WafCharm Liteは、自動Denylist運用を軸としたクラウドWAFのルール運用サービスです。AWS Marketplaceから購入することができ、同じくMarketplaceにて弊社が提供するCSC Managed Rulesと併用することで、低コストにクラウドWAFのルール運用が実現できます。
※CSC Managed Rulesは、以下の製品を指しています。

なお、CSC Managed Rulesには、以下のProtocol Enforcement by WafCharmという製品もございます。こちらはプロトコル違反やそれに類する問題のあるリクエストを検知するためのルールセットです。

WafCharm LiteとProtocol Enforcement by WafCharmのみでご利用いただくことも可能ですが、他のOWASP Top 10に代表される攻撃から包括的に防御するためのルールセットではないため、基本的には HighSecurity OWASP Set あるいは API Gateway/Serverless のどちらかのルールセットと同時にご利用いただくことを推奨しております。

Cyber Security Cloud Managed Rules -Protocol Enforcement by WafCharm-

Protocol Enforcement by WafCharmの詳細については、「新マネージドルール「Protocol Enforcement by WafCharm」をリリースしました。」をご確認ください。

WafCharm LiteはCSC Managed Rulesとの併用を推奨しておりますが、「自社ルールやその他のManaged Rulesを利用するので追加機能だけ利用したい」といった使い方も可能です。
詳細については、以下のページもご確認ください。

WafCharmとCSC Managed Rulesの関係性について

WafCharmには、大きく分けてWafCharmと、WafCharm Liteの2種類が存在します。どちらもAWS WAFの運用管理をサポートすることを目的としておりますが、WafCharmとWafCharm Liteの間では細かい提供機能が異なります。

WafCharm
WafCharm Lite

WafCharmとは別に、弊社独自のCSC Managed Rulesもご提供しています。

WafCharmとCSC Managed Rulesのグルーピングは異なりますが、WafCharm Liteと、OWASP Top 10に代表される攻撃から包括的に防御するためのルールセット2つのうちどちらかと併用いただくことで、CSC Managed Rulesに機能を追加できるイメージです。

※ここでのCSC Managed Rulesは、弊社が販売するもののみを指します。AWSが提供するAWS Managed Rulesは対象外です。
※HighSecurity OWASP Set と API Gateway/Serverless は同じ目的のルールセットのため、どちらか1つのみのご利用を想定しています。
※Protocol Enforcement by WafCharmもWafCharm Liteとの併用は可能ですが、基本的にはOWASP Top 10に代表される攻撃から包括的に防御するためのルールセットのどちらかと同時にご利用いただくことを推奨しております。

WafCharm

AWS WAFに一般的なWeb攻撃に対応するルールを適用するサービスです。直接ご契約いただく方式と、AWS Marketplaceからサブスクライブいただく方式があります。

WafCharmコンソールという管理画面にてWafCharmのアカウントを作成いただき、AWS WAF（Web ACL）の情報をご登録いただくことでご利用いただけます。

設定状況によっても異なりますが、WafCharmが提供するルールの他に、月次レポート機能や、検知通知機能、日次の検知状況、WAFログ検索機能といった運用管理向けの機能もご提供しています。

※CSC Managed Rules（OWASP Top 10に代表される攻撃から包括的に防御するためのルールセット）と同等のルールが含まれるため、併用は不要です。なお、Protocol Enforcement by WafCharmについては目的が異なるルールセットのため、併用を推奨しております。

WafCharm Lite

自動Denylist運用を軸としたクラウドWAFのルール運用サービスです。対象のCSC Managed Ruleと併用いただくことで、CSC Managed Rulesの強化や、運用管理向けの機能をご提供します。

単体でもご利用いただけますが、基本的には弊社が販売するCSC Managed Rules（OWASP Top 10に代表される攻撃から包括的に防御するためのルールセット2つのうちどちらか）と併用いただくことを推奨しています。

WafCharm Liteでは、動的Denylist機能や、月次レポート機能をご利用いただけます。

※月次レポート機能に含まれる、検知したルールの分類（Attack Type）については、OWASP Top 10に代表される攻撃から包括的に防御するためのルールセットと併用している場合のみご利用いただけます。

CSC Managed Rules

AWS Marketplaceよりサブスクライブいただけるルールセットです。以下のManaged Rulesを販売しております。

※AWSが販売するAWS Managed Rulesは対象外です。

上記CSC Managed Rulesのうち、HighSecurity OWASP Set および API Gateway/Serverless はOWASP Top 10に代表される攻撃から包括的に防御するためのルールセットです。どちらも目的が同じであるため、環境にあわせてどちらか1つのルールセットをご利用いただくことを想定しております。ほとんどのケースでHighSecurity OWASP Setが最適な選択肢となりますが、後段のワークロードがAPI GatewayやLambdaであるようなケースでは API Gareway/Serverless の利用が推奨されます。

Protocol Enforcement by WafCharmは、HTTPプロトコルやエンコーディングに問題のあるリクエストを検知するルールセットです。悪性なBotからのアクセスや、攻撃準備としてのポートスキャンを広く検知・防御することができ、Webサイト全体の防御性能を向上することが期待できます。Protocol Enforcement by WafCharm については、単体では一般的なWeb攻撃に対応するルールを含んでいないため、WafCharmや、HighSecurity OWASP Set あるいは API Gateway/Serverless との併用をおすすめしております。

Protocol Enforcement by WafCharmの詳細については、「新マネージドルール「Protocol Enforcement by WafCharm」をリリースしました。」をご確認ください。

WafCharmとWafCharm Liteの比較表

項目	CSC Managed Rules	WafCharm Lite	WafCharm Lite × CSC Managed Rules	WafCharm
OWASP Top 10 ルール	あり ※Protocol Enforcement by WafCharmを除く	- ※単体ではルール追加はありません。ルールを追加する場合、CSC Managed Rulesなどへのサブスクライブが必要です。	あり	あり
動的Denylist機能	-	あり	あり	あり
ルール設定の追加機能（Geo-match、レートベース、簡易Botルール）	-	-	-	あり ※Advanced Ruleポリシーのみ
ルールカスタマイズ	-	-	一部制限付きであり ※動的Denylist機能で誤検知が発生した場合のみ、カスタマイズの対応が可能です。	あり
メールでのお問い合わせ	あり	あり	あり	あり
電話でのお問い合わせ	-	-	-	あり ※Businessプラン以上のみ
月次レポート機能	-	-	あり	あり
WAFログアラート（検知通知）機能	-	-	-	あり
WAFログ検索機能	-	-	-	あり
Dashboard画面の検知状況	-	-	-	あり
改ざん検知機能	-	-	-	あり ※新プランのみ
メンバーアカウントの管理機能	-	-	一部制限付きであり ※細かな制御はできませんが、メンバーアカウントの追加は可能です。	あり

※一部機能は、WAFログ連携機能（新方式）での有効化に伴い提供されます。設定状況によって、機能の有無は異なります。WAFログ連携機能については、WAFログ連携によってご提供可能な機能についてをご確認ください。

WafCharm Liteとは

WafCharmとCSC Managed Rulesの関係性について

WafCharm

WafCharm Lite

CSC Managed Rules

WafCharmとWafCharm Liteの比較表