Suche senden
Hochladen
AWS WAF を活用しよう
•
0 gefällt mir
•
829 views
Yuto Ichikawa
Folgen
2021年8月21日 SCSK AWS との共催ウェビナー資料
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 30
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Amazon Athena で実現する データ分析の広がり
Amazon Athena で実現する データ分析の広がり
Amazon Web Services Japan
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
20200811 AWS Black Belt Online Seminar CloudEndure
20200811 AWS Black Belt Online Seminar CloudEndure
Amazon Web Services Japan
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
Empfohlen
Amazon Athena で実現する データ分析の広がり
Amazon Athena で実現する データ分析の広がり
Amazon Web Services Japan
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
20200811 AWS Black Belt Online Seminar CloudEndure
20200811 AWS Black Belt Online Seminar CloudEndure
Amazon Web Services Japan
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
Fargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころ
Yuto Komai
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
Amazon Web Services Japan
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
Amazon Web Services Japan
AWS Black Belt - AWS Glue
AWS Black Belt - AWS Glue
Amazon Web Services Japan
いまさら、AWSのネットワーク設計
いまさら、AWSのネットワーク設計
Serverworks Co.,Ltd.
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
Yusuke Kodama
【第20回セキュリティ共有勉強会】Amazon FSx for Windows File Serverをセキュリティ観点で試してみたお話
【第20回セキュリティ共有勉強会】Amazon FSx for Windows File Serverをセキュリティ観点で試してみたお話
Hibino Hisashi
20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
Yuto Ichikawa
Weitere ähnliche Inhalte
Was ist angesagt?
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
Fargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころ
Yuto Komai
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
Amazon Web Services Japan
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
Amazon Web Services Japan
AWS Black Belt - AWS Glue
AWS Black Belt - AWS Glue
Amazon Web Services Japan
いまさら、AWSのネットワーク設計
いまさら、AWSのネットワーク設計
Serverworks Co.,Ltd.
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
Yusuke Kodama
【第20回セキュリティ共有勉強会】Amazon FSx for Windows File Serverをセキュリティ観点で試してみたお話
【第20回セキュリティ共有勉強会】Amazon FSx for Windows File Serverをセキュリティ観点で試してみたお話
Hibino Hisashi
20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
Was ist angesagt?
(20)
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Fargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころ
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
AWS Black Belt - AWS Glue
AWS Black Belt - AWS Glue
いまさら、AWSのネットワーク設計
いまさら、AWSのネットワーク設計
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
【第20回セキュリティ共有勉強会】Amazon FSx for Windows File Serverをセキュリティ観点で試してみたお話
【第20回セキュリティ共有勉強会】Amazon FSx for Windows File Serverをセキュリティ観点で試してみたお話
20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Ähnlich wie AWS WAF を活用しよう
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
Yuto Ichikawa
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
Yuto Ichikawa
jawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawa
Yuto Ichikawa
AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13
YOJI WATANABE
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
sss-share
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
YOJI WATANABE
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用
Lumin Hacker
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
Openwave Systems
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
Hiroshi Tokumaru
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
Amazon Web Services Japan
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
Hiroshi Tokumaru
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
ripper0217
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
彰 村地
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
Amazon Web Services Japan
Ähnlich wie AWS WAF を活用しよう
(20)
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
jawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawa
AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
Kürzlich hochgeladen
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
Kürzlich hochgeladen
(10)
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
AWS WAF を活用しよう
1.
本資料に記載された情報は株式会社サイバーセキュリティクラウド(以下 CSC)が信頼できると判断した情報源を元に CSCが作成したものですが、その内容および情 報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。 本資料に記載された内容は、資料作成時点において作 成されたものであり、予告なく変更する場合があります。 本資料はお客様限りで配布するものであり、 CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧 させ、また、複製、配布、譲渡することは堅く禁じられています。 本文およびデータ等の著作権を含む知的所有権は CSCに帰属し、事前に CSCの書面による承諾を 得ることなく、本資料に修正・加工することは堅く禁じられています。 AWS WAF
を活用しよう! WAF 自動運用サービス部 部長 市川悠人 AWS ウェビナーシリーズ第3弾 株式会社サイバーセキュリティクラウド 〜WAF の解説から AWS での活用まで〜
2.
