SlideShare ist ein Scribd-Unternehmen logo

Jazug_202102_csc_ichikawa

Yuto Ichikawa
Yuto Ichikawa

2021年2月25日の JAZUG の資料

Software
1 von 42
Downloaden Sie, um offline zu lesen
本資料に記載された情報は株式会社サイバーセキュリティクラウド(以下 CSC)が信頼できると判断した情報源を元に CSCが作成したものですが、その内容および情 報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。 本資料に記載された内容は、資料作成時点において作 成されたものであり、予告なく変更する場合があります。 本資料はお客様限りで配布するものであり、 CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧 させ、また、複製、配布、譲渡することは堅く禁じられています。 本文およびデータ等の著作権を含む知的所有権は CSCに帰属し、事前に CSCの書面による承諾を 得ることなく、本資料に修正・加工することは堅く禁じられています。 Azure WAF を活用しよう WAF 自動運用サービス部 部長 市川悠人 第31回 Tokyo Jazug Night 株式会社サイバーセキュリティクラウド 〜WAF の解説から他サービスとの連携まで〜
© Cyber Security Cloud Inc. All Rights Reserved. ToC 2 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
© Cyber Security Cloud Inc. All Rights Reserved. 自己紹介 3 市川悠人 株式会社サイバーセキュリティクラウド WAF 自動運用サービス部部長 ERPベンダーで AI と NLP に関する R&D や Web 開発のマネジメントを務める。 課題解決型の AI 人材ではなく、 課題発見型の人材になるべくキャリアチェンジ 2020年 株式会社サイバーセキュリティクラウド入社
© Cyber Security Cloud Inc. All Rights Reserved. 4 会社概要 社  名 株式会社サイバーセキュリティクラウド 設  立 2010年8月 代 表 者 代表取締役社長 兼 CTO 渡辺 洋司 役  員 取締役 倉田 雅史(公認会計士) 社外取締役 伊倉 吉宣(弁護士) 社外取締役 石坂 芳男 常勤監査役 安田 英介(公認会計士) 社外監査役 泉 健太 社外監査役 村田 育生 資 本 金 6億5,855万円(資本準備金を含む) 事業内容 ・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供 ・サイバー攻撃の研究及びリサーチ ・AI技術の研究開発 2020年3月に東証マザーズに上場いたしました。
© Cyber Security Cloud Inc. All Rights Reserved. CSCのメインプロダクト 5 Managed Rules for AWS WAF Web Application Firewall (WAF) 及びに WAF 関連サービス Azure WAF 関連製品
© Cyber Security Cloud Inc. All Rights Reserved. ToC 6 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
© Cyber Security Cloud Inc. All Rights Reserved. WAF とは L7 の防御層 7 ファイアウォール IPS/IDS WAF Web サイト Web サービス 正常なアクセス Web アプリケーション層への攻撃 ソフトウェア/OSへの攻撃 インフラ/ネットワーク層への攻撃 クロスサイトスクリプティング SQL インジェクション ブルートフォースアタック etc, ...
