてのセキュリティポリシー適用
└─ Account-302 → すべてのセキュリティポリシー適用
情報フロー
┌─ ポリシー作成(管理アカウント)
│ └─ スコープ定義(OU・タグ・アカウント指定)
│
├─ 評価エンジン
│ ├─ AWS Config で非準拠リソース検知
│ ├─ EventBridge でトリガー
│ └─ コンプライアンスダッシュボード更新
│
├─ 自動適用エンジン
│ ├─ CloudFormation StackSets で ポリシー配布
│ ├─ API で対象リソースに WebACL・SG 適用
│ └─ Firewall Manager Agent が確認・修復
│
└─ 監視・レポート
├─ コンプライアンス率(集計:管理アカウント)
├─ 非準拠リソース一覧
├─ ポリシー更新履歴(バージョン管理)
└─ AWS Security Hub 統合
ポリシータイプ完全解説
1. WAF ポリシー
対象:CloudFront・ALB・API Gateway
管理内容:WebACL(ルール)の一元管理
{
"PolicyName": "owasp-managed-rules-v1",
"PolicyType": "WAF",
"ResourceType": "APPLICATION_LOAD_BALANCER",
"Rules": [
{
"Name": "AWSManagedRulesCommonRuleSet",
"Priority": 0,
"OverrideAction": "NONE",
"ManagedRuleGroupStatement": {
"Name": "AWSManagedRulesCommonRuleSet"
}
},
{
"Name": "RateLimitRule",
"Priority": 1,
"Action": "BLOCK",
"RateBasedStatement": {
"Limit": 2000,
"AggregateKeyType": "IP"
}
}
],
"Scope": {
"OrganizationalUnitIds": ["ou-xxxx-yyyyyyyy"]
},
"AutoRemediation": true
}
効果:
- 全 ALB に OWASP ルール + レートリミット自動適用
- 新規 ALB 作成 → 自動的に WebACL 紐付け
2. Shield Advanced ポリシー
対象:CloudFront・ALB・Route 53・EIP(Elastic IP)
管理内容:DDoS 保護の一括加入・管理
{
"PolicyName": "shield-advanced-all-accounts",
"PolicyType": "SHIELD_ADVANCED",
"Scope": "ORGANIZATION",
"ResourceType": "CLOUDFRONT_DISTRIBUTION",
"AutoRemediation": true,
"ProtectedResourceTypes": [
"CLOUDFRONT_DISTRIBUTION",
"APPLICATION_LOAD_BALANCER",
"ELASTIC_IP_ADDRESS"
]
}
効果:
- 全組織メンバーアカウントの CloudFront に Shield Advanced 自動加入
- DDoS 対応チーム(Shield Response Team - SRT)へのアクセス権自動付与
- 新規アカウント参加 → 自動加入
3. Security Group ポリシー
対象:EC2・ENI・RDS 等に紐付く Security Group
管理内容:SG ルールの強制・監査・修復
{
"PolicyName": "block-unrestricted-access",
"PolicyType": "SECURITY_GROUP",
"SecurityGroupRules": [
{
"GroupId": "sg-12345",
"IpProtocol": "-1",
"FromPort": 0,
"ToPort": 65535,
"IpRange": "0.0.0.0/0",
"Description": "Block All - DENY"
}
],
"RemediationActions": [
{
"Description": "Remove unrestricted inbound rule",
"RemediationActionType": "REMOVE"
}
],
"Scope": {
"OrganizationalUnitIds": ["ou-all"]
}
}
効果:
- 0.0.0.0/0 → 22(SSH)を含むルールを自動削除
- 非準拠リソース検知・ダッシュボード表示
- 修復操作は自動実行(ポリシー設定で有効化時)
4. Network Firewall ポリシー
対象:VPC の Network Firewall Endpoint
管理内容:Firewall・RuleGroup の配布・管理
{
"PolicyName": "centralized-firewall-policy",
"PolicyType": "NETWORK_FIREWALL",
"FirewallPolicy": {
"StatefulRuleGroupReferences": [
{
"ResourceArn": "arn:aws:network-firewall:...:stateful-rulegroup/domain-list"
}
]
},
"Scope": {
"OrganizationalUnitIds": ["ou-finance"],
"ResourceTags": {
"CriticalData": "true"
}
},
"ResourceSetIds": ["rs-network-firewall-prod"]
}
効果:
- Finance OU の全 VPC に自動 Network Firewall デプロイ
- 統一ドメインリスト・Suricata ルール適用