© Cyber Security
Cloud Inc. All Rights Reserved. ToC 2 1. 自己紹介/会社紹介 2. WAF の機能と必要性 3. AWS WAF の機能と特徴 4. WafCharm x AWS WAF のメリット
3.
© Cyber Security
Cloud Inc. All Rights Reserved. 自己紹介 3 市川悠人 株式会社サイバーセキュリティクラウド WAF 自動運用サービス部部長 ERPベンダーで AI と NLP に関する R&D や Web 開発のマネジメントを務める。 課題解決型の AI 人材ではなく、 課題発見型の人材になるべくキャリアチェンジ 2020年 株式会社サイバーセキュリティクラウド入社
4.
© Cyber Security
Cloud Inc. All Rights Reserved. 4 会社概要 社 名 株式会社サイバーセキュリティクラウド 設 立 2010年8月 代 表 者 代表取締役社長 兼 CEO 小池 敏弘 代表取締役 CTO 渡辺 洋司 役 員 取締役 CFO 倉田 雅史(公認会計士) 社外取締役 伊倉 吉宣(弁護士) 社外取締役 石坂 芳男 常勤監査役 関 大地(公認会計士) 社外監査役 泉 健太 社外監査役 村田 育生 資 本 金 6億5,855万円(資本準備金を含む) 事業内容 ・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供 ・サイバー攻撃の研究及びリサーチ ・AI技術の研究開発 2020年3月に東証マザーズに上場いたしました。
5.
© Cyber Security
Cloud Inc. All Rights Reserved. CSCのメインプロダクト 5 Managed Rules for AWS WAF Web Application Firewall (WAF) 及びに WAF 関連サービス AWS WAF 関連製品
6.
© Cyber Security
Cloud Inc. All Rights Reserved. ToC 6 1. 自己紹介/会社紹介 2. WAF の機能と必要性 3. AWS WAF の機能と特徴 4. WafCharm x AWS WAF のメリット
7.
© Cyber Security
Cloud Inc. All Rights Reserved. WAF とは L7 の防御層 7 ファイアウォール IPS/IDS WAF Web サイト Web サービス 正常なアクセス Web アプリケーション層への攻撃 ソフトウェア/OSへの攻撃 インフラ/ネットワーク層への攻撃 クロスサイトスクリプティング SQL インジェクション ブルートフォースアタック etc, ...
8.
© Cyber Security
Cloud Inc. All Rights Reserved. 攻撃通信の増加は衰えを知らない 8 (億件) 2020年サイバー攻撃関連通信 約5,001億件 ※出典:NICT NICTER 観測レポート2020(2021年2月16日公開) 攻撃被害は 他人事ではない!
9.
© Cyber Security
Cloud Inc. All Rights Reserved. 杜撰なセキュリティ対策の露呈 WEB セキュリティによってヘッジできるリスク 9 - 信用失墜による顧客の退会 - サービス停止による売上の損失 - プライバシーマークなど認定の取消 - カード会社からのペナルティ - 取引先からの信頼失墜 - サプライチェーンからの締め出し - 会社ブランドの毀損 個人情報・クレジットカード情報の漏洩
10.
© Cyber Security
Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 10 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年)
11.
© Cyber Security
Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 11 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) HTTPヘッダーインジェクション LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSCインジェクション XPathインジェクション コマンドインジェクション 改行コードインジェクション メールヘッダ・インジェクション NULLバイトインジェクション チームでのセキュアコーディングの徹底 OSSの実装調査には限界がある。
12.
© Cyber Security
Cloud Inc. All Rights Reserved. WAF で防ぐのが難しい攻撃の例 12 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) リスト型攻撃や、平文による通信で中間者攻撃され たりするのを WAF で防ぐのは難しい。 S3 の公開設定の不備など。 通信機器の設定不備など。 脆弱なセッション情報の保持機構などを使っている と WAF では防げないことがある。
13.
© Cyber Security
Cloud Inc. All Rights Reserved. 忘れてはいけない重要な WAF の効果 13 攻撃コスト・リターン ローリターン ハイリターン ローコスト 狙われる 非常によく狙われる ハイコスト 狙われにくい 狙われる 攻撃者に対する セキュリティ対策してます!! というアピール OR
14.
