弊社にはWebアプリケーション開発を担当する部署があり、ここ数年はパブリッククラウド、特にAWS(Amazon Web Services)を利用するシステムが多数を占めます。
そこで相談や質問を受けるのが、AWS で動くWebアプリケーションのセキュリティについてです。
AWS には AWS WAF というサービスがあり、防御性能もさることながら、ハードウェア・ソフトウェア・インフラ等の初期投資不要で即時導入でき、利用料金も安価という面で大変魅力的なセキュリティ強化策です。
ただ、導入面やコスト面におけるハードルは低い一方で、運用面ではセキュリティの知識や専門性、稼働がそれなりにかかってくることで悩まれるケースが多く見受けられます。
そういったご相談におすすめしているのがサイバーセキュリティクラウド社の「WafCharm(ワフチャーム)」です。
今回は、ユーザーが多いAWS WAFの運用を悩まれている方に向け、WafCharmの有効性についてご紹介します。
AWS WAFの課題は運用面
AWS WAFを使うメリットは
セキュリティを強化するにあたって、多種多様のセキュリティサービスが存在し、どれを採用するかは悩みどころではあると思いますが、多層防御を前提として、WAFはWebアプリケーションを守る最後の砦、要の存在であり導入することを強くおすすめします。
それはAWSを含むクラウド上でも同様です。
冒頭でも述べたとおり、AWS WAFは導入面・コスト面から見ると、AWSユーザーにとって魅力的なクラウド型WAFサービスです。
AWS WAFは、一般的なWAFと同様、SQL インジェクションやクロスサイトスクリプティング (XSS) といった、Webアプリケーションを狙う攻撃から、WebサイトやWebアプリケーションおよびAPIを保護する役割を担い、様々な脅威からWebアプリケーションを保護してくれます。
また、Amazon CloudFrontというコンテンツ配信サービスと連携させると、トラフィック量に合わせて自動でスケールアウトしてくれます。そのため、大規模サイトのセキュリティ保護やDDoS攻撃への対策としても有効です。
AWS WAFを使う上での課題
基本的にAWS WAFはセルフサービスなので、ルール設定やチューニングを利用者自身で行わなければならない点、主に、①ルールの運用設計、②新規の脆弱性への対応、③誤検知の対応といった運用面での3点が課題です。
これらの課題に対し、AWS WAF用AWSマネージドルール(提供するセキュリティベンダによって定義された自動で管理されるAWS WAFのルールセット)を利用する手もあります。
しかし、マネージドルールはあくまで汎用的なルールのセットであり、かつ具体的にどんなルールが設定されているのかユーザーからは分からないため、誤検知した際の理由を判別するために多くの時間を費やしてしまうこともあります。
ここまで読まれて、AWS WAFは利用したいけど、運用はもう誰かに丸投げしたい・・と思われた方におすすめなのが「WafCharm」なんです!
WafCharmを使うメリット
WafCharmは、複雑なWAF運用の課題から解放してくれるサービスです。
2023年3月にAWSファンデーショナルテクニカルレビュー(FTR)の審査に合格し、AWSの公式認定も受けています。
WafCharm を導入すると、先に述べた運用面での①~③の課題を解消できる次のようなメリットがあります。
最適かつ効果的な防御性能を発揮できるようになる!
AWS WAFだけでなく、「WAFは導入したものの、ルール設定やチューニングがうまくいかず性能を発揮できていない・放置してしまっている」という話はよく伺います。
WafCharm では、お客様の環境に最適なルール(=シグネチャ)を自動的に作成・設定をしてくれます。
加えて、設定しているシグネチャから漏れてしまった場合でも、数百ものシグネチャで再マッチングを行います。
再マッチングで攻撃認定したものは Blacklist に自動適用されるので安心です。
新規の脆弱性への対応に張り付かなくてよくなる!
Webアプリケーションの脆弱性をゼロにすることは難しいと言われており、新しい攻撃手法はいつどこで出てくるか、いつ自社が攻撃ターゲットになるか・・新規の脆弱性への対応は厄介なものです。
WafCharm は導入時の初期設定のほか、サイバーセキュリティクラウド社の専任のリサーチャーが監視、新規のシグネチャを迅速に作成・更新まで行い、常に最適な防御を提供してくれるため、新規の脆弱性への対応に張り付く必要がありません。
安心の日本語対応、プランによって24時間365日サポートが受けられる!
AWS WAFは世界的なサービスであるがために、日本語対応が充実しているとはまだ言いにくいのが現状です。
その点、WafCharm は日本語対応の技術サポートがついています。
ビジネスプラン・エンタープライズプランであれば、24 時間 365 日対応のサポートが受けられます。
また、サポート内容には誤検知も含まれており、相談すれば適切なルールに更新されます。
2023年6月1日~は機能アップデートに伴いプランが改訂
さて、WafCharmの気になる利用料金ですが、2023年6月1日より機能アップデートに伴うプラン改訂が発表されています。
アップデートの内容は以下の通りです。
アップデート機能詳細
■Webサイト改ざん検知機能
WafCharmに登録のFQDNを監視対象とし、Webサイトが改ざんされていないかを毎日チェック。
DNS不通である場合、攻撃サイトへのURLを含む場合、HTTPS接続設定について非推奨・危殆化の設定を含む場合などに検知を行い、登録された通知先へメールにて通知します。
※AWS版、Azure版、Google Cloud版で提供■静的BlacklistやWhitelistの即時反映
これまでは5分に一回のバッチで処理をしていたため、反映までの待ち時間が発生していました。
独自アーキテクチャを新規に構築することにより、WebACLConfigの作成・更新・削除に応じて即時に反映が可能となりました。
※AWS版で提供■シグネチャ再マッチングによるブラックリストの5分毎更新
WafCharmの主要な機能としてアクセスログを再チェックすることでの、IPアドレスでのブラックリスト機能があります。
これまでは1時間単位でのブラックリスト更新で稼働していましたが、独自アーキテクチャを新規に構築することにより、5分毎の更新が可能となりました。
※AWS版で提供引用元:https://www.wafcharm.com/jp/news/20230413/
プラン表の通り、今回の改訂で「エントリープラン」は2023年5月31日で新規のお申し込みが終了となります。
エントリープランや改訂前のビジネス・エンタープライズプランをご検討される場合はお早目にご連絡ください。
すでに利用開始されている場合は、エントリープランご利用のお客様も含め、そのままのプラン(価格)でご利用いただけますがアップデート機能は提供の対象外となります。
まとめ
今回はAWS WAF版のWafCharmをご紹介しましたが、Azure WAF版やGoogle Cloud Armor版もございます。
無料トライアルや、詳しいご相談はこちらのお問い合わせフォームからお気軽にご連絡ください。
