こんにちは、クララのクラウドソリューションチームです!
中国をはじめとしたアジア圏にWebサービスを展開する企業にとって、Webアプリケーションファイアウォール(WAF)は重要な防御手段のひとつ。中でも「Alibaba Cloud WAF」は、クラウドベースで高性能なセキュリティを提供し、多くの企業で導入が進んでいます。
とはいえ、導入を検討すると以下のような疑問が浮かぶのではないでしょうか?
- 「Basic EditionとEnterprise Editionの違いって?」
- 「ルールセットって何?厳しめの設定にした方がいい?」
- 「Cloud Native WAFって、従来型とどう違うの?」
本記事では、Alibaba Cloud WAFのエディション(プラン)体系・ルールセットの考え方・構成パターンの違いを、はじめての方にもわかりやすく整理します。
Alibaba Cloud WAFの基本構成:2つの提供方式
Alibaba Cloud WAFは、大きく以下の2方式で提供されています。
①CNAME方式
DNSでCNAMEを指定してリバースプロキシ化する構成。公開Webサイト向け。
②Cloud Native方式
ALB/ECSなどに透過的にWAFを適用。DNS変更不要。※CDNには非対応
Cloud Native WAFとCNAME方式の比較(構成・運用・適用対象)
| 比較項目 | CNAME方式 | Cloud Native方式 |
| DNS変更 | 必須(CNAME指定) | 不要 |
| 対象 | ドメイン(公開Web) | ALB/Ingress/ECSなど |
| 適用方式 | リバースプロキシ | 透過型連携 or SDK |
| CDNとの併用 | 可能(CDNの後段に配置) | 不可 |
| 運用調整 | ルールセットで制御 | GUIで個別ルール調整 |
⚠️ Cloud Native WAFは、CDNとの連携が非対応なため、Cloudflare的な構成(WAF→CDN→Origin)はAlibabaでは設計できません。
エディション(プラン)体系の違いと選び方
Alibaba Cloud WAFには、ニーズに応じて選べる4つのエディションがあります(※Cloud Native/CNAME共通の体系です)。
| エディション | 主な用途 | 特徴 |
| Basic | 小規模なサイト、PoC | 最低限のWAF機能。無料枠あり(3ドメイン) |
| Pro | 中小企業 | Bot対策、API保護、SLS連携など実運用向け機能が充実 |
| Enterprise | 商用・高トラフィック | AI検知、IP制御、QPS保証など高度な制御機能を提供 |
| Ultimate | 金融・大規模システム | 専用リソース、高可用性、冗長構成が可能 |
✅ Cloud Native/CNAMEいずれの構成でも、これらのエディションから選ぶ形になります。
ルールセット(保護レベル)の設定と考え方
WAFのルールセットは、攻撃検出の強度(精度と範囲)を選ぶプリセット設定です。
| ルールセット | 特徴 | 初期設定 |
| Loose | 誤検知を最小化。セキュリティは控えめ。 | ❌ |
| Medium | セキュリティと誤検知のバランスがとれた標準設定。 | ✅ |
| Strict | 厳格な防御。誤検知リスクも高まる。 | 任意設定可 |
GUI上からいつでも切り替えが可能です。
★ルールセットはMarketplaceで購入する形式ではなく、標準機能として選択可能です。
Cloud Native WAFにおけるルール設定とチューニングの考え方
Cloud Native WAFでは、従来型のような「ルールセット(Loose/Medium/Strict)」をユーザーが選択する仕組みはありません。
代わりに、Alibaba Cloudが提供する自動更新型の保護エンジンが、脅威インテリジェンスとAIによって常時チューニングされる方式を採用しています。
- 初期設定時点で強固な保護が有効化されており、利用者が明示的にルールレベルを選ぶ必要はありません。
- 実運用において誤検知が発生した場合には、GUIから例外設定(ホワイトリスト化)や個別ルールのON/OFFが可能です。
- ルールベースでの柔軟な制御よりも、ポリシーベースでのチューニングに近い運用スタイルです。
このように、Cloud Native WAFは「設定項目が少なくラクだが、完全な自由度はない」という特徴があります。自社要件に細かくルールを合わせたい場合は、CNAME型の方が適しているケースもあります。
中国本土で使う場合の注意点(ICPなど)
中国リージョンでAlibaba Cloud WAFを使う場合、以下の法制度・仕様に注意が必要です:
- ✅ ICP登録(ドメイン登録)がないとCNAME方式は使えません
- ✅ HTTPSを利用する場合、WAF側にも証明書アップロードが必要です
- ✅ ログ出力はAlibaba SLS(Simple Log Service)との連携が必須
シーン別:Alibaba Cloud WAFのおすすめ構成とプラン
| 比較項目 | Basic Edition | Pro Edition | Enterprise Edition | Ultimate Edition |
| 想定利用規模 | テスト・小規模 | 一般的な中小規模サイト | 法人・商用サービス全般 | 大規模・高トラフィック環境 |
| 無料ドメイン数 | 3 | 5 | 10 | 50 |
| Bot対策・API防御 | × | ◯ | ◯ | ◯ |
| IP制御(ホワイト/ブラック) | × | ◯(制限あり) | ◯(中規模) | ◯(大規模) |
| カスタムルール作成 | × | ◯(最大10ルール) | ◯(最大200ルール) | ◯(最大200ルール以上) |
| おすすめ用途 | 導入検証 / 社内用 | 商用Web / サービスAPI | ECサイト / 業務システム | 大手EC / 金融 / 配信基盤 |
機能解説ポイント
- Basicエディションは、試用や小規模用途に最適。QPS・ドメイン数など全体的に最小仕様。
- Proでは、Bot対策・APIセキュリティ・SLSログ出力が可能になり、実用利用に適した構成。
- Enterpriseでは、高QPS対応、ハイブリッド構成、複数アカウント管理、カスタムルールが追加され、運用性が大きく向上。
- Ultimateは、大量アクセス・大規模保護対応に。ドメイン数・保護対象数・ルール制限が最大化されます。
まとめ:構成・エディション・ルールの3点セットで最適設計を
Alibaba Cloud WAFを正しく運用するには、以下の3点をセットで考える必要があります:
1 . 構成方式:CNAME / Cloud Native / Hybrid
2. エディション(プラン):Basic / Pro / Enterprise / Ultimate
3. ルールセット(検知レベル):Loose / Medium / Strict
構成の違いや連携可否(CDN非対応など)を理解せずに導入すると、期待するセキュリティ効果が得られない可能性があります。
クララなら、Alibaba Cloudの導入・設計・運用までワンストップ対応!
- 用途に応じたWAF構成のご提案
- 中国向けICP登録支援や証明書設定代行も
- WAF 3.0の最適なリソース設計とPoC実施
ご不明な点があれば、お気軽にご相談ください!
