WafCharmとは？AWS WAF、Azure WAF自動運用サービス

近年、Webアプリケーションを社内業務に利用する企業や、顧客向けサービスとして活用する企業が増えています。その一方で、Webアプリケーションのセキュリティー対策を講じる余裕がなく、サイバー攻撃の標的となるなどの被害が増加しています。そのため、企業は真摯にセキュリティー対策に取り組む必要があります。

そこで役に立つのがセキュリティー対策支援サービスの「WafCharm」です。今回はWafCharmの特徴とメリットについて解説します。

WafCharmとは、セキュリティ専門企業である株式会社サイバーセキュリティクラウドが自社開発、提供するサービスです。AWS WAFや Azure WAFの支援に特化しており、クラウドベンダーが提供するWAFの全体的な管理と共にセキュリティー面での強固なサポートの提供が特徴です。

AWS WAF、Azure WAFは、Webアプリケーションを不正アクセスなどのサイバー攻撃から守るための有効な手段です。しかし、運用には自社のWebアプリケーションや情報システムに合わせてカスタマイズする必要があるなど、適宜調整や管理が求められます。こうしたことから、セキュリティの専門知識と運用ノウハウがない場合には効果的な活用が難しいという問題があります。そこでWafCharmが、効率よいWAF運用を支援します。

クラウドベンダーが提供するWAFでは、様々なサイバー攻撃に対する事前のカスタマイズや本番のWebリクエストを通したエージング、検知ルール設定、定常的な脅威の監視をユーザー自身で行う必要があり、WafCharmはその作業を支援します。AIが主な支援の役割を担い、過去の不正アクセスや現在発生している主なサイバー攻撃を分析し、その防御手段として必要な対策を自動的に講じるため、管理運用担当者の負担が大幅に低減されます。

WafCharmは二重にセキュリティーの層を作ります。クラウドベンダーが提供するWAFそのものに対しては高い検知精度と低い誤検知率を実現するルールを配備しつつ、バックにはWAFそのものに適用しきれない数百のシグネチャが用意されており、サイバー攻撃を二重に防御します。そのため、クラウドベンダーが提供するWAFの制限を超えて豊富な防御パターンで攻撃を防御すると同時に、その脅威を通知することが可能です。

なお、これらの防御機構は常に最適な状態になるように管理されています。これにより、WAF運用担当者の負荷は大幅に低減されます。また、人的作業に起因する見落としや、通常運用では気付くことが難しいような潜在的なリスクに対策できることも特徴です。

こうした特徴を持つWafCharmの導入は企業に多くのメリットをもたらします。

まず、Webアプリケーションに対するより強固なセキュリティー対策を実現します。クラウドベンダーが提供するWAFは単体でも優れたセキュリティ対策システムですが、WafCharmの導入がAWS WAFやAzure WAFの利便性を高め、最適な運用環境を提供します。不正通信などの検知とブロック、AIが診断した最適なシグネチャの実行によって強固なセキュリティ対策を実現し、より安全なシステム環境を構築するために大きな助けとなってくれます。

また、人件費の削減というメリットもあります。AWS WAFやAzure WAFの効率的な運用には、セキュリティの専門知識と技術を併せ持つ担当者が必要です。WafCharmの導入はセキュリティの専門知識と技術を併せ持つ運用担当者の代替となり、企業のWAF運用負荷を軽減します。運用担当者が全く不要というわけではありませんが、セキュリティ人材の調達コストを考慮した場合、人件費の大きな削減と言えます。

WafCharmではセキュリティの専門家によるサポートを得られる点もメリットです。特定の有償プランを契約している企業に対しては、24時間365日のサポートが提供されます。セキュリティの専門家による問い合わせ内容のヒアリングと、それに基づく問題解決の提案を受けることが可能です。また、サービスの運用についての相談も受け付けており、セキュリティ運用に不慣れな企業でも安心して導入できます。

そして、未知の攻撃や最新の攻撃手法に対応できることも、WafCharmの強みです。WafCharmには、マルウェアや不正アクセス、脆弱性などについてのレポートを行うセキュリティリサーチャーがおり、彼らによる最新の情報をいち早く分析し、実際にサイバー攻撃を受ける前に防御体制を整えます。従来のシグネチャマッチ型の検知方式だけでは対応が難しい攻撃にも、AIを活用してルールを作成しているので、安定したWebアプリケーションの運用環境を実現します。

サービス導入に当たっては費用を気にされるのではないでしょうか。WafCharmは4種類のプランを用意しています。

トライアルプランでは、実際に試すことでサービス内容の確認が可能です。

契約プランではシステムの規模に応じてプランを選択し、利用するサービス内容、対処内容に応じて従量課金制度による決済を行います。安価なエントリープランの他、1ヶ月あたりのウェブリクエスト数が1,000万件に達するようなWebサイトに適したビジネスプランやさらにウェブリクエスト数が多いWebサイトに適したエンタープライズプランがあります。基本料金に応じてウェブリクエスト数などが異なるプラン設定のため、企業のサービス規模に合わせた柔軟な選択が可能です。

WafCharmの導入の注意点として、AWS WAFで提供している「攻撃通知メール」サービスを利用するためには、Lambdaなどのシステムを企業側で導入する必要があり、導入したシステムに対しての費用が別途発生することが挙げられます。

Webアプリケーションのセキュリティ対策としてAWS WAFやAzure WAFを利用しているのであれば、WafCharmの導入はその利便性を高め、高度なセキュリティ環境の実現をサポートします。システム運用の費用を総合的に考えた場合、コスト削減をもたらすメリットもあるので、より高度なセキュリティー対策を講じられるよう導入を検討してみてはいかがでしょうか。

※2020年11月11日、WafCharmがAzure WAFに対応しました。

※2021年11月25日、WafCharmがGoogle Cloudに対応しました