- タグ
CriticalData=trueの VPC のみに適用
5. Route 53 Resolver DNS Firewall ポリシー
対象:Route 53 Resolver DNS Firewall Rules
管理内容:DNS クエリのフィルタリング ポリシー配布
{
"PolicyName": "dns-firewall-malware-blocking",
"PolicyType": "DNS_FIREWALL",
"DnsFirewallRules": [
{
"Action": "BLOCK",
"Domain": "malware-c2.example.com"
}
],
"Scope": {
"OrganizationalUnitIds": ["ou-all"]
}
}
効果:
- 全組織の DNS クエリを一元管理
- 既知マルウェア C2 ドメインへの通信ブロック
6. Network ACL ポリシー
対象:VPC Network ACL
管理内容:NACL ルール の統制
{
"PolicyName": "restrict-rdp-nacl",
"PolicyType": "NETWORK_ACL",
"DenyRules": [
{
"Protocol": "6",
"FromPort": 3389,
"ToPort": 3389,
"IpRange": "0.0.0.0/0",
"Egress": false
}
]
}
管理アカウント設定
前提条件
-
AWS Organizations が有効
aws organizations describe-organization \ --query 'Organization.{Arn:Arn,Status:Status}' -
AWS Config が全メンバーアカウントで有効化
# 管理アカウントで確認 aws configservice describe-configuration-aggregators \ --region ap-northeast-1 -
Firewall Manager Delegated Administrator を設定
# Organizations API で委任管理者設定 aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal fms.amazonaws.com
初期設定手順
Step 1: IAM 権限設定
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wafv2:CreateWebACL",
"wafv2:UpdateWebACL",
"shield:*",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"network-firewall:*",
"route53resolver:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fms:PutPolicy",
"fms:ListPolicies",
"fms:GetPolicy"
],
"Resource": "arn:aws:fms:*:ACCOUNT:policy/*"
}
]
}
Step 2: Firewall Manager コンソールで委任管理者登録
# CLI での登録
aws fms register-delegated-administrator \
--account-id 111111111111 \
--region ap-northeast-1
Step 3: ポリシー作成
aws fms put-policy \
--policy '{
"PolicyName": "production-waf",
"PolicyDetails": {
"PolicyType": "WAF",
"ResourceType": "APPLICATION_LOAD_BALANCER",
"SecurityServicePolicyData": {
"Type": "WAF",
"ManagedServiceData": "{...}"
},
"RemediationEnabled": true,
"IncludeMap": {
"ORG_UNIT": ["ou-xxxx"]
},
"ExcludeMap": {}
}
}' \
--region ap-northeast-1
マルチアカウント設定
2025年 Multi-Admin 機能(新機能)
複数の管理者アカウントで責任を分散:
管理アカウント(Org Master)
├─ Firewall Manager Admin A(Finance OU 担当)
│ └─ ポリシー管理: Finance OU のみ
│
├─ Firewall Manager Admin B(Engineering OU 担当)
│ └─ ポリシー管理: Engineering OU のみ
│
├─ Firewall Manager Admin C(Operations OU 担当)
│ └─ ポリシー管理: Operations OU のみ
│
└─ Firewall Manager Admin D(全社横断 WAF 担当)
└─ ポリシー管理: WAF のみ、全 OU
Multi-Admin 設定例:
# 管理アカウント(Org Master)で実行
aws fms enable-organization-admin-account \
--admin-account 123456789012 \
--region ap-northeast-1
aws fms enable-organization-admin-account \
--admin-account 234567890123 \
--region ap-northeast-1
# 各管理者アカウントの権限スコープ設定
aws fms put-policy-admin-account-summary \
--admin-account 123456789012 \