© Cyber Security
Cloud Inc. All Rights Reserved. ToC 14 1. 自己紹介/会社紹介 2. WAF の機能と必要性 3. AWS WAF の機能と特徴 4. WafCharm x AWS WAF のメリット
15.
© Cyber Security
Cloud Inc. All Rights Reserved. AWS WAF の特徴 15 特徴 説明 サードパーティ提供のルー ルを購入利用できる CSC を含むサードパーティセキュリティベンダーが提供する ルールを購入して利用できます。 従量課金 & スケーラブル 従量課金で使った分だけ支払うことになります。リクエストが バーストして WAF 起因で止まるといったことはありません。 (WAF自体の障害を除く) AWS のエコシステムの一部 であること AWS で運用される環境への親和性は当然ながら一番で す。導入も容易です。 ぜひ押さえて帰っていただきたい一枚です!
16.
© Cyber Security
Cloud Inc. All Rights Reserved. WAF はエッジ/ネットワークサービスと連携 16 ALB CloudFront AppSync エッジ/ネットワークサービス Web サイト Web ACL エンドユーザー Web ACL を対応するエッジ/ネットワークサービ スに紐づけると WAF が機能する。 API Gateway
17.
© Cyber Security
Cloud Inc. All Rights Reserved. WAF 対応サービス 17 アプリケーションロードバランサー 負荷分散、スティッキーセッション、ユーザー認証、 http-desync 防御 ... CDN Lambda Edge や CloudFront Function といった 機能でエッジでのコンピュテーションも可能 マネージドな API ゲートウェイサービス APIのライフサイクル管理や CloudWatch 連携によ るモニタリングなどが可能 GraphQL に特化したマネージドな API ゲートウェ イサービス ALB CloudFront AppSync API Gateway
18.
© Cyber Security
Cloud Inc. All Rights Reserved. Web ACL とは WAF のルールや設定を 入れる箱。 Web ACL A ALB A API Gateway A CloudFront A CloudFront B Web ACL B Web ACL D 1つの Web ACL を複数の リソースに紐付けできる。 ALB B Web ACL C 1つの対象に複数の Web ACL をアタッチする ことはできない グローバル(CloudFront)用 非グローバル用 2種類の Web ACL がある。
19.
© Cyber Security
Cloud Inc. All Rights Reserved. Web ACL の料金体系 19 Web ACL プロビジョニング費用 ルール プロビジョニング費用 リクエスト 従量課金 5.00 USD/月 1.00 USD/月 0.60 USD/100万リクエスト (具体例)ある Web サイトに月1億アクセスが来る場合。 ルールを自己管理する最安利用想定。 5 USD (1 Web ACL) + 20 USD (最低限の数として20個のルールを仮定) + 60 USD (アクセス数) = 85 USD/月 無償のルールを使いこなせすのは非常に難しいので、別途WafCharm か有償のマネージドルールを利用するのが一般的です。
20.
© Cyber Security
Cloud Inc. All Rights Reserved. WAF 運用上の課題 20 誤検知発生時の際の対応が分からない - 防御力と誤検知率のバランスとれた判断は難しい 導入時に自社環境の脆弱性を相談できる相手がいない - 脆弱性をカバーするマネージドルールは存在しないかもしれない 新たに登場する個別の脆弱性には対応は難しい - 脆弱性を追跡し、脅威を判断し、対策するのは専門家でなければ難し い WafCharm を検討してください!
21.
© Cyber Security
Cloud Inc. All Rights Reserved. ToC 21 1. 自己紹介/会社紹介 2. WAF の機能と必要性 3. AWS WAF の機能と特徴 4. WafCharm x AWS WAF のメリット
22.
© Cyber Security
Cloud Inc. All Rights Reserved. 3つのメリットで WAF の課題を解決 22 誤検知発生時の際の対応が分からない 導入時に自社環境の脆弱性を相談できる相手がいない 新たに登場する個別の脆弱性には対応できない
23.
© Cyber Security
Cloud Inc. All Rights Reserved. 3つのメリットで WAF の課題を解決 23 誤検知発生時の際の対応が分からない 導入時に自社環境の脆弱性を相談できる相手がいない 新たに登場する個別の脆弱性には対応できない 誤検知時、導入時のカスタマイズを任せられる AWS WAF を補完する防御機構が提供される 脆弱性対応を任せられる( UNDER RESEARCH)
24.
