WafCharm Liteをご利用いただくための手順をご紹介します。

すでにWafCharm Lite用のアカウントをお持ちの場合や、作成済みリソースがある場合などは、その次の手順から開始してください。

大まかな流れは以下の通りです。設定手順の全体像もあわせてご参考ください。

1. WafCharm Liteにサブスクライブする
2. WafCharmアカウントを作成する
3. Credentialを登録する
4. WAF Configを登録する

事前準備

WafCharm Liteをご利用いただくためには、以下のリソースをご用意ください。

• AWS WAF v2のWeb ACL
• 以下の権限を持ったIAMロールまたはIAMユーザー

  必要な権限 (AWS WAF v2、新プラン) に詳細がございますので、あわせてご確認ください。

  • AWSWAFFullAccess
  • AmazonS3ReadOnlyAccess
  • CloudWatchReadOnlyAccess
• [任意] CSC Managed Rulesのサブスクリプション
  • 必須ではございませんが、基本的にはWafCharm LiteとCSC Managed Rulesの併用を想定しております。
  • 併用するCSC Managed Rulesは、以下のいずれかを推奨しております。どちらか1つのみのご利用で問題ございません。
    • Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-
    • Cyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless-
• [任意] WAFログをS3バケットに出力する
  • WafCharm Liteをご利用いただく上では必須ではございませんが、月次レポート機能の有効化および動的Denylistの最適なご利用のためには有効化する必要があります。
  • ご利用いただく場合、WAFログは必ずS3バケットに直接出力してください。
    • Data FirehoseおよびCloudWatch Logsには対応しておりません。これらの設定方法をご利用の場合、登録後にエラーが発生しますのでご注意ください。

導入時の注意点・補足事項

• WafCharm Liteにサブスクライブする際は、ご利用予定のAWSアカウントIDを事前にご確認ください。
  • 過去にWafCharm（AWS Marketplace版）にサブスクライブしたことがあるAWSアカウントIDを使用した場合、サブスクライブ自体は完了しますが、WafCharmコンソール上でWafCharm Lite用のアカウント登録ができませんのでご注意ください。必ず、WafCharm（AWS Marketplace版）とは異なるAWSアカウントIDをご利用いただきますようお願い申し上げます。
  • CSC Managed RulesとWafCharm Liteで使用するAWSアカウントIDは同じもので問題ございません。
• WafCharm Liteは、CSCが販売するManaged Rulesと併用いただくことを想定した製品です。WafCharm LiteとCSC Managed Rulesは製品としては個別に存在するため、それぞれにサブスクライブいただく必要がございます。WafCharm Liteのみにサブスクライブした場合、CSC Managed Rulesは含まれませんので、ご注意ください。
  • CSC Managed Rulesとの併用は必須ではございません。ただし、CSC Managed Rulesをご利用されない場合、適用していないというメッセージが表示されますのでご了承ください。
  • 以下のCSC Managed Rulesとの併用を想定しております。
    • Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-
    • Cyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless-
• 月次レポート機能では、検知したルールを分類しておりますが、この分類は併用することが想定されているCSC Managed Rulesでのみご利用いただけます。CSC Managed Rulesが存在しないWeb ACLの場合、月次レポート上のデータを十分にご利用いただけない可能性がございますので、あらかじめご了承ください。
• Web ACLにアタッチできるリソースの制限はございません。
• WafCharm Liteをご利用いただく場合、初回登録時に、AWS Managed Rulesを含むお客様にて個別に適用されたルールや、CSC Managed Rulesのプライオリティを1000以降に配置いただく必要があります。プライオリティ1000以降にないルールは、初回登録時に一時的に1000以降にご移動いただく必要がございますのであらかじめご了承ください。初回登録完了後は、0〜99か、1000以降の位置にご移動いただいて問題ございません。
  • お客様にて適用されたルールの条件によっては、基本的にはどのルールよりも先にリクエストを検査することを前提とされている可能性もあるかと存じます。上記の通り、初回登録時は一時的に1000以降にご移動いただく必要がございますため、一時的に意図した動作をしない可能性がございます。初回登録後は0〜99の位置をご利用いただけますので、設定完了後に再度ご移動いただきますようお願い申し上げます。
  • IPアドレスをもとに許可するルールをご利用の場合、WafCharm Liteが提供するAllowルール（Allowlist）のご利用を推奨いたします。
  • 詳細は WafCharm Liteのルールプライオリティについて もご参考ください。
• 鍵マークがついている機能は、WafCharmにアップグレードいただくことでご利用いただける機能です。WafCharm Liteの場合は、ご利用いただくことができません。