--policy-types WAF \
--resource-types APPLICATION_LOAD_BALANCER,CLOUDFRONT_DISTRIBUTION
OU・タグベースのスコープ制限
例:Finance OU のみに WAF ポリシー適用
{
"PolicyName": "finance-waf-policy",
"PolicyDetails": {
"PolicyType": "WAF",
"IncludeMap": {
"ORG_UNIT": ["ou-finance-prod-xxxxx"]
},
"ExcludeMap": {
"ORG_UNIT": ["ou-finance-dev-xxxxx"]
}
}
}
例:タグベースで スコープ制限
{
"PolicyName": "critical-data-firewall",
"PolicyDetails": {
"PolicyType": "NETWORK_FIREWALL",
"ResourceTags": {
"DataClassification": "Confidential",
"Compliance": "PCI"
}
}
}
主要ユースケース
1. 全社 50+ アカウント WAF 一括展開
シナリオ:OWASP Top 10 対策を全組織の ALB に自動適用
aws fms put-policy \
--policy '{
"PolicyName": "owasp-managed-ruleset",
"PolicyDetails": {
"PolicyType": "WAF",
"ResourceType": "APPLICATION_LOAD_BALANCER",
"SecurityServicePolicyData": {
"Type": "WAF",
"ManagedServiceData": "{
\"ManagedRuleGroupConfigurations\": [{
\"ManagedRuleGroupIdentifier\": {
\"VendorName\": \"AWS\",
\"Name\": \"AWSManagedRulesCommonRuleSet\"
}
}]
}"
},
"RemediationEnabled": true,
"IncludeMap": {
"ORG_UNIT": ["ou-root"]
}
}
}'
効果:
- 全アカウントの ALB に自動的に OWASP ルール適用
- 新規 ALB 作成時も自動適用
- ルール更新時は一括反映
2. セキュリティグループの自動修復
シナリオ:0.0.0.0/0 → SSH(22) ルールを自動削除
aws fms put-policy \
--policy '{
"PolicyName": "block-unrestricted-ssh",
"PolicyDetails": {
"PolicyType": "SECURITY_GROUP",
"ResourceType": "EC2_INSTANCE",
"SecurityGroupRules": [
{
"GroupId": "sg-*",
"IpProtocol": "tcp",
"FromPort": 22,
"ToPort": 22,
"CidrIp": "0.0.0.0/0",
"GroupOwnerId": "ACCOUNT"
}
],
"RemediationActions": [
{
"Description": "Remove unrestricted SSH access",
"RemediationActionType": "REMOVE"
}
],
"RemediationEnabled": true
}
}'
効果:
- 自動検知:0.0.0.0/0 → 22 を含む SG を検知
- 自動修復:CloudFormation で該当ルール削除
- ダッシュボード:コンプライアンス率可視化
3. Shield Advanced 全アカウント一括加入
シナリオ:100 アカウント全体に DDoS 保護を自動展開
aws fms put-policy \
--policy '{
"PolicyName": "shield-advanced-org",
"PolicyDetails": {
"PolicyType": "SHIELD_ADVANCED",
"ResourceType": "ALL",
"SecurityServicePolicyData": {
"Type": "SHIELD_ADVANCED"
},
"RemediationEnabled": true,
"IncludeMap": {
"ORG_UNIT": ["ou-root"]
}
}
}'
効果:
- 全アカウント CloudFront・ALB・Route53・EIP に Shield Advanced 自動加入
- 月額コスト自動計上(org. master 一括請求)
- DDoS 対応チーム(SRT)へのサポートチケットアクセス自動付与
4. Network Firewall 集中管理(Transit Gateway)
シナリオ:Finance OU の全 VPC に HUB&Spoke Firewall 自動デプロイ
aws fms put-policy \
--policy '{
"PolicyName": "centralized-network-firewall",
"PolicyDetails": {
"PolicyType": "NETWORK_FIREWALL",
"ResourceType": "VPC",
"IncludeMap": {
"ORG_UNIT": ["ou-finance-prod"]
},
"SecurityServicePolicyData": {
"Type": "NETWORK_FIREWALL",
"ManagedServiceData": "{
\"FirewallPolicy\": {
\"StatefulRuleGroupReferences\": [...]
