サイバーセキュリティクラウド(CSC)は2019年12月4日、API/サーバーレス環境に向いたAWS WAFマネージドルール「Cyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless-」の提供を開始したと発表した。AWSでAPIやサーバーレス環境を利用するユーザーは、手間をかけずにファイアウォールを導入できるとしている。価格は月額25ドルまたは100万リクエストあたり1.2ドル。
AWS WAFは、パブリッククラウドサービス「AWS」(Amazon Web Services)で利用できるサービスの1つで、AWS上で動作するWAF(Webアプリケーションファイアウォール)である。AWS上で動作するWebアプリケーションをサイバー攻撃から守る。SQLインジェクションやクロスサイトスクリプティングなど各種の不正攻撃を検知して防御できる。
ただし、AWS WAFの導入にあたっては、サイバー攻撃を防ぐルール(シグネチャ)を自社で運用する必要がある。検知対象の攻撃や遮断対象の攻撃などをルールセットとして記録し、サイバー攻撃の市場状況などを踏まえながらルールを更新したり調整したりし続ける必要がある。
こうした需要を受けてサイバーセキュリティクラウドは、AWS WAFで使える調整済みのルールセットを、マネージドルールとして提供している。ルールセットをメンテナンスするサービスを提供している。
今回、サイバーセキュリティクラウドは、AWS上でAmazon API Gateway/AWS LambdaなどのAPI/サーバーレス環境を利用するユ-ザーに向けた、AWS WAFのマネージドルールを開発した。日本語と英語の2言語でサポートを提供する。
ユーザーは、ファイアウォールの構築に時間をかけることなく、APIやサーバーレス環境を使ったアプリケーションを稼働させられるようになる。マネージドルールはサイバーセキュリティクラウドが管理・更新するため、運用・管理コストも発生しない。
新たにAPI/サーバーレス環境向けに用意したマネージドルールは、OWASP API Security Top 10、およびOWASP Serverless Top 10の脅威を軽減できるように、包括的なパッケージにまとめたとしている。
SQL、NoSQL、OSコマンドなど多数のインジェクションや、クロスサイトスクリプティング、ディレクトリトラバーサル、SSRF、XXEのような一般的な攻撃への対応、およびスキャンや悪意のあるボットへ対応する防御ルールを、1つのパッケージとして提供する。