© Cyber Security Cloud Inc. All Rights Reserved. 攻撃通信の増加は衰えを知らない 8 (億件) 2020年サイバー攻撃関連通信 約5,001億件 ※出典:NICT NICTER 観測レポート2020(2021年2月16日公開)
© Cyber Security Cloud Inc. All Rights Reserved. 杜撰なセキュリティ対策の露呈 WEB セキュリティによってヘッジできるリスク 9 - 信用失墜による顧客の退会 - サービス停止による売上の損失 - プライバシーマークなど認定の取消 - カード会社からのペナルティ - 取引先からの信頼失墜 - サプライチェーンからの締め出し - 会社ブランドの毀損 個人情報・クレジットカード情報の漏洩
© Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 10 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年)
© Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 11 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) HTTPヘッダーインジェクション LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSCインジェクション XPathインジェクション コマンドインジェクション 改行コードインジェクション メールヘッダ・インジェクション NULLバイトインジェクション チームでのセキュアコーディングの徹底 OSSの実装調査には限界がある。
© Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐのが難しい攻撃の例 12 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) リスト型攻撃や、平文による通信で中間者攻撃され たりするのを WAF で防ぐのは難しい。 Storage Account の公開設定の不備など。 通信機器の設定不備など。 脆弱なセッション情報の保持機構などを使っている と WAF では防げないことがある。
© Cyber Security Cloud Inc. All Rights Reserved. 忘れてはいけない重要な WAF の効果 13 攻撃コスト・リターン ローリターン ハイリターン ローコスト 狙われる 非常によく狙われる ハイコスト 狙われにくい 狙われる 攻撃者に対する セキュリティ対策してます!! というアピール OR
© Cyber Security Cloud Inc. All Rights Reserved. ToC 14 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
© Cyber Security Cloud Inc. All Rights Reserved. WAF はエッジテクノロジーと連携 15 Application Gateway Frontdoor CDN エッジサービス Web サイト WAF Policy App Service Storage Account WAF v1 か WAF v2 という SKU のみ利用可能 エンドユーザー プレビュー版 WAF は、Application Gateway, Frontdoor, CDN と連携することで動作し、WAF Policy で実 際の防御ルールを設定できる。
© Cyber Security Cloud Inc. All Rights Reserved. WAF 対応エッジテクノロジー 16 Application Gateway Web トラフィックロードバランサー - SSL 終端 - オートスケール - ゾーン冗長性 - 複数サイトホスティング - WAF - etc, ... SKU として - Standard V1 - Standard V2 - WAF V1 - WAF V2 が存在する。 Standard 系は WAF が使えない。 CDN エンド ユーザーに近いポイントオブプレゼンス (POP) の場所のエッジサーバーに、静的コン テンツをキャッシュして分散配信する仕組み ドキュメントからは動的サイトアクセラレーション 機能があるように読めるが、 Frontdoor を利 用しているとのこと。 Frontdoor 最適なルーティングでクライアントから最も近い 配信拠点を選択して応答。地理的に広い範囲 から高いトラフィックが想定されるなら使いた い。 比較的高価なので、状況によって利用の判断 をしたい。 Frontdoor Frontdoor Standard Frontdoor Premium の SKU に分けられる コンテンツ配信 ロードバランサー
© Cyber Security Cloud Inc. All Rights Reserved. (New)Frontdoor のサービス範囲に変化 17 最近のアップデートでサービスの機能範囲に変化あ り。 https://docs.microsoft.com/en-us/azure/frontdoor/standard-premium/tier-comparison
© Cyber Security Cloud Inc. All Rights Reserved. WAF の適用例 18 Application Gateway Frontdoor リージョンを跨ぐサービスをエッジで守る ロードバランサで守る
© Cyber Security Cloud Inc. All Rights Reserved. WAF Policy とは WAF のルールや設定を 入れる箱。 Application Gateway, Frontdoor 用の 2種類の WAF Policy がある。 WAF Policy A Application Gateway A Application Gateway B Frontdoor A Frontdoor B Listener 2 Listener 3 WAF Policy B WAF Policy C 1つの WAF Policy を複数の リソースに紐付けできる。 Listener 1
© Cyber Security Cloud Inc. All Rights Reserved. [App GW] WAF Policy / ポリシー設定 20 検出モードだと一切攻撃を止め ません。導入の際の動作確認 時に使う。 特定のヘッダーパラメータや Cookie 名を検査対象外すこと ができる。 Body を検査対象とするか。 リクエストのサイズで大きすぎる ものを弾くための設定です。基 本的にはデフォルト値で十分。
© Cyber Security Cloud Inc. All Rights Reserved. [App GW] WAF Policy / 管理されているルール 21 Core Rules Set のバージョン を選択できます。理由がなけれ ば最新版で良い。 ルール毎の ON/OFF ができま すが、個別に防止と検出の設 定ができない。 ルールを無効化すると、観測で きなくなってしまうので正直不 便。 WafCharm を利用すれば こういう不便はない!