}
}"
},
"RemediationEnabled": true
}
}'
効果:
- Finance OU の新規 VPC に自動 Firewall Endpoint デプロイ
- Transit Gateway 経由のトラフィック集中検査
- ドメインリスト・IPS ルール一元管理
5. コンプライアンス監視(PCI DSS)
シナリオ:カード決済 VPC の セキュリティ設定をリアルタイム監視
# ダッシュボード API で取得
aws fms get-compliance-summary \
--region ap-northeast-1
# 非準拠リソース一覧
aws fms list-member-accounts \
--region ap-northeast-1 | jq '.MemberAccounts[] | select(.ComplianceStatus == "NON_COMPLIANT")'
効果:
- PCI DSS audit ・レポート自動生成
- 非準拠リソース自動アラート
- 修復トレース・監査ログ保管
6. 新規OU・アカウント追加時の自動セキュリティ適用
シナリオ:新規スタートアップ企業を子アカウントとして追加
Before:
新規アカウント追加
→ 手動で WAF/Shield/SG ポリシー設定
→ 設定漏れのリスク
→ 1 週間を要する
After (Firewall Manager):
新規アカウント追加
→ Firewall Manager が自動的に全ポリシー適用
→ 翌日にはセキュリティ実装完了
→ コスト・運用時間削減
7. OU 単位での責任分散(Multi-Admin)
シナリオ:各OU長がそれぞれのセキュリティポリシーを管理
CEO(Org Master)
├─ CFO(Finance 管理者)
│ └─ Finance OU のセキュリティポリシー管理
│ ├─ WAF ルール
│ ├─ Shield Advanced
│ └─ Network Firewall
│
├─ CTO(Engineering 管理者)
│ └─ Engineering OU のセキュリティポリシー管理
│
└─ COO(Operations 管理者)
└─ Operations OU のセキュリティポリシー管理
設定・操作の具体例
CLI:WAF ポリシー作成
# WAF ポリシー作成(CloudFront)
aws fms put-policy \
--policy '{
"PolicyName": "cloudfront-owasp",
"PolicyDetails": {
"PolicyType": "WAF",
"ResourceType": "CLOUDFRONT_DISTRIBUTION",
"SecurityServicePolicyData": {
"Type": "WAF",
"ManagedServiceData": "{\"ManagedRuleGroupConfigurations\":[{\"ManagedRuleGroupIdentifier\":{\"VendorName\":\"AWS\",\"Name\":\"AWSManagedRulesCommonRuleSet\"}}]}"
},
"RemediationEnabled": true,
"IncludeMap": {
"ORG_UNIT": ["ou-root"]
},
"ExcludeMap": {}
},
"ResourceTags": {}
}' \
--region ap-northeast-1
SDK (Python):ポリシー管理
import boto3
fms = boto3.client('fms', region_name='ap-northeast-1')
# ポリシー一覧取得
response = fms.list_policies()
for policy in response['PolicyList']:
print(f"Policy: {policy['PolicyName']}, Type: {policy['PolicyDetails']['PolicyType']}")
# ポリシー詳細取得
policy_detail = fms.get_policy(PolicyId='policy-xxxx')
print(f"Compliance Status: {policy_detail['Policy']['PolicyStatus']}")
# コンプライアンスサマリー
compliance = fms.get_compliance_summary()
print(f"Organization Compliance Rate: {compliance['OrganizationCompliance']['ConformantMemberAccountCount']}/{compliance['OrganizationCompliance']['MemberAccountCount']}")
