TOP>WafCharmで実現する、AWS WAF自動運用×セキュリティ対策強化

クラウドエコシステム100 for AWS

WAFサービス

Webアプリケーションのセキュリティ対策に最適!
AWS WAF×WafCharmの導入を支援

WAFサービスの概要

本サービスは、「CUVIC on AWSサービス」のソリューションメニューのひとつであり、お客様のAWS サービス(Amazon CloudFrontもしくはApplication Load Balancer) 利用環境に対し、煩雑なAWS WAFの運用をAIで自動化する「WafCharm(ワフチャーム)」の導入を、CTCが支援するサービスです。

本サービスは、WafCharmで必要なAWS 初期構築を、CTCが下図のオレンジ線枠内で実施します。「AWSでWAFを活用したいが、自社での導入と運用に不安」というお客様は、ぜひCTCへご相談ください。

  • 本サービスは、CUVIC on AWSサービスのCTC サポートを契約のお客様に提供するものです。CTC サポート契約がないお客様にサービス提供は実施できませんのでご注意ください。
  • 「WafCharm」は、株式会社サイバーセキュリティクラウドが提供するサービスです。
  • Amazon CloudFront、もしくはApplication Load Balancer 自体の構築は、本サービス対象外です。
  • WafCharm サービスでは Amazon API Gateway に対応していますが、本サービスでは設定対象外とします。
  • Amazon API Gateway とAmazon CloudFront が連携済みであれば、Amazon CloudFront にAWS WAF を適用するため本サービスが提供可能です。

お問い合わせ

AWS WAFとは?メリットと運用上の課題

AWSにおける魅力の一つである「WAF」とは、ウェブアプリケーションファイアウォール/Web Application Firewallの略称。ウェブアプリケーションの脆弱性を狙った攻撃からの防御対策として、注目のセキュリティ環境です。

AWSから提供される標準ルールやAPIを用いてSQLインジェクション/クロスサイトスクリプティング/アプリケーションDDoSなどの脅威に対抗、ウェブアプリケーションを高いレベルで保護できるほか、APIを活用すれば特定の通信をチェック・遮断、運用の自動化も行えます。

AWS WAFは「Amazon CloudFront」「Application Load Balancer (ALB)」や「Amazon API Gateway」で WAF を有効に設定するだけで基本的な導入準備が完了し、ソフトのインストールや別途ハードの準備も不要と導入は容易です。

その一方、適切・効果的な運用には、下記の課題が存在します。

AWS WAF運用上の課題

AWS WAFはセルフサービスのため、ルール作成とチューニングにはエキスパートの知識が必要です。導入時には試験運用を行いながら設定内容を定めるチューニング作業と、運用には専任のセキュリティエンジニアが必要となります。

防御性能を保ち
誤検知が起きないルールの作成

脅威検知時の
通知・レポーティングの設定

新たな脆弱性のリサーチ
および対応

課題解決策としての「WafCharm」とは?

「WafCharm」とは、世界中のWebに対する攻撃パターンをAIにより学習し、AWS WAFのルールを最適化させるWAF自動運用サービスです。「WafCharm」を利用することで、専任のセキュリティエンジニアを必要とすることなく、AWS WAFの運用を効率的・効果的に行うことができます。

「WafCharm」の概要・特徴

  • AWS WAFのシグネチャを、外部サービスを利用して自動生成 / 更新。
  • アクセスログをもとにシグネチャをAIで自動生成
  • アプライアンス型WAFと比較して初期費用 / 運用コストが安価
  • 生成されたシグネチャはホワイトボックスで、中身を確認可能
  • WafCharm自体に障害が発生しても通信影響は発生しない
    *ルール更新のみ停止でWAFの機能やサービスへの影響なし

「WafCharm」が対応するセキュリティ脅威一覧

「脅威」の攻撃手法 対応
クロスサイトスクリプティング
SQLインジェクション
OSコマンドインジェクション
コードインジェクション
パストラバーサル・ディレクトリトラバーサル
特定OSの脆弱性
特定ミドルウェアの脆弱性
悪質なUserAgentに関する防御
ブラックリストへのIPアドレス登録
シグネチャのカスタマイズ ご相談

「WafCharm」のシステム構成/主な機能

CUVIC on AWS 「WAFサービス」

「WAFサービス」の提供メニュー

WafCharm 構築メニュー

対応時間:平日9:00~17:30

課金単位:WafCharm アカウント単位

納品物:WafCharm 構築 / ヒアリングシート

導入作業までのリードタイム

本サービスは、サービス導入前の「WafCharm アカウントアクティベーション完了」と
「WafCharm 設定シート」受領後、最短10 営業日にてサービス提供を実施します。

「WAFサービス」導入時の実施作業

本サービスでの導入作業は以下の通りです。

事前準備

  • WafCharm用IAMユーザの準備
  • アクセスログとWAFフルログ向けのアクセス権限とS3バケットの準備
  • Amazon Kinesis Data Firehose向けIAMロールの準備
  • AWS Lambda向けIAMロールの準備

AWS環境構築

  • AWS WAF フルログ出力設定として、Amazon Kinesis Data Firehose を設定、AWS WAF と連携。
  • アクセスログ出力設定として、Amazon CloudFront、もしくはApplication Load Balancer のログ出力設定。
  • レポート機能/通知機能の設定としてAWS Lambda を構築。

WafCharm とAWS 環境が連携しているか、動作確認としてWafCharm から初期ルールが登録されていることを確認して、作業完了となります。

提供料金

本サービスは、CUVIC on AWSサービスのCTC サポートを契約のお客様に提供するものです。料金については弊社までお問い合わせください。

*本サービスに関連するAWS 従量費用(AWS WAF, Amazon Kinesis Data Firehose,S3, AWS Lambda など)はお客様負担となります。

よくあるご質問

Q. レポート機能/通知機能の記載がありますが、実装まで対応してくれますか?

A. はい、可能です。構築時に通知先などのメールアドレス情報を確認させていただきますので、情報をご提供いただければ本サービス範囲内で対応します。

Q. レポート機能/通知機能は不要ですが、対応可能ですか?

A. はい、可能です。メール通知機能の有効/無効を選択いただけます。

Q. Amazon API Gatewayは設定対象外と記載されていますが何故ですか?

A. WafCharm上はサポート対象になっていますが、ログ分析/ルール更新の連携機能がないため、本サービスでは設定対象外としています。但し、Amazon API GatewayとAmazon CloudFrontを連携いただいている環境であれば、対応可能です。

Q. カウントモードとブロックモードを設定できますが、引き渡し時のモードはどちらですか?

A. カウントモードでの引き渡しとなります。WAFルールの妥当性をお客様で評価いただき、お客様側でブロックモードに変更いただく必要がございます。

Q. 環境引き渡し後の運用はどうなりますか?

A. 本サービスは初期構築までを対象としています。環境引き渡し後のWafCharmの運用(サポート・シグネチャなどのカスタマイズ)はサイバーセキュリティクラウド社が対応します。WafCharmの運用における不明点などのご連絡は、サイバーセキュリティクラウド社とお客様で直接ご対応いただきます。

Q. 現在AWSを直接契約して利用しています。このサービスを利用できますか?

A. 申し訳ございません。本サービスを利用するためには当社からご提供するAWSアカウントが必要です。当社ではAWSと直接契約するよりも安く利用できる請求代行サービスをご提供しています。現在の契約を当社に切り替える(移管する)ことも可能です。お気軽にご相談ください。

お問い合わせ

TOP>WafCharmで実現する、AWS WAF自動運用×セキュリティ対策強化

pagetop