新規の場合

以下は、WafCharm LiteおよびCSC Managed Rulesを初めてご利用いただく場合の手順です。

すでにCSC Managed Rulesをご利用の場合は、CSC Managed Rulesをすでに使っている場合 をご確認ください。

1. WafCharm Liteにサブスクライブする

   AWS Marketplace上のWafCharm Liteの製品ページにアクセスし、 [View purchase options（購入オプションを表示）] ボタンをクリックし、オファーを選択してからサブスクライブします。

   AWS Marketplace上でのサブスクライブ方法の詳細は、AWS公式ドキュメントの SaaS 使用量ベースのサブスクリプションをサブスクライブする をご確認ください。

2. WafCharmコンソールからサインアップ

   [Set up your account] というボタンが表示されますので、こちらクリックします。

3. WafCharmコンソールの新規登録画面に遷移したら、メールアドレスとパスワードを入力する
4. [登録] をクリックする
5. 登録したメールアドレスに届く確認メールを開く
6. 確認メール内の [確認する] リンクをクリックする

   [メールアドレス認証 完了] という画面が表示されたら、登録完了です。

   [確認する] リンクをクリックするまでアカウントの登録は完了しないため、必ずこの手順を実施してから次に進んでください。

7. [ログイン] ボタンをクリックし、WafCharmコンソールにログインする
8. アカウント情報を入力する
9. [サービス利用規約及びその他ポリシー] を読み、同意する場合はチェックをいれる
10. [保存] をクリックする
11. Credentialを登録する

    Credential Storeの設定方法 (AWS WAF v2、新プラン) の手順に沿ってご登録ください。

12. 左メニューの [WAF] をクリックする
13. [新規登録] をクリックする
14. 登録したCredentialを選択する
15. WafCharmの設定を行うWeb ACLが存在するリージョンを選択する
16. [Web ACL取得] をクリックする
17. WafCharmの設定を行いたいWeb ACLをラジオボタンで選択し、次のステップに進む

    「WafCharmの保護を適用済みのWebACLも表示する」にチェックを入れると、WafCharmあるいはWafCharm Lite利用中のWeb ACLも表示されます。

    なお、WafCharmあるいはWafCharm Lite利用中のWeb ACLに対して再度新規登録の設定を行うことはできないため、WafCharmあるいはWafCharm Lite利用中のWeb ACLを選択して次のステップに進むことはできません。

18. WAF Config名を確認する

    自動でWeb ACLと同じ名前が挿入されます。任意の値に変更可能です。

19. CSC Managed Rulesにサブスクライブする

    対象のWeb ACLにCSC Managed Rulesが登録されていない場合、 [使用中のルール] 以下に [CSC Managed Ruleが見つかりません] と表示されます。[CSC Managed Ruleの設定方法] 以下に設定手順が記載されておりますので、画面上の手順に沿って、CSC Managed Rulesにサブスクライブしてください。

    すでにCSC Managed Rulesへサブスクライブされている場合、AWS Marketplaceの画面を開き、 [View purchase options（購入オプションを表示）] ボタンをクリックしたあと、　 [You’ve already accepted this offer（このオファーはすでに受け入れています）] という文言が表示されます。この場合、再度サブスクライブする必要はありませんので、次のステップに進んでください。

    WAF Configの登録を先に実施し、後からCSC Managed Rulesのサブスクライブ・適用を実施したいという場合には、 [あとで設定する] ボタンをクリックして [ルール設定] に進んでください。

20. 対象のWeb ACLにCSC Managed Rulesを適用する

    [AWSマネジメントコンソール上の操作手順] のポップアップ内に設定手順が記載されておりますので、画面上の手順に沿って、CSC Managed Rulesを適用してください。

21. [使用状況を再確認する] をクリックする

    対象のWeb ACLに正しくCSC Managed Rulesが適用されている場合、[使用状況を再確認する] をクリックすると [利用状況: 利用中] と記載された画面に遷移します。

    画面が切り替わらない場合、対象のWeb ACLが意図通りか、CSC Managed Rulesが適用されているか、誤って別のWeb ACLにCSC Managed Rulesを適用していないかなどをご確認ください。