CloudFormation:マルチアカウント WAF 展開
Resources:
FirewallManagerPolicy:
Type: AWS::FMS::Policy
Properties:
PolicyName: multi-account-waf
PolicyDetails:
PolicyType: WAF
ResourceType: APPLICATION_LOAD_BALANCER
SecurityServicePolicyData:
Type: WAF
ManagedServiceData: |
{
"ManagedRuleGroupConfigurations": [
{
"ManagedRuleGroupIdentifier": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet"
}
},
{
"ManagedRuleGroupIdentifier": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAmazonIpReputationList"
}
}
],
"RuleActionOverrides": []
}
RemediationEnabled: true
IncludeMap:
ORG_UNIT:
- ou-root
Tags:
- Key: Environment
Value: production
Terraform:Network Firewall ポリシー
resource "aws_fms_admin_account" "organization" {
account_id = aws_organizations_organization.org.master_account_id
}
resource "aws_fms_policy" "network_firewall" {
name = "centralized-nfw"
policy_type = "NETWORK_FIREWALL"
remediation_enabled = true
resource_type = "VPC"
include_map {
org_unit = ["ou-finance-prod"]
}
security_service_policy_data = jsonencode({
Type = "NETWORK_FIREWALL"
ManagedServiceData = jsonencode({
FirewallPolicy = {
StatefulRuleGroupReferences = [
{
ResourceArn = "arn:aws:network-firewall:ap-northeast-1:ACCOUNT:stateful-rulegroup/prod-rules"
}
]
}
})
})
depends_on = [aws_fms_admin_account.organization]
}
IaC:EventBridge 統合(自動修復)
import json
import boto3
events = boto3.client('events')
# FMS Policy 非準拠イベント → Lambda トリガー
events.put_rule(
Name='fms-non-compliance-detected',
EventPattern=json.dumps({
'source': ['aws.fms'],
'detail-type': ['FMS Policy Compliance Change'],
'detail': {
'complianceStatus': ['NON_COMPLIANT']
}
}),
State='ENABLED'
)
events.put_targets(
Rule='fms-non-compliance-detected',
Targets=[
{
'Arn': 'arn:aws:lambda:ap-northeast-1:ACCOUNT:function:remediate-fms-violation',
'Id': '1'
}
]
)
# Lambda 修復関数
def remediate_fms_violation(event, context):
detail = event['detail']
account_id = detail['AccountId']
policy_id = detail['PolicyId']
# 非準拠リソースのタイプ別修復
if detail['PolicyType'] == 'SECURITY_GROUP':
sg = boto3.client('ec2')
sg.revoke_security_group_ingress(
GroupId=detail['ResourceId'],
IpPermissions=[...]