© Cyber Security
Cloud Inc. All Rights Reserved. WafCharmをご利用した際の業務の違い 24 AWS WAF のみ 初期セットアップ 1. WebACL設定(お客様) 2. ルールの選択/作成(お客様) Countモードでの運用開始 1. 検知状況の確認(お客様) 2. ルールの調整(お客様) 運用中の誤検知対策 3. 検知状況の確認(お客様) 4. ルールの調整(お客様) 運用中の脅威対策 5. 脅威の発見(お客様) 6. 脅威とシグネチャの突合(お客様) 7. ルールの調整(お客様) AWS WAF + WafCharm 初期セットアップ 1. WebACL設定(お客様) 2. ルールの選択/作成(WafCharmが自動で) Countモードでの運用開始 1. 検知状況の確認(お客様) 2. ルールの調整(WafCharmに依頼) 運用中の誤検知対策 1. 検知状況の確認(お客様) 2. ルールの調整(WafCharmに依頼) 運用中の脅威対策 1. 脅威の発見(WafCharmに委任) 2. 脅威とシグネチャの突合(WafCharmに委任) 3. ルールの調整(WafCharmに委任・相談)
25.
© Cyber Security
Cloud Inc. All Rights Reserved. 誤検知時の相談やカスタマイズを受けられる 25 〜という入力の最後に「,」という文字が入るせいで誤検知し ているようなのですが〜(ユーザーで原因を予想した内容 を連絡頂くことはよくある) リクエストボディで検知されたようですね。その時のログを いただけますでしょうか? 誤検知時に原因を追求するのは難しい。 (※)以下は過去あった誤検知対応の問い合わせがモデル (?i:(?:(?:n(?:and|ot)|(?:x?x)?or|between|| ||like|and|div|&&)[s(]+w+[s)]*?[!=+]+[s d]*?["'`=()]|/w+;?s+(?:between|having|se lect|like|x?or|and|div)W|d+s*?(?:between| like|x?or|and|div)s*?d+s*?[-+]|--s*?(?: (?:insert|update)s*?w{2,}|alter|drop)|#s* ?(?:(?:insert|update)s*?w{2,}|alter|drop)| ;s*?(?:(?:insert|update)s*?w{2,}|alter|dr op)|@.+=s*?(s*?select|ds+groups+by.+ (|[^w]SETs*?@w+))" 〇〇という文章がSQLi の構文に合致していますね。管理者のアクセス しかないのであればIP による制限がよいかと思われます。若しくはリク エストパスでの除外、キーワードでの除外が適切かと思われます。上記 の方法でこのルールを除外する場合はこちらで作業実施いたしますの でその旨ご連絡ください。 検知シグネチャは知識がないと読めない。 以下は CRS の SQLi シグネチャのひとつ。
26.
© Cyber Security
Cloud Inc. All Rights Reserved. 26 数百のシグネチャを利用した事後検知で、 AWS WAF のパフォーマンスを落とさず防御。 Access Log add IP to Black(Block)list ALB AWS WAF 動的に変化する IP レピュテーション
27.
© Cyber Security
Cloud Inc. All Rights Reserved. 27 CSC 独自の IP レピュテーション ユーザーの攻撃履歴を統計集積 日本のデータ由来という、 他社にはない優位性 Malicious IPs list xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx その他公開情報 Open Source Threat Intelligence IP レピュテーション運用 動的に変化する IP レピュテーション UNDER RESEARCH AWS WAF
28.
© Cyber Security
Cloud Inc. All Rights Reserved. 28 ホームページにて課題を解決されている ユーザー様の声を掲載しております。 https://www.wafcharm.com/
29.
© Cyber Security
Cloud Inc. All Rights Reserved. 29 SCSK x WafCharm x AWS WAF 最初に述べた通り WAF は Web セキュリティ脅威全てに対応はできません。 SCSK 様の包括的なソリューションSECURE YOURESITE と合わせて WafCharm のご利用をご検討ください! 226 多くの企業様に信頼されています 有償利用ユーザー数 (2020年1Q) (2021年1Q) 471
30.
© Cyber Security
Cloud Inc. All Rights Reserved. END 30 クレジット 本スライド作成にあたっては下記のウェブサイトで公開される素材を利用した。 freepick (https://stories.freepik.com/people)
Jetzt herunterladen