【目次】

  1. 1. はじめに
  2. 2. WAFとは
    1. a) WAFの種類
    2. b) WAFのメリットとは
    3. c) WAFのデメリットとは
  3. 3. WafCharmとは
    1. a) WafCharmのメリット
  4. 4. まとめ

1. はじめに

WAFとWafCharmについて詳しく解説していきます。それぞれの使い道やメリットについて記載していきます。

2. WAFとは

WAF(Web Application Firewall)とは、Webアプリケーションへの攻撃からWebサイトを保護するために用いられるツールです。OSI参照モデルでいうと第7層(アプリケーション層)を防御するために必要なツールです。たとえば、SQLインジェクションやクロスサイトスクリプティングといったセキュリティ攻撃をブロックします。

a) WAFの種類

WAFにも様々な製品があります。例えば、機器としてデータセンターなどに導入するアプライアンスのWAFもあれば、クラウドサービスとして利用できるクラウド型のWAFがあります。また、Amazon Web Services(AWS)やOracle Cloud Infrastructure(OCI)といったパブリッククラウドサービスの提供者が提供するWAFもあります。

b) WAFのメリットとは

WAFのメリットは主に以下のようなメリットがあります。

  • Webアプリケーションをセキュリティ攻撃から防ぐことができる
    例えば、インターネット上に公開しているWebアプリケーションは常に様々なセキュリティ攻撃を受ける恐れがあります。それらのセキュリティ攻撃を適切に防御できなければ、会社として膨大な被害を受けてしまう可能性があります。例えば、メジャーなセキュリティ攻撃であるSQLインジェクションを受けた場合は、顧客情報の流出につながる恐れがあります。WAFを導入することで、そのようなリスクを軽減することができます。
     
  • PCIDSSなどのセキュリティ認証を取得するための条件を満たすことができる。
    例えばクレジットカード番号や個人情報を扱うようなWebアプリケーションであれば、利用者としては安全性がしっかりとしていないと利用しようとは思いません。そこで、PCIDSSやISO27001といったセキュリティの認証を取得しておけば、利用者側に安全性のアピールが可能です。このような認証を取得するためにはWAFの導入が条件のひとつとなる場合があります。このように、WAFを導入することで外部にもWebアプリケーションの安全性を宣伝することができます。

c) WAFのデメリットとは

WAFのデメリットはどのようなものがあるのでしょうか。
WAFのデメリットはなんといっても運用の難しさです。Webアプリケーションの脆弱性は日々世界中で発見・報告されており、これらの攻撃を防ぐためのWAFの防御ルールは日々変えていかなければなりません。
また、どのようなルールを設定すればこのようなセキュリティ攻撃を防ぐことができるのか、専門的な知識が必要です。重大な脆弱性が発表されると、Webアプリケーションの公開を制限することも考える必要があります。

加えて、WAFは完全ではなく、たびたび正しい通信をブロックしてしまう、つまり誤検知を行うことがあります。WAFがブロックしてしまった通信を分析して、誤検知率を下げていくような運用も必要です。つまり、WAFの運用には日々のモニタリングと高い専門知識が必要で、非常に難易度が高いです。

3. WafCharmとは

WafCharmとは、サイバーセキュリティクラウドが提供しているパブリッククラウドが提供しているWAFの運用支援サービスです。
WAFそのものではなく、セキュリティ攻撃を防ぐための防御ルールでもありません。WAFとセットで利用することで、WAFの運用を効率化するサービスです。
AWS環境でAWS WAF、Azure環境ではAzure WAF、Google Cloud環境ではGoogle Cloud Armorに利用できます。

a) WafCharmのメリット

WafCharmとAWS WAFやAzure WAF、Google Cloud Armorをセットで利用することでどのようなメリットがあるのか、詳しく記載していきます。

  • 運用が楽になる
    最大のメリットは、WAFの運用が楽になるということです。先ほど書いた通り、Webアプリケーションへの攻撃は日々変化していっているので、WAFの運用は日々のモニタリングと、防御ルールの変更が必要でした。
    WafCharmを導入すると、この運用をAIが代わりに行ってくれるようになります。したがって、AIにより最適なルールが自動で適用されるので、日々、セキュリティ対策をどのようにすべきか考える必要がなく、サービス開発などに集中できるようになります。また、どのようなセキュリティ攻撃を受けていたか、レポートの生成機能もありますので、現状分析や誤検知したルール洗い出し、防御ルールの細かいチューニングにも役に立てることができます。
  • パブリッククラウドのWAFが使いやすくなる
    パブリッククラどのWAFは、非常に安く、数クリックで導入できるなど、導入しやすいですが、一方で運用がWAFの中でも一段と難しいです。
    例えば、AWS WAFの設定画面はすべて英語になっています。セキュリティ攻撃を防御する防御ルールも英語です。
    しかしながら、WafCharmを提供しているサイバーセキュリティクラウドが提供している防御ルールを利用すると、日本語で防御ルールのサポートがうけられます。これに加えて、先ほど記載したようにパブリッククラウドのWAFの運用も自動化されるますので、導入に向けて運用の難しさや言語といった壁がなくなり、AWS WAF、Azure WAF、Google Cloud ArmorのパブリッククラウドのWAFが一段と使いやすくなります。
  • 簡単に素早く導入できる
    WafCharmは導入に向けてパブリッククラドの操作が必要ですが、操作方法はサイバーセキュリティクラウドのホームページに記載されており、簡単に導入することができます。
    申し込み後も、数日、といったような長期間ではなく短期間で導入することができます。また、サイバーセキュリティクラウドには多くのビジネスパートナーが存在しており、そのようなビジネスパートナーを利用して導入すれば、万が一導入に困った場合でもサポートを受けることができます。

4. まとめ

WAFとWafCharmの違いについて記載していきました。WAFはセキュリティ攻撃をブロックするものであり、WafCharmはパブリッククラウドWAFの運用を支援するツールです。AWS WAFやAzure WAF、Google Cloud Armorの運用を始める場合はWafCharmの利用も検討してみてもいいかもしれません。

※下記のブログもご覧ください。
【AWS WAFとマネージドルールの違い】初心者にもわかりやすく解説

【AWS WAFとクラウドWAFの違い】初心者にもわかりやすく解説