)
return {'statusCode': 200, 'message': 'Remediation applied'}
類似サービス比較表
| サービス | 管理範囲 | 多アカウント | 自動修復 | ポリシー種別 | マネージド | 価格 |
|---|---|---|---|---|---|---|
| Firewall Manager | WAF・Shield・SG・NF・DNS FW | ✅ | ✅ | 6種類 | ✅ | $100/月/ポリシー |
| Palo Alto Panorama | PA 全シリーズ | ✅ | ✅ | Firewall Policy | ❌ | $3000+/月 |
| Cisco SecureX | Cisco セキュリティ製品全体 | ✅ | ⚠️ | 多数 | ✅ | $1000+/月 |
| FortiManager | Fortinet デバイス | ✅ | ✅ | Firewall Policy | ❌ | $2000+/月 |
| Trend Micro Cloud One Conformity | AWS セキュリティ監査 | ✅ | ⚠️ | Cloud Posture | ✅ | $500+/月 |
| AWS Config | AWS リソース準拠性 | ✅ | ⚠️ | Managed Rules | ✅ | $2/rule/month |
| AWS Security Hub | AWS セキュリティ脅威検知 | ✅ | ❌ | Insights | ✅ | $0.10/finding |
推奨判断:
- Firewall Manager ← AWS ネイティブ + マルチアカウント統制
- Palo Alto Panorama ← PA 専有環境・多地域管理
- Cisco SecureX ← Cisco エコシステム統合
- Trend Micro Cloud One ← クラウド監査・准コンプライアンス
ベストプラクティス
✅ やるべきこと
| 項目 | 理由 | 実装例 |
|---|---|---|
| 委任管理者明確化 | 責任分散・監査対応 | OU 長が管理者、CEO が Org Master |
| OU・タグ分岐 | ポリシー柔軟性・チーム自律 | Finance OU は厳格、Dev OU は緩和 |
| 自動修復有効化 | 運用効率化・コンプライアンス維持 | RemediationEnabled: true |
| EventBridge 統合 | リアルタイム対応・アラート | 非準拠検知 → SNS/Slack 通知 |
| ポリシー バージョン管理 | ロールバック・変更追跡 | Git で Policy JSON 管理 |
| 段階的デプロイ | リスク最小化・検証期間確保 | Dev/Staging → Prod の 3段階 |
| AWS Config 全アカウント有効化 | Firewall Manager 前提条件 | Organizations SCPs で強制 |
| 定期 Compliance Report | 監査・経営報告 | 月 1 回、コンプライアンス率レポート |
| Multi-Admin 活用(2025) | 大規模組織対応・責任分散 | 10 個の管理者アカウント化 |
❌ してはいけないこと
| 項目 | 問題 | 対策 |
|---|---|---|
| 管理者アカウント 1 個集約 | Single Point of Failure・管理者過負荷 | Multi-Admin で分散 |
| 包括的 IncludeMap | 例外対応困難 | OU・タグで細分化 |
| 自動修復無効化 | 非準拠リソース放置 | 事前テスト後に有効化 |
| ポリシー変更無通知 | 予期しない設定変更 | EventBridge で変更通知 |
| Security Hub 非統合 | 脅威検知情報が分散 | Firewall Manager Findings を Security Hub に集約 |
| AWS Config 未有効化 | Firewall Manager 機能動作不可 | Organizations SCPs で強制有効化 |
トラブルシューティング
| 症状 | 原因 | 解決策 |
|---|---|---|
| ポリシーが適用されない | AWS Config 未有効・IAM 権限不足 | aws configservice describe-configuration-aggregators で確認 |
| 委任管理者登録できない | Organizations 未有効化 | aws organizations describe-organization で確認 |
| 自動修復が実行されない | RemediationEnabled: false | aws fms put-policy --policy ... --remediation-enabled |
| コンプライアンス率が 100% にならない | リソース削除遅延・ルール評価待ち | 数分待機、EventBridge ログ確認 |
| WAF ルール競合エラー | 複数ポリシーで同一リソース指定 | ExcludeMap で除外設定 |
| Shield Advanced 課金異常 | 新規アカウント自動加入による | 予想コスト計算後に既存アカウント確認 |
| Terraform apply 失敗 | AWS API タイムアウト・権限不足 | terraform destroy → 再デプロイ |