22. [ルールプライオリティ] の箇所にてエラーが発生していないか確認する

    初回登録時には、AWS Managed Rulesを含むお客様にて個別に適用されたルールや、CSC Managed Rulesのプライオリティを1000以降に配置いただく必要があります。

    お客様にて適用されたルールが1000未満のプライオリティを使っている場合、次の手順に進むことができません。「プライオリティを移動する必要があります」と記載されている場合、 [ルールのプライオリティを変更する] ボタンをクリックしてください。 [ルールのプライオリティを変更する] ボタンをクリックすると、現在のプライオリティ値に1000が加算されます。

    お客様にてあらかじめ何らかの条件で許可するルールなど、IPアドレスによるBlockルール（Denylist）よりも前に判定させたいルールを適用されていた場合、プライオリティを変更すると、意図通り動作しない可能性がございます。もし、IPアドレスによるBlockルール（Denylist）よりも前に判定させたいルールがある場合には、本設定完了後に、プライオリティを0〜99に再度ご移動いただきますようお願いいたします。

    IPアドレスをもとに許可するルールの場合、WafCharm Liteが提供するAllowルール（Allowlist）のご利用を推奨いたします。

    詳細については、WafCharm Liteのルールプライオリティについて をご確認ください。

    ルールプライオリティが想定通りの状態になっている場合、 [ルールプライオリティ: 確認済み] と表示されますので、次の手順に進みます。

23. ルール設定を行う

    許可したいIPアドレス（Allowlist）、ブロックしたいIPアドレス（Denylist）、動的Denylistのルールアクション、IPアドレスの参照先、動的Denylistから除外したいIPアドレスの設定が可能です。後からWAF Configを編集して追加することもできます。

    詳細は、IPアドレス管理機能 および 例外設定（例外IPアドレス） をご確認ください。

24. ログ・通知設定を行う

    月次レポート機能および動的Denylist機能をご利用いただくためには、WAFログ連携の有効化が必要です。ご利用いただく場合、確認事項にチェックを入れて、次のステップに進んでください。

    なお、WAFログは必ずS3バケットに直接出力してください。Data FirehoseおよびCloudWatch Logsには対応しておりません。S3バケット以外の出力方法をご利用の場合、登録後にエラーが発生しますのでご注意ください。

    また、必要に応じてログ（フィールド）のマスキングをお願いいたします。

25. 登録内容を確認する
26. [登録する] ボタンをクリックする

WAF Config一覧画面に戻った後、登録したWAF Config名の隣にローディングアイコンが表示されます。ローディングアイコンは、適用中ステータスであることを表します。
適用が正常に完了すると、WAF Config詳細画面の [基本設定] タブにある [Status] にて「有効」と記載されます。
[Status] に設定エラーが表示されている場合、エラーの原因を解消いただき、 [再検証] ボタンをクリックしてエラーが解消することをご確認ください。

エラーの詳細については、WafCharm Liteのエラーについて をご確認ください。

※WAF Config名をクリックすると、WAF Configの詳細画面が表示されます。

CSC Managed Rulesをすでに使っている場合

以下は、CSC Managed Rulesをすでにご利用いただいているWeb ACLがあり、そこにWafCharm Liteを追加する場合の手順です。

WafCharm LiteおよびCSC Managed Rulesを初めてご利用される場合は、新規の場合 をご確認ください。

1. WafCharm Liteにサブスクライブする

   AWS Marketplace上のWafCharm Liteの製品ページにアクセスし、 [View purchase options（購入オプションを表示）] ボタンをクリックし、オファーを選択してからサブスクライブします。

   AWS Marketplace上でのサブスクライブ方法の詳細は、AWS公式ドキュメントの SaaS 使用量ベースのサブスクリプションをサブスクライブする をご確認ください。

2. WafCharmコンソールからサインアップ

   [Set up your account] というボタンが表示されますので、こちらクリックします。

3. WafCharmコンソールの新規登録画面に遷移したら、メールアドレスとパスワードを入力する
4. [登録] をクリックする
5. 登録したメールアドレスに届く確認メールを開く
6. 確認メール内の [確認する] リンクをクリックする

   [メールアドレス認証 完了] という画面が表示されたら、登録完了です。

   [確認する] リンクをクリックするまでアカウントの登録は完了しないため、必ずこの手順を実施してから次に進んでください。

7. [ログイン] ボタンをクリックし、WafCharmコンソールにログインする
8. アカウント情報を入力する
9. [サービス利用規約及びその他ポリシー] を読み、同意する場合はチェックをいれる
10. [保存] をクリックする
11. Credentialを登録する

    Credential Storeの設定方法 (AWS WAF v2、新プラン) の手順に沿ってご登録ください。

12. 左メニューの [WAF] をクリックする
13. [新規登録] をクリックする
14. 登録したCredentialを選択する
15. WafCharmの設定を行うWeb ACLが存在するリージョンを選択する
16. [Web ACL取得] をクリックする
17. WafCharmの設定を行いたいWeb ACLをラジオボタンで選択し、次のステップに進む

    「WafCharmの保護を適用済みのWebACLも表示する」にチェックを入れると、WafCharmあるいはWafCharm Lite利用中のWeb ACLも表示されます。

    なお、WafCharmあるいはWafCharm Lite利用中のWeb ACLに対して再度新規登録の設定を行うことはできないため、WafCharmあるいはWafCharm Lite利用中のWeb ACLを選択して次のステップに進むことはできません。

18. WAF Config名を確認する

    自動でWeb ACLと同じ名前が挿入されます。任意の値に変更可能です。

19. [ルールプライオリティ] の箇所にてエラーが発生していないか確認する

    初回登録時には、AWS Managed Rulesを含むお客様にて個別に適用されたルールや、CSC Managed Rulesのプライオリティを1000以降に配置いただく必要があります。

    お客様にて適用されたルールが1000未満のプライオリティを使っている場合、次の手順に進むことができません。「プライオリティを移動する必要があります」と記載されている場合、 [ルールのプライオリティを変更する] ボタンをクリックしてください。 [ルールのプライオリティを変更する] ボタンをクリックすると、現在のプライオリティ値に1000が加算されます。

    お客様にてあらかじめ何らかの条件で許可するルールなど、IPアドレスによるBlockルール（Denylist）よりも前に判定させたいルールを適用されていた場合、プライオリティを変更すると、意図通り動作しない可能性がございます。もし、IPアドレスによるBlockルール（Denylist）よりも前に判定させたいルールがある場合には、本設定完了後に、プライオリティを0〜99に再度ご移動いただきますようお願いいたします。

    IPアドレスをもとに許可するルールの場合、WafCharm Liteが提供するAllowルール（Allowlist）のご利用を推奨いたします。

    詳細については、WafCharm Liteのルールプライオリティについて をご確認ください。

    ルールプライオリティが想定通りの状態になっている場合、 [ルールプライオリティ: 確認済み] と表示されますので、次の手順に進みます。

    なお、 [使用中のルール] 以下に [CSC Managed Ruleが見つかりません] と表示されている場合、対象のWeb ACLにCSC Managed Rulesが適用されていないことを表しています。 新規の場合 の手順をご参考いただくか、あらためて対象のWeb ACLにCSC Managed Rulesを追加し、次のステップに進んでください。

20. ルール設定を行う

    許可したいIPアドレス（Allowlist）、ブロックしたいIPアドレス（Denylist）、動的Denylistのルールアクション、IPアドレスの参照先、動的Denylistから除外したいIPアドレスの設定が可能です。後からWAF Configを編集して追加することもできます。

    詳細は、IPアドレス管理機能 および 例外設定（例外IPアドレス） をご確認ください。

21. ログ・通知設定を行う

    月次レポート機能および動的Denylist機能をご利用いただくためには、WAFログ連携の有効化が必要です。ご利用いただく場合、確認事項にチェックを入れて、次のステップに進んでください。

    なお、WAFログは必ずS3バケットに直接出力してください。Data FirehoseおよびCloudWatch Logsには対応しておりません。S3バケット以外の出力方法をご利用の場合、登録後にエラーが発生しますのでご注意ください。

    また、必要に応じてログ（フィールド）のマスキングをお願いいたします。

22. 登録内容を確認する
23. [登録する] ボタンをクリックする

WAF Config一覧画面に戻った後、登録したWAF Config名の隣にローディングアイコンが表示されます。ローディングアイコンは、適用中ステータスであることを表します。
適用が正常に完了すると、WAF Config詳細画面の [基本設定] タブにある [Status] にて「有効」と記載されます。
[Status] に設定エラーが表示されている場合、エラーの原因を解消いただき、 [再検証] ボタンをクリックしてエラーが解消することをご確認ください。

エラーの詳細については、WafCharm Liteのエラーについて をご確認ください。

※WAF Config名をクリックすると、WAF Configの詳細画面が表示されます。