© Cyber Security Cloud Inc. All Rights Reserved. [App GW] WAF Policy / カスタムルール 22 優先度 1 - 100 でカスタマイズ ルールを最大100 個まで設定 することができる。 例えば優先度45 と 46 の間に ルールを突っ込もうと思うと並 び合う前後のルール全てを動 かす必要があってGUI でやる のは面倒だったりする。 ちなみにこの100 個という数字 だが、カスタムルールだけで十 分に強力な WAF を構成でき る。
© Cyber Security Cloud Inc. All Rights Reserved. App GW と Frontdoor の WAF 比較 23 App GW Frontdoor レートベース 無し 有り 管理されている ルール 細かいルールの除外設定がで きない 細かいルールの 除外設定が 可能 ポリシー設定 リクエストサイズ リクエストサイズやファイルサイ ズでの検知容易 リクエストサイズやファイルサイ ズでの検知可能 ポリシー設定 除外設定 簡単にできる できない(ルール毎に編集する 必要がある) 総括 簡単に設定できる 細かく設定できる
© Cyber Security Cloud Inc. All Rights Reserved. App GW と Frontdoor の WAF 比較 24 App GW Frontdoor レートベース 無し 有り 管理されている ルール 細かいルールの除外設定がで きない 細かいルールの 除外設定が 可能 ポリシー設定 リクエストサイズ リクエストサイズやファイルサイ ズでの検知容易 リクエストサイズやファイルサイ ズでの検知可能 ポリシー設定 除外設定 簡単にできる できない(ルール毎に編集する 必要がある) 総括 簡単に設定できる 細かく設定できる App GW の WAF も多機能な Frontdoor の WAF に進化していきそう。 レートベースの有無という違いはあるが、App GW と Frontdoor 自体の違いのほうが大きい。
© Cyber Security Cloud Inc. All Rights Reserved. WAF Policy と料金体系 25 WAF Policy プロビジョニング費用 ルールセット プロビジョニング費用 ルールセット 従量課金 カスタムルール プロビジョニング費用 カスタムルール 従量課金 560円/月 2,240円/月 112円/100万リクエスト 112円/月 67.2円/100万リクエスト Frontdoor と CDN (リージョンによる違いはない ) Application Gateway Application Gatewayのインスタンス料金に含まれてしまい、 WAF 単体での計算ができない! (参考までに)AWS WAF とほぼ同額
© Cyber Security Cloud Inc. All Rights Reserved. ToC 26 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
© Cyber Security Cloud Inc. All Rights Reserved. Core Rule Set 27 Mod Security の Core Rule Set がベースになっています。 2.2.9, 3.0, 3.1 のバージョンがある。 SQL インジェクションや XSS に対応するルールなど、 基本的に重要なシグネチャは揃っている。 ただし - 誤検知は多め - 個別脆弱性への網羅性は高くない なので CRS で実運用していくとなると、 カスタマイズが必須になってくるかと思われる。 困ったら WafCharm を使って欲しい!
© Cyber Security Cloud Inc. All Rights Reserved. [App GW] カスタムルールの構成 28 ルール名 優先度 条件(複数) 結果 重複する名前は設定できない。 1 - 100 の値を設定します。数字の小さい順に検査されていく。 IP アドレス、番号(数字)、文字列、Geo ロケーションで条件を設定できる。複数の条件 は AND で結合される。 許可する 拒否する 記録する => 詳細は次ページ
© Cyber Security Cloud Inc. All Rights Reserved. 優先度と結果の処理方法 29 優先度 10 条件 日本以外からのアクセス 結果 記録する 優先度 15 条件 /admin.php へのアクセス 結果 拒否する 優先度 17 条件 クエリが (?i)((true|1|W|),s… に マッチする 結果 拒否する 拒否!! 記録 結果が「許可する」「拒否する」であるルールにリクエストが該当した場合、そこ で WAF の検査はストップする。 結果が「記録する」の場合はログに書き出されるものの検査が止まらず、優先 度に基づいて検査が続く。
© Cyber Security Cloud Inc. All Rights Reserved. カスタムルールのサンプル 30 negateCondition で NOT 条件の指定ができたりする。 文字列は operator を使って、部分一致や前置一致などの条件で様々なパラ メータを検査することができる。 また transforms を使えば大文字小文字、URL デコードといった揺らぎを吸 収することができる。 検査結果がマッチしたらリクエストを拒否するという設定。 https://docs.microsoft.com/ja-jp/azure/web-application-firewall/ag/create-custom-waf-rules
© Cyber Security Cloud Inc. All Rights Reserved. ToC 31 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