2025-2026 最新動向
Multi-Admin 機能拡張(2025年GA)
複数の Firewall Manager 管理者アカウント(最大 10 個)で責任分散:
AWS Organizations
├─ Master Account(全体統制・監視)
│
├─ Admin Account A
│ └─ WAF ポリシー管理(全 OU)
│
├─ Admin Account B
│ └─ Shield Advanced(全 OU)
│
├─ Admin Account C
│ └─ Network Firewall(Finance OU)
│
└─ Admin Account D
└─ Security Group(Engineering OU)
API 設定例:
aws fms enable-organization-admin-account \
--admin-account 123456789012 \
--policy-types WAF,SHIELD_ADVANCED \
--scopes OU,ACCOUNT
aws fms enable-organization-admin-account \
--admin-account 234567890123 \
--policy-types NETWORK_FIREWALL \
--scopes OU=ou-finance
新ポリシータイプ検討中
- Network ACL 統制(2025 H2 予定)
- AWS Backup ポリシー(2026 予定)
- VPC Flow Logs 一元管理(2026 予定)
Security Hub 統合強化
- Firewall Manager Findings をネイティブ統合
- カスタムインサイト生成
- 脅威スコアリング自動化
学習リソース・参考文献
公式ドキュメント
- AWS Firewall Manager Developer Guide
- AWS Firewall Manager Prerequisites
- Multi-Admin Support(2025)
- AWS Firewall Manager FAQs
ブログ・解説
- Enable Multi-Admin Support - AWS Security Blog
- Scale Multi-Account with Network Firewall & Control Tower
- Use Firewall Manager to Deploy Protection at Scale
サンプルコード
競合製品
実装チェックリスト
-
[ ] 事前確認
- [ ] AWS Organizations 有効化確認
- [ ] AWS Config 全アカウント有効化
- [ ] Delegated Administrator 権限確認
-
[ ] 初期設定
- [ ] Firewall Manager 有効化
- [ ] IAM ロール・ポリシー設定
- [ ] Multi-Admin 設定(使用予定の場合)
-
[ ] ポリシー設計
- [ ] OU・タグ分岐設計
- [ ] ポリシータイプ(WAF・Shield・SG 等)選定
- [ ] スコープ定義(Include/Exclude Map)
- [ ] ルール詳細設計
-
[ ] 検証環境での実装
- [ ] Dev OU にポリシー配信
- [ ] コンプライアンス確認
- [ ] 自動修復テスト
- [ ] EventBridge トリガー確認
-
[ ] 本番環境デプロイ
- [ ] Staging OU で段階デプロイ
- [ ] Prod OU への展開
- [ ] 既存リソースへの自動適用確認
-
[ ] 運用開始
- [ ] コンプライアンスダッシュボード監視
- [ ] 定期レポート生成
- [ ] ポリシー更新ワークフロー構築
- [ ] インシデント対応プレイブック作成
まとめ
AWS Firewall Manager は、AWS Organizations 環境での セキュリティポリシー一元管理・自動適用・自動修復 を実現するサービスです。
適用シーン
✅ 50+ アカウント企業の統一 WAF ルール展開 ✅ 新規アカウント追加時の自動セキュリティ適用 ✅ Security Group の自動修復・監査 ✅ Shield Advanced の全アカウント一括加入 ✅ Network Firewall 集中管理(HUB&Spoke) ✅ PCI DSS・HIPAA コンプライアンス対応
非適用シーン
❌ 単一アカウント環境(AWS Config で十分) ❌ Organizations なし(IAM で個別管理) ❌ カスタム Firewall(Palo Alto・Fortinet 選択)
導入のポイント
- AWS Config 全アカウント有効化が前提条件
- OU・タグ分岐で ポリシー柔軟性確保
- **Multi-Admin(2025)**で 責任分散
- EventBridge 統合で 自動対応パイプライン
- 段階的デプロイ(Dev → Staging → Prod)
2025年の Multi-Admin 機能拡張により、大規模企業での分散管理・監査委譲が飛躍的に改善されました。CloudFormation・Terraform IaC 対応で、セキュリティガバナンスの自動化・スケーラビリティを実現できます。
最終更新:2026-04-26 バージョン:v2.0