従量課金タイプ WafCharm for AWS Marketplace が提供開始されたため導入を試してみた

#WafCharm

Toda Tomohiro

2023.06.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コンサル部＠大阪オフィスのTodaです。

株式会社サイバーセキュリティクラウドが提供する WafCharm はWebに対する攻撃パターンをAIによって学習し、環境に応じたアクセスのパターン等を判別、AWS WAFのルールを最適化してくれるサービスとなります。
6/1 からAWS Marketplaceを利用した従量課金タイプの提供が開始されているためサブスクライブからAWS環境への設定までを試してみました。

WafCharmとは

WafCharmは世界中のWebに対する攻撃パターンをAIによって学習し、環境に応じたアクセスのパターン等を判別、AWS WAFのルールを最適化してくれるサービスとなります。これらの事から、WafCharmを利用する事でAWS WAFのルール設定や運用の工数削減が見込めます。
6/1以前までは月額契約の利用となっておりましたが今回「Pay as you go(従量課金タイプ)」の提供が開始されています。

また、「WebACL入れ放題キャンペーン」を2023年6月1日(木)～2023年8月31日(木)で実施されていることからAWS Wafの設定最適化や運用に課題をお持ちの方は、お試しから導入いただくのも良さそうです。

■ サイバーセキュリティクラウド、AWS WAF自動運用サービス『 WafCharm for AWS Marketplace 』従量課金タイプを提供開始　従量課金タイプ提供開始に伴い、WebACL入れ放題キャンペーンを実施
https://www.cscloud.co.jp/news/press/202306015978/

■ WafCharm for AWS Marketplace
https://www.wafcharm.com/jp/aws-mp/

以降の設定は WafCharm のアカウントを所有していない状態から開始いたします。

サブスクリプションの設定

AWS Marketplaceとご利用頂くAWSアカウントのサブスクリプションを進めます。

AWS Marketplaceへの移動

下記、WafCharmの公式サイトにアクセスいただき、「AWS Marketplaceで購入する」を選択します。

■ WafCharm for AWS Marketplace
https://www.wafcharm.com/jp/aws-mp/

AWS Marketplaceへの移動

サブスクライブの設定

サブスクライブ画面では金額周りの記載がございます。
詳細を確認した後に、画面上部の[View purchase options] または [Try for free] を選択します。
[Try for free]は30日間無料お試しのサブスクリプションになります。

トライアルは30日を経過する前にサブスクリプションの切り換え操作が必要になります。
今回は[Try for free]の利用をしてみます。

サブスクライブの設定1

Available offersの選択で[Free trial]が選択されていることをご確認頂き[Subscribe]をクリックします。

サブスクライブの設定2

正常にサブスクライブが完了すると上部に緑色のバーが表示されます。
バー内の[Set up your account]をクリックします。

サブスクライブの設定3

アカウントの新規登録

WafCharmの画面に移動をしますので「登録」から新規アカウントの発行に必要な情報を入力して再度[登録]をクリックします。

アカウントの新規登録1

アカウントの新規登録2

登録後はメールが通知されますので、メール内のリンクをクリックしてアカウントを有効化します。
有効化をおこないますと、ログイン画面にて認証が可能になります。

アカウントの新規登録3

詳細なアカウント情報の入力を求められるため必要情報を入力して[アカウントを登録して進む]をクリックします。

アカウントの新規登録4

当操作にてアカウント登録完了とトライアルが開始されます。

AWS WAFとの連携設定

WafCharmのアカウント作成後、AWSアカウントに設定されているAWS WAFと連携をするための設定をおこないます。
当操作はWafCharmとAWSコンソールの画面で実施します。

IAMロールの作成

WafCharmの連携をするためIAMロールの作成をおこないます。
連携には「AssumeRoleを使用する場合」と「Access Key/Secret Keyを使用する場合」がございますが、後者は非推奨となっているためAssumeRoleを設定するパターンで対応します。

IAMロールの設定画面に移動します。
[ロールの作成]から新規登録をおこないます。

IAMロールの作成1

許可するポリシーから下記3点を選択して[次へ]をクリックします。

■ 許可が必要なポリシー

AWSWAFFullAccess
AmazonS3ReadOnlyAccess (※1)
CloudWatchReadOnlyAccess

※1 AmazonS3ReadOnlyAccessは不必要なS3バケットを参照してしまう可能性がございます。
WAFのログが記録されるS3バケットのみ参照で問題ございませんので下記カスタムポリシーにて個別指定をご利用ください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:List*",
                "s3:Get*"
            ],
            "Resource": [
                "arn:aws:s3:::<任意のS3 Bucket>",
                "arn:aws:s3:::<任意のS3 Bucket>/<folder_name>/*"
            ]
        }
    ]
}

ロール名の設定をおこない作成を完了します。
この時点では信頼関係の設定は自身のAWS IDで問題ございません。
IAMロールのARNを取得します。

IAMロールの作成2

Web ACL Configs

WafCharmの画面にて連携操作の設定をおこないます。
マニュアルは下記を参照ください。

■ WafCharmご利用手順
https://www.wafcharm.com/jp/blog/check-wafcharm-setting-jp/

途中、「Credential Store」の設定では左の[Add]リンクをクリック頂き、3点の項目を指定いただきます。

Name: 任意の名称
Type: Assume Role選択
Assume Role ARN: 上記行程で取得したIAMロールのARN指定

Web ACL Configs1

登録しますとIAMロールの信頼設定に記載する設定内容が出力されますので設定内容をコピーしてIAMロールの設定に上書きします。

Web ACL Configs2

Web ACL Configs3

設定変更後は、WafCharmの画面に戻り[Validate]をクリックしてCredential Storeの設定を完了します。
設定を入力後、[Save]をクリックする事で「Web Site Config」の設定が続きます。
マニュアルに記載されている内容にて登録を完了します。

正常に登録が完了すると「Web Site Config」にて作成しましたと表示されます。
こちらでAWS MarketplaceのサブスクライブからWafCharmのアカウント作成、AWS WAFとの連携まで完了になります。
今後は、どのような設定が出来るのか、機能追加された部分の確認を進めて行きたいと思います。