1. はじめに
WafCharmは2023年6月にWafCharmのアップデートを実施し、従来のプランを「旧プラン」、このアップデートで提供を開始したプランを「新プラン」と称して新機能のご提供を開始しました。
2023年6月1日にWafCharmをアップデートしました
上記ブログ記事に記載のとおり、2023年5月31日以前からご利用いただいているお客様は自動的に「旧プラン」でのご利用を継続いただく形となっていましたが、ご希望に応じて「新プラン」への移行も可能です。
しかしながら、新プランでご提供している機能の違いがあることから、旧プランからの移行には事前の準備が必要となっています。
今回は、新プランへの移行可否を簡単に判断するための機能をリリースしましたので、ご紹介します。
※本チェック機能は、AWSのみが対象です。
2. 旧プランと新プランの違い
旧プランと新プランの違いは、以下のとおりです。
| 機能/仕様 | 旧プラン | 新プラン |
|---|---|---|
| ご利用可能なプラン |
(旧)Entryプラン (旧)Businessプラン (旧)Enterpriseプラン |
Businessプラン Enterpriseプラン |
| ご利用可能なプラットフォーム |
AWS WAF Classic AWS WAF v2 Azure GCP |
AWS WAF v2 Azure GCP |
| Webリクエスト数の集計方法 | アクセスログ |
AWS版:CloudWatch Metrics Azure/GCP版:アクセスログ |
| 静的Denylist・Allowlistの反映タイミング | 5〜10分ほどで反映 |
AWS版:即時 Azure/GCP版:5〜10分 |
| シグネチャ再マッチングによるDenylistの更新 | 1時間ごと |
AWS版:5分ごと Azure/GCP版:1時間ごと |
| Web改ざん検知機能 | なし | あり |
| 必要な権限 |
AWS版: AWSWAFFullAccess AmazonS3ReadOnlyAccess ※Azure/GCP版は変更なし |
AWS版: AWSWAFFullAccess AmazonS3ReadOnlyAccess CloudWatchReadOnlyAccess ※Azure/GCP版は変更なし |
AWS WAF v2での変化が主な違いとなりますが、新プランでは以下の点がアップデートされています。
- 静的Denylist・Allowlistの即時反映
- シグネチャ再マッチングによるDenylistの5分毎更新
- Webリクエスト数の集計方法の変更
- Web改ざん検知機能
- 新しいルール構成「Advanced Ruleポリシー」の利用と、それに伴う一部ルール追加や、WAFログを用いた追加機能の利用
※ Azure/GCP版については、新プランでは「Web改ざん検知機能」が利用できるようになります。
3. 新プランへの切り替え可否をチェックする方法(AWS)
旧プランでのご利用の場合、WafCharmコンソールのアカウント画面にある「契約プラン」というパネルに「新プランに移行できるかチェックする」というボタンが表示されています。
このボタンをクリックすると、自動でチェックが開始します。移行可能な状態の場合、OKという結果が表示されますので、営業担当までご連絡ください。
NGと表示された場合、以下のいずれかの可能性があります。
- CloudWatchReadOnlyAccess権限が不足している
- AWS WAF Classic向けのWAF Configが存在している
新プランでは、AWS WAF Classicはサポート対象外となっています。AWSからも発表されているように、end-of-lifeプロセスが進められており、AWS WAF Classic向けの新規Web ACLの作成もできない状態となっているためです。
そのため、AWS WAF Classic向けのWAF Configが引き続きWafCharm上で登録されている場合、新プランへの以降はできません。
AWS WAF Classic用のWeb ACLが存在する場合、まずはAWS WAF v2のWeb ACLを新規で作成いただき、そちらに切り替えていただいてから、新プランへの移行をお願いいたします。
CloudWatchReadOnlyAccess権限は、Webリクエスト数の集計のために必要な権限です。旧プランでは、WafCharmではWebリクエスト数の集計に、Web Site Configに設定されたS3バケットのパスから取得するアクセスログを活用していました。新プランでは、AWS WAFからCloudWatch Metricsに報告されるAllowedRequestsとBlockedRequestsの合計をWebリクエスト数として集計するようアップデートしております。
現在ご利用されているCredential情報(IAMユーザーあるいはIAMロール)において、CloudWatchReadOnlyAccess権限が不足している場合には、切り替え可否のチェック時にNGと表示されます。WafCharm上で登録されているCredential情報から、紐づいているIAMユーザーあるいはIAMロールをご確認いただき、CloudWatchReadOnlyAccess権限を追加してください。
詳細は、以下のヘルプページもご参考ください。
旧プランから新プランへの切り替え方法 (AWS WAF v2)
4. おわりに
本記事では、旧プランから新プランへの切り替え可否の確認機能についてご紹介しました。
新プランではご利用いただける機能もさらに充実していますので、ぜひ切り替えをご検討いただけますと幸いです。