© Cyber Security Cloud Inc. All Rights Reserved. WAF ログの保存 32 Storage Account Event Hubs Azure Monitor Log Analytics ファイルストレージ ファイル形式で行って時間間隔でログを 貯めることができる。 あまりログを利用することがなければ一 番安い。 ログストレージ 時系列でログデータが貯まる 長期保存になるとファイルストレージより も割高だが保存と利用のコストバランス が良い。 リアルタイムデータインジェストサービス リアルタイム性が一番高い。 必ずしも時系列順ではないなどストリー ムデータの特性を理解して使う必要があ る。 保存先というよりはデータの一次受け。 適切に組み合わせて使うことでコストベネフィットを最適化しましょう。
© Cyber Security Cloud Inc. All Rights Reserved. Azure DDoS Protection 33 特に設定しなくても Azure のリソースは DDoS Protection Basic によって守られてい る。ただし Standard だと保証がついていたりする。 https://docs.microsoft.com/ja-jp/azure/ddos-protection/ddos-protection-overview
© Cyber Security Cloud Inc. All Rights Reserved. WAF ログの可視化 Azure Monitor/Log Analytics 34 Azure Monitor はログの集積から、 ビジュアライズまで一貫して行えるサービス群。 歴史的経緯から機能の呼び名が分かりずらいので Azure Monitor についてよくあるご質問 は目を通すとよい。 リソースからの情報をログとメトリクスという形で保管し て、ダッシュボードやBookで可視化、さらには Insights として自動応答システムを組むことができる。 https://docs.microsoft.com/ja-jp/azure/azure-monitor/overview
© Cyber Security Cloud Inc. All Rights Reserved. Azure Monitor/Log Analytics のダッシュボード 35 ログというのが Kusto Query Language(KQL) を 使ってログを可視化することのでき るダッシュボード機能。
© Cyber Security Cloud Inc. All Rights Reserved. Azure Monitor/Log Analytics の Book 36 ブックというのは KQL を使って情報をビジュアライズ する仕組み。 こちらは自分で盛り盛りと素敵な BI ダッシュボードを作成するのもよい が、 Sentinel の WorkBook から WAF のテンプレートブックを活用し た方が圧倒的に楽。 Azure WAF との連携において、他 の項目は色々と使いこなしたくなっ てから調べるので良いと思う。
© Cyber Security Cloud Inc. All Rights Reserved. WAF ログの可視化 Sentinel/Workbook 37 Azure Sentinel 自体は SIEM + SOAR ということでシ ステムログの集積から監視、インシデント発見までを構 築するためのプラットフォーム。 収集から監視については WorkBook テンプレートを利 用して簡単に始められる。 インシデント発見についてもある程度はテンプレートとな る指標が用意されている。 まずはテンプレートから入って、徐々に自分たちの環境 に合わせてカスタマイズしていくのが良いのではない か。 (ドキュメント読んだだけだと具体的にヨクワカラナイ) https://docs.microsoft.com/ja-jp/azure/sentinel/overview
© Cyber Security Cloud Inc. All Rights Reserved. 余談、違いの分かりづらい3銃士 38 Sentinel Security Center Security Defender アップグレード CSPM, CWP, EDR クラウドの設定は安全ですか? VM や DB は安全ですか? ハイブリッドクラウド より多様な Azure リソースの管理 SIEM, SOAR 情報収集 インシデントの発見 通知 自動対応 情報収集 情報収集 アプリケーションログ アクセスログ etc, ...
© Cyber Security Cloud Inc. All Rights Reserved. WAF ログの可視化 Sentinel/Workbook 39 設定の仕方をブログにしたので参 考にしていただければ。 https://www.wafcharm.com/blo g/microsoft-azure-sentinel-azur e-waf-jp/ Sentinel は別途料金が発生する ので注意する必要がある。
© Cyber Security Cloud Inc. All Rights Reserved. ToC 40 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
© Cyber Security Cloud Inc. All Rights Reserved. WafCharm という名前を覚えて欲しい! 41 攻撃遮断くんで培ってきた運用経験や AI による攻撃発見技術をベースにした質の高いシグネチャ お客様の環境に合わせた無償のカスタマイズ(※ Business プラン以上) 400弱の AWS ユーザー(2020年12月時点)に選ばれているという実績 etc, ... 無料で始められる! https://www.wafcharