AWS WAF を活用しよう

本資料に記載された情報は株式会社サイバーセキュリティクラウド（以下
CSC）が信頼できると判断した情報源を元に
CSCが作成したものですが、その内容および情
報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。
本資料に記載された内容は、資料作成時点において作
成されたものであり、予告なく変更する場合があります。
本資料はお客様限りで配布するものであり、
CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧
させ、また、複製、配布、譲渡することは堅く禁じられています。本文およびデータ等の著作権を含む知的所有権は
CSCに帰属し、事前に
CSCの書面による承諾を
得ることなく、本資料に修正・加工することは堅く禁じられています。
AWS WAF を活用しよう！
WAF 自動運用サービス部部長市川悠人
AWS ウェビナーシリーズ第3弾
株式会社サイバーセキュリティクラウド
〜WAF の解説から AWS での活用まで〜

© Cyber Security Cloud Inc. All Rights Reserved.
ToC
2
1. 自己紹介/会社紹介
2. WAF の機能と必要性
3. AWS WAF の機能と特徴
4. WafCharm x AWS WAF のメリット

自己紹介
3
市川悠人
株式会社サイバーセキュリティクラウド
WAF 自動運用サービス部部長
ERPベンダーで AI と NLP に関する R&D や
Web 開発のマネジメントを務める。
課題解決型の AI 人材ではなく、
課題発見型の人材になるべくキャリアチェンジ
2020年
株式会社サイバーセキュリティクラウド入社

© Cyber Security Cloud Inc. All Rights Reserved. 4
会社概要
社　名株式会社サイバーセキュリティクラウド
設　立 2010年8月
代表者代表取締役社長兼 CEO 小池敏弘
　　　代表取締役 CTO 　　　渡辺洋司
役　員
取締役 CFO 倉田雅史（公認会計士）
社外取締役伊倉吉宣（弁護士）
社外取締役石坂芳男
常勤監査役関大地（公認会計士）
社外監査役泉健太
社外監査役村田育生
資本金 6億5,855万円（資本準備金を含む）
事業内容・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供
・サイバー攻撃の研究及びリサーチ
・AI技術の研究開発
2020年3月に東証マザーズに上場いたしました。

CSCのメインプロダクト
5
Managed Rules
for AWS WAF
Web Application Firewall (WAF) 及びに WAF 関連サービス
AWS WAF 関連製品

ToC
6

WAF とは L7 の防御層
7
ファイアウォール IPS/IDS WAF
Web サイト
Web サービス
正常なアクセス
Web アプリケーション層への攻撃
ソフトウェア/OSへの攻撃
インフラ/ネットワーク層への攻撃
クロスサイトスクリプティング
SQL インジェクション
ブルートフォースアタック
etc, ...

攻撃通信の増加は衰えを知らない
8
（億件）
2020年サイバー攻撃関連通信
約5,001億件
※出典：NICT NICTER 観測レポート2020（2021年2月16日公開）
攻撃被害は
他人事ではない！

杜撰なセキュリティ対策の露呈
WEB セキュリティによってヘッジできるリスク
9
- 信用失墜による顧客の退会
- サービス停止による売上の損失
- プライバシーマークなど認定の取消
- カード会社からのペナルティ
- 取引先からの信頼失墜
- サプライチェーンからの締め出し
- 会社ブランドの毀損
個人情報・クレジットカード情報の漏洩

WAF で防ぐことのできる攻撃
10
- インジェクション
- 認証不備
- 機密データの露出
- XXE
- アクセスコントロールの不備
- セキュリティ設定不備
- XSS
- 安全でないデシリアライゼーション
- コンポーネントの既知の脆弱性（ゼロデイ攻撃含む）
- 十分でない監視とロギング（WAFが監視とロギングも担う）
OWASP Top 10 (最新版 2017年)

WAF で防ぐことのできる攻撃
11
- 認証不備
- XXE
- XSS
HTTPヘッダーインジェクション
LDAPインジェクション
OSコマンドインジェクション
SQLインジェクション
SSCインジェクション
XPathインジェクション
コマンドインジェクション
改行コードインジェクション
メールヘッダ・インジェクション
NULLバイトインジェクション
チームでのセキュアコーディングの徹底
OSSの実装調査には限界がある。

WAF で防ぐのが難しい攻撃の例
12
- 認証不備
- XXE
- XSS
リスト型攻撃や、平文による通信で中間者攻撃され
たりするのを WAF で防ぐのは難しい。
S3 の公開設定の不備など。
通信機器の設定不備など。
脆弱なセッション情報の保持機構などを使っている
と WAF では防げないことがある。

忘れてはいけない重要な WAF の効果
13
攻撃コスト・リターンローリターンハイリターン
ローコスト狙われる非常によく狙われる
ハイコスト狙われにくい狙われる
攻撃者に対する
セキュリティ対策してます！！
というアピール
OR

ToC
14

AWS WAF の特徴
15
特徴説明
サードパーティ提供のルー
ルを購入利用できる
CSC を含むサードパーティセキュリティベンダーが提供する
ルールを購入して利用できます。
従量課金 & スケーラブル従量課金で使った分だけ支払うことになります。リクエストが
バーストして WAF 起因で止まるといったことはありません。
（WAF自体の障害を除く）
AWS のエコシステムの一部
であること
AWS で運用される環境への親和性は当然ながら一番で
す。導入も容易です。
ぜひ押さえて帰っていただきたい一枚です！

WAF はエッジ/ネットワークサービスと連携
16
ALB
CloudFront
AppSync
エッジ/ネットワークサービス Web サイト
Web ACL
エンドユーザー
Web ACL を対応するエッジ/ネットワークサービ
スに紐づけると WAF が機能する。
API Gateway

WAF 対応サービス
17
アプリケーションロードバランサー
負荷分散、スティッキーセッション、ユーザー認証、
http-desync 防御 ...
CDN
Lambda Edge や CloudFront Function といった
機能でエッジでのコンピュテーションも可能
マネージドな API ゲートウェイサービス
APIのライフサイクル管理や CloudWatch 連携によ
るモニタリングなどが可能
GraphQL に特化したマネージドな API ゲートウェ
イサービス
ALB CloudFront
AppSync
API Gateway

Web ACL とは
WAF のルールや設定を
入れる箱。
Web ACL A ALB A
API Gateway A
CloudFront A
CloudFront B
Web ACL B
Web ACL D
１つの Web ACL を複数の
リソースに紐付けできる。
ALB B
Web ACL C
１つの対象に複数の
Web ACL をアタッチする
ことはできない
グローバル(CloudFront)用
非グローバル用
２種類の Web ACL がある。

Web ACL の料金体系
19
Web ACL
プロビジョニング費用
ルール
プロビジョニング費用
リクエスト
従量課金
5.00 USD/月 1.00 USD/月 0.60
USD/100万リクエスト
（具体例）ある Web サイトに月１億アクセスが来る場合。
ルールを自己管理する最安利用想定。
5 USD (1 Web ACL) +
20 USD (最低限の数として20個のルールを仮定) +
60 USD (アクセス数) =
85 USD/月
無償のルールを使いこなせすのは非常に難しいので、別途WafCharm
か有償のマネージドルールを利用するのが一般的です。

WAF 運用上の課題
20
誤検知発生時の際の対応が分からない
- 防御力と誤検知率のバランスとれた判断は難しい
導入時に自社環境の脆弱性を相談できる相手がいない
- 脆弱性をカバーするマネージドルールは存在しないかもしれない
新たに登場する個別の脆弱性には対応は難しい
- 脆弱性を追跡し、脅威を判断し、対策するのは専門家でなければ難し
い
WafCharm を検討してください！

ToC
21

３つのメリットで WAF の課題を解決
22
新たに登場する個別の脆弱性には対応できない

３つのメリットで WAF の課題を解決
23
新たに登場する個別の脆弱性には対応できない
誤検知時、導入時のカスタマイズを任せられる
AWS WAF を補完する防御機構が提供される
脆弱性対応を任せられる（ UNDER RESEARCH）

