BLOG

2020/01/20

【WAFとWafCharmの違い】初心者にもわかりやすく解説

【目次】

1. はじめに
2. WAFとは
  a) WAFの種類
  b) WAFのメリットとは
  c) WAFのデメリットとは
3. WafCharmとは
  a) WafCharmのメリット
4. まとめ

 

  1. 1. はじめに
    WAFとWafCharmについて詳しく解説していきます。それぞれの使い道やメリットについて記載していきます。
  2.  

  3. 2. WAFとは
    WAF(Web Application Firewall)とは、Webアプリケーションへの攻撃からWebサイトを保護するために用いられるツールです。OSI参照モデルでいうと第7層(アプリケーション層)を防御するために必要なツールです。たとえば、SQLインジェクションやクロスサイトスクリプティングといったセキュリティ攻撃をブロックします。

    1. a) WAFの種類
      WAFにも様々な製品があります。例えば、機器としてデータセンターなどに導入するアプライアンスのWAFもあれば、クラウドサービスとして利用できるクラウド型のWAFがあります。また、Amazon Web Services(AWS)やOracle Cloud Infrastructure(OCI)といったパブリッククラウドサービスの提供者が提供するWAFもあります。
       
    2. b) WAFのメリットとは
      WAFのメリットは主に以下のようなメリットがあります。

      1. ・Webアプリケーションをセキュリティ攻撃から防ぐことができる
        例えば、インターネット上に公開しているWebアプリケーションは常に様々なセキュリティ攻撃を受ける恐れがあります。それらのセキュリティ攻撃を適切に防御できなければ、会社として膨大な被害を受けてしまう可能性があります。例えば、メジャーなセキュリティ攻撃であるSQLインジェクションを受けた場合は、顧客情報の流出につながる恐れがあります。WAFを導入することで、そのようなリスクを軽減することができます。
         
      2. ・PCIDSSなどのセキュリティ認証を取得するための条件を満たすことができる。
        例えばクレジットカード番号や個人情報を扱うようなWebアプリケーションであれば、利用者としては安全性がしっかりとしていないと利用しようとは思いません。そこで、PCIDSSやISO27001といったセキュリティの認証を取得しておけば、利用者側に安全性のアピールが可能です。このような認証を取得するためにはWAFの導入が条件のひとつとなる場合があります。このように、WAFを導入することで外部にもWebアプリケーションの安全性を宣伝することができます。

       

    3. c) WAFのデメリットとは
      WAFのデメリットはどのようなものがあるのでしょうか。WAFのデメリットはなんといっても運用の難しさです。Webアプリケーションの脆弱性は日々世界中で発見・報告されており、これらの攻撃を防ぐためのWAFの防御ルールは日々変えていかなければなりません。また、どのようなルールを設定すればこのようなセキュリティ攻撃を防ぐことができるのか、専門的な知識が必要です。重大な脆弱性が発表されると、Webアプリケーションの公開を制限することも考える必要があります。

      加えて、WAFは完全ではなく、たびたび正しい通信をブロックしてしまう、つまり誤検知を行うことがあります。WAFがブロックしてしまった通信を分析して、誤検知率を下げていくような運用も必要です。つまり、WAFの運用には日々のモニタリングと高い専門知識が必要で、非常に難易度が高いです。

  4.  

  5. 3. WafCharmとは
    WafCharmとは、サイバーセキュリティクラウドが提供しているAWS WAFの運用支援サービスです。WAFではありませんし、セキュリティ攻撃を防ぐための防御ルールでもありません。WAFとセットで利用できるサービスになっています。AWS環境でAWS WAF※を利用している場合に利用が可能です。

    1. a) WafCharmのメリット
      WafCharmとAWS WAFをセットで利用することでどのようなメリットがあるのか、詳しく記載していきます。

      1. ・運用が楽になる
        最大のメリットは、WAFの運用が楽になるということです。先ほど書いた通り、Webアプリケーションへの攻撃は日々変化していっているので、WAFの運用は日々のモニタリングと、防御ルールの変更が必要でした。WafCharmを導入すると、この運用をAIが代わりに行ってくれるようになります。したがって、AIにより最適なルールが自動で適用されるので、日々、セキュリティ対策をどのようにすべきか考える必要がなく、サービス開発などに集中できるようになります。また、どのようなセキュリティ攻撃を受けていたか、レポートの生成機能もありますので、現状分析や誤検知したルール洗い出し、防御ルールの細かいチューニングにも役に立てることができます。
         
      2. ・AWS WAFが使いやすくなる
        WAFの中でもAWS WAFは、非常に安く、数クリックで導入できるなど、導入しやすいですが、一方で運用がWAFの中でも一段と難しいです。例えば、AWS WAFの設定画面はすべて英語になっています。セキュリティ攻撃を防御する防御ルールも英語です。

        しかしながら、WafCharmを提供しているサイバーセキュリティクラウドがAWSに提供している防御ルールを利用すると、日本語で防御ルールのサポートがうけられます。これに加えて、先ほど記載したようにAWS WAFの運用も自動化されるますので、AWS WAFの導入に向けて運用の難しさや言語といった壁がなくなり、AWS WAFが一段と使いやすくなります。
         

      3. ・簡単に素早く導入できる
        WafCharmは導入に向けてAWSの操作が必要ですが、操作方法はサイバーセキュリティクラウドのホームページに記載されており、簡単に導入することができます。また、申し込み後も、数日、といったような長期間ではなく短期間で導入することができます。また、サイバーセキュリティクラウドには様々なビジネスパートナーが存在しており、そのようなビジネスパートナーを利用して導入すれば、万が一導入に困った場合でもサポートを受けることができます。

  6.  

  7. 4. まとめ
    WAFとWafCharmの違いについて記載していきました。WAFはセキュリティ攻撃をブロックするものであり、WafCharmはAWS WAFの運用を支援するツールです。AWS WAFの運用を始める場合はWafCharmの利用も検討してみてもいいかもしれません。

 

※下記のブログもご覧ください。
【AWS WAFとマネージドルールの違い】初心者にもわかりやすく解説

【AWS WAFとクラウドWAFの違い】初心者にもわかりやすく解説