Loading...
Back

ルールのカスタマイズについて (AWS WAF v2)

AWS WAF v2Old PlanNew PlanAdvancedLegacyFeature / Spec.

概要

WafCharmでは、お客様からのご依頼をもとにルールカスタマイズを承っております。

カスタマイズをご希望の場合は、WafCharmサポートまでご連絡ください。

Advanced Ruleポリシーをご利用の場合

AWS WAF v2かつ新プランでのご利用の場合、Advaced Ruleポリシーの選択が可能です。

Advanced Ruleポリシーの場合、国別制限ルール(Geo-matchルール)やレートベースルールなどの一部のルールについては、WafCharmコンソールにていくつかの項目を設定するだけで適用できる場合がございます。

Advanced Ruleポリシーをご利用のWAF Configにて上記のようなカスタマイズをご依頼の場合には、お客様自身で設定されることをご提案させていただく場合がございますので、あらかじめご了承ください。

なお、WafCharmコンソールから設定できないような条件をご希望の場合には、カスタマイズにて承らせていただきます。

対応可能なカスタマイズ

  • 特定のWafCharmルールからの除外
  • 新規BLOCKルール追加
  • 新規ALLOWルール追加
  • 既存ルールへのIPアドレスの追加あるいは削除
  • 国別制限ルール
  • レートベースルール
  • 特定のCVE番号に対応するルール
  • 過去に適用したカスタムルールあるいは条件の削除
  • その他ご希望のカスタマイズ

特定のWafCharmルールからの除外

WafCharmルールにて誤検知が発生した場合は、URIやヘッダーの値などの条件を用いて除外を行なっております。

除外可能な条件は、AWS WAFの仕様に依存します。 AWS WAFにて指定可能なルールの詳細については、AWS公式ドキュメントもご参考ください。

本カスタマイズをご希望の場合には、以下の情報を添えてWafCharmサポートまでお問い合わせください。

  • 対象のWAF Config名
  • 除外したいルールの名前
  • 除外するための条件(URIやヘッダーの値等)
  • 可能であれば、当該のリクエストのログ(※)
  • 可能であれば、リクエストボディデータ(※)

※これらの情報は必須ではありませんが、除外する際の条件についてご不明な点がある場合や、誤検知箇所を確認したいといったケースではお送りいただく場合があります。

なお、カスタマイズ適用完了までの間に誤検知を回避するためには、暫定対応として当該ルールのアクションをCOUNTにしてください。

新規BLOCKルール追加

特定の値などを指定し、一致する場合にリクエストをブロックするカスタマイズです。

本カスタマイズをご希望の場合には、以下の情報を添えてWafCharmサポートまでお問い合わせください。

  • 対象のWAF Config名
  • ブロックするリクエストに一致させたい値
    • IPアドレス
    • 文字列
    • 文字列が記載されるヘッダー名(例:User-Agent)
    • など
  • 値の一致条件(文字列を値にする場合)

新規ALLOWルール追加

特定の値などを指定し、一致する場合にリクエストを許可するカスタマイズです。

すべてのWafCharmルールから特定の条件を除外したい場合も、ALLOWルールでの対応となります。

本カスタマイズをご希望の場合には、以下の情報を添えてWafCharmサポートまでお問い合わせください。

  • 対象のWAF Config名
  • 許可するリクエストに一致させたい値
    • IPアドレス
    • 文字列
    • 文字列が記載されるヘッダー名(例:User-Agent)
    • など
  • 値の一致条件(文字列を値にする場合)

既存ルールへのIPアドレスの追加あるいは削除

特定のIPアドレス以外からのリクエストをブロックするなど、IPアドレスを条件に含んだルールがすでにあり、そのルールにIPアドレスを追加あるいは削除する際のカスタマイズです。

※お客様にてWafCharmコンソールから手動でご登録いただくAllowlistルール・Denylistルールは対象外です。

本カスタマイズをご希望の場合には、以下の情報を添えてWafCharmサポートまでお問い合わせください。

  • 対象のWAF Config名
  • 追加あるいは削除したいIPアドレス
  • 対象とするルールを判別できる情報

注意点

  • 追加あるいは削除したいIPアドレス
    • 追加するIPアドレスと削除するIPアドレスが複数ある場合は、追加するものと削除するものがわかりやすいようにご記載いただけますと幸いです。 基本的にはご指示いただいた通り対応いたしますので、記載間違い等がないようあらかじめお客様にてご確認をお願いいたします。
    • すべてのIPアドレスを削除としたい場合は、各IPアドレスをご記載いただく必要はございません。 その場合には、すべてのIPアドレスを削除したい旨をご記載ください。
  • 対象とするルールを判別できる情報
    • 同じWAFに類似のルールが複数ある場合には、対象のルール名等の情報をご記載ください。 例えば、「特定のIPアドレスかつ特定のHost以外はBLOCKする」といったルールが複数ある場合、どのルールのIPアドレスを更新するべきか判断ができません。 このようなケースではHostの部分はルールごとに条件が異なるかと存じますので、どのHostを指定したルールでIPアドレスを更新するのか、といった情報をご共有いただく必要があります。

国別制限ルール

国外からのアクセスを想定していない場合などは、「日本以外をブロックする」といったルールの作成が可能です。

本カスタマイズをご希望の場合には、ルールで実現されたい内容などとあわせて以下の情報をご記載の上、WafCharmサポートまでお問い合わせください。

  • 対象のWAF Config名
  • 対象の国あるいは地域名
  • 当該の国あるいは地域名を検査対象とするか、それ以外とするか
  • ルールのアクション

レートベースルール

多数のリクエストを検知したい場合などは、レートベースルールの作成が可能です。

本カスタマイズをご希望の場合には、ルールで実現されたい内容などとあわせて以下の情報をご記載の上、WafCharmサポートまでお問い合わせください。

  • 対象のWAF Config名
  • Rate limit(レート制限)
  • Evaluation window(評価ウィンドウ)
  • Request aggregation(リクエスト集約)
  • Scope of inspection and rate limiting(検査の範囲とレート制限)
  • 指定したい条件
  • ルールのアクション

レートベースルールにて指定できる条件の詳細などについては、以下のページもご参考ください。

  • レートベースのルールステートメント (AWS公式ドキュメント)
  • レートベースルールの使い方 (WafCharmブログ)
  • レートベースルールの条件を詳細に指定できるようになりました (WafCharmブログ)
  • AWS WAF のレートベースルールのカスタムキー URI を指定できるようになりました (WafCharmブログ)
  • レートベースルールの期間を選択できるようになりました (WafCharmブログ)

特定のCVE番号に対応するルール

脆弱性が発見された場合は、原則として脆弱性対象のベンダーの指示に従いアップデートや暫定対応の実施を推奨しておりますが、もし何らかの理由により一時的にWAFで防御をしておきたいといった場合には、以下の情報をWafCharmサポートまでご連絡いただきましたらWafCharmでのカスタマイズ対応が可能か確認いたします。

  • 対象のWAF Config名
  • 対象のCVE番号

なお、WafCharmはWAFポリシーにルールを適用するサービスであり、WAFの仕組みはAWS WAFが提供するものとなりますので、WAFで対応できない脆弱性についてはWafCharmでも対応できかねます。

※CVEの解説等は実施しておりません。

過去に適用したカスタムルールあるいは条件の削除

過去に適用したカスタマイズについて、不要になった場合には削除対応をいたします。

このようなカスタマイズをご希望の場合、以下の情報を添えてご連絡ください。

ルールを削除したい場合:

  • 対象のWAF Config名
  • 対象のルール名、あるいは対象のルールが確実にわかるような条件の詳細

ルールに含まれる条件を削除したい場合:

  • 対象のWAF Config名
  • 対象のルール名、あるいは対象のルールが確実にわかるような条件の詳細
  • 削除したい条件の詳細

その他ご希望のカスタマイズ

その他適用したいルールがある場合には以下の情報を添えてWafCharmサポートまでご連絡ください。いただいた内容をもとに、対応可否を確認いたします。

  • 対象のWAF Config名
  • 適用したいルールの条件

具体的な条件についてご不安な点がある場合などは、実施されたい内容の詳細や背景などをお知らせいただければ弊社にて確認いたします。

注意点

  • WafCharmで対応可能なカスタマイズは、AWS WAF v2の仕様に依存します。
  • ご依頼いただく内容によっては、条件について追加でご検討およびご確認をお願いさせていただく場合がございます。
  • AWS WAF v2の仕様によりルール数には制限があります。制限等によりご指定のカスタマイズの適用ができない場合には、対応をご相談させていただく場合があります。
  • カスタマイズはご依頼およびご指示をもとに対応しております。Webサイトやアプリの特性などをもとに適用すべきルールのご提案はできかねますのでご了承ください。
  • カスタマイズ適用までのリードタイムは原則としてベストエフォートです。適用スケジュール等のご案内は行っておりません。
  • カスタマイズのご依頼を受領した後、適用が完了したタイミングでご連絡いたします。
  • ビジネスプラン以上でのご契約の場合は無償での対応となります。
  • 以下のようにルール化できない、あるいは必要がないようなケースでは、カスタマイズを承ることができない場合があります。
    • ネットワーク経由での攻撃ではない場合や、想定される通信経路に WAF を配置できないため WAF で検知することができない場合。
    • IDやパスワードなど、すでに漏洩した情報を利用したアクセスで、リクエストとしては正常なため WAF で検知できない場合。
    • 正常なアクセスとの差が少ないことなどで、誤検知をかなりの確率で発生させる恐れがある場合。
    • 一般的な攻撃手法に基づいた脆弱性を利用して攻撃を埋め込む場合、埋め込まれる攻撃に対してそもそも検知ルールが存在する場合。