AWS WAFにおける「NoUserAgent_HEADER」ルールとは？機能・挙動・対策まで詳しく解説

はじめに：AWS WAFとNoUserAgent_HEADERの基本

AWS WAF（Web Application Firewall）は、Webアプリケーションへの攻撃から保護するマネージドサービスです。その中で「NoUserAgent_HEADER」は、AWSが提供するマネージドルール（Core Rule Set）に含まれる1つのセキュリティルールです。

このルールは、HTTPリクエストにおいて「User-Agent」ヘッダーが含まれていない場合に、リクエストをブロックするというものです。この記事では、その仕組みや活用方法、注意点について詳しく説明します。

1. NoUserAgent_HEADERとは何か？

「User-Agent」ヘッダーは、HTTPリクエストを送信するクライアント（例：ブラウザ、Bot、アプリなど）の情報を示す重要な要素です。通常のWebブラウザでは必ず含まれていますが、不正アクセスやBot攻撃の中には意図的にこのヘッダーを省略するケースがあります。

AWS WAFの「NoUserAgent_HEADER」ルールは、そうしたリクエストを検知し、セキュリティリスクとみなしてブロックするものです。

主な検知条件

• User-Agentヘッダーが存在しないリクエスト
• 値が空のUser-Agent（ただし一部除外される場合あり）

2. なぜこのルールが必要なのか？

User-Agentがないリクエストは、以下のようなリスクを伴います：

• 攻撃者がBotやスクリプトを使用して不正アクセスを試みる
• クローラーが認証のないAPIエンドポイントを狙う
• 不正なスキャンツールによる探索的リクエスト

つまり、このルールは「怪しい匿名リクエスト」を防ぐためのファーストラインの防御策なのです。

3. 実際の利用時に起こる問題と対策

❗ 問題例

• 一部のAPI連携やWebhook（例：CIツール、IoTデバイス、Cognito、ShareFileなど）はUser-Agentを送信しないため、意図せずブロックされてしまうことがあります。
• サードパーティツールやcurlでの通信にUser-Agentが設定されていないと403 Forbiddenが返されるケースがあります。

✅ 対策方法

1. 条件付きの例外ルールを追加

特定のパス（例：/api/healthや/oauth/token）に対しては、NoUserAgent_HEADERのルールを無効化またはCountモードに設定し、ログのみ記録するようにします。

2. User-Agentを明示的に追加

curlやスクリプトからの通信には、以下のようにUser-Agentを明示的に設定します：

curl -A "MyClient/1.0" https://example.com/api

3. WAFログの監視と可視化

CloudWatch Logs や AWS WAFの「ラベル」機能を活用して、NoUserAgent_HEADERによるブロックがどのくらい発生しているかを可視化し、適切な調整を行いましょう。

4. マネージドルールの特徴と選択のコツ

AWS WAFのCore Rule Setに含まれるNoUserAgent_HEADERは、以下のような特徴を持ちます：

導入時にはまずCountモードで挙動を観察し、必要なエンドポイントにのみルールを適用または除外することで、安全性と利便性のバランスを保てます。

対象読者とアクセシビリティ評価

本記事は、AWS環境でWebセキュリティを担うインフラエンジニアや、DevOps、セキュリティ担当者を主な対象としています。技術用語をやさしく解説し、構成や挙動の違いを表やコード例で視覚的に示すことで、視覚に障害のある読者にも内容が理解しやすくなるよう配慮しました。色や図に依存しない説明により、アクセシビリティの高い情報提供を実現しています。

まとめ

• NoUserAgent_HEADERは、User-AgentがないリクエストをブロックするAWS WAFのセキュリティルールです。
• 不正アクセス対策として有効ですが、正当なリクエストもブロックされる恐れがあるため、慎重な適用と例外設定が重要です。
• Countモードの活用やUser-Agentの明示的設定により、安全性と機能性を両立させましょう。

AWS WAFの高度な機能を活かして、安全で柔軟なWebセキュリティを構築していきましょう。