WafCharmをご利用した際の業務の違い
24
AWS WAF のみ
初期セットアップ
1. WebACL設定（お客様）
2. ルールの選択/作成（お客様）
Countモードでの運用開始
1. 検知状況の確認（お客様）
2. ルールの調整（お客様）
運用中の誤検知対策
運用中の脅威対策
5. 脅威の発見（お客様）
6. 脅威とシグネチャの突合（お客様）
AWS WAF + WafCharm
初期セットアップ
1. WebACL設定（お客様）
2. ルールの選択/作成（WafCharmが自動で）
Countモードでの運用開始
2. ルールの調整（WafCharmに依頼）
運用中の誤検知対策
2. ルールの調整（WafCharmに依頼）
運用中の脅威対策
1. 脅威の発見（WafCharmに委任）
2. 脅威とシグネチャの突合（WafCharmに委任）
3. ルールの調整（WafCharmに委任・相談）

誤検知時の相談やカスタマイズを受けられる
25
〜という入力の最後に「,」という文字が入るせいで誤検知し
ているようなのですが〜（ユーザーで原因を予想した内容
を連絡頂くことはよくある）
リクエストボディで検知されたようですね。その時のログを
いただけますでしょうか？
誤検知時に原因を追求するのは難しい。
（※）以下は過去あった誤検知対応の問い合わせがモデル
(?i:(?:(?:n(?:and|ot)|(?:x?x)?or|between||
||like|and|div|&&)[s(]+w+[s)]*?[!=+]+[s
d]*?["'`=()]|/w+;?s+(?:between|having|se
lect|like|x?or|and|div)W|d+s*?(?:between|
like|x?or|and|div)s*?d+s*?[-+]|--s*?(?:
(?:insert|update)s*?w{2,}|alter|drop)|#s*
?(?:(?:insert|update)s*?w{2,}|alter|drop)|
;s*?(?:(?:insert|update)s*?w{2,}|alter|dr
op)|@.+=s*?(s*?select|ds+groups+by.+
(|[^w]SETs*?@w+))"
〇〇という文章がSQLi の構文に合致していますね。管理者のアクセス
しかないのであればIP による制限がよいかと思われます。若しくはリク
エストパスでの除外、キーワードでの除外が適切かと思われます。上記
の方法でこのルールを除外する場合はこちらで作業実施いたしますの
でその旨ご連絡ください。
検知シグネチャは知識がないと読めない。
以下は CRS の SQLi シグネチャのひとつ。

数百のシグネチャを利用した事後検知で、
AWS WAF のパフォーマンスを落とさず防御。
Access Log
add IP to Black(Block)list
ALB
AWS WAF
動的に変化する IP レピュテーション

CSC 独自の IP レピュテーション
ユーザーの攻撃履歴を統計集積
日本のデータ由来という、
他社にはない優位性
Malicious IPs list
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
その他公開情報
Open Source Threat Intelligence
IP レピュテーション運用
動的に変化する IP レピュテーション
UNDER RESEARCH
AWS WAF

ホームページにて課題を解決されている
ユーザー様の声を掲載しております。
https://www.wafcharm.com/

SCSK x WafCharm x AWS WAF
最初に述べた通り WAF は Web セキュリティ脅威全てに対応はできません。
SCSK 様の包括的なソリューションSECURE YOURESITE と合わせて
WafCharm のご利用をご検討ください！
226
多くの企業様に信頼されています
有償利用ユーザー数
(2020年1Q) (2021年1Q)
471

END
30
クレジット
本スライド作成にあたっては下記のウェブサイトで公開される素材を利用した。
freepick (https://stories.freepik.com/people)

AWS WAF を活用しよう

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie AWS WAF を活用しよう

Ähnlich wie AWS WAF を活用しよう (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (10)

AWS WAF を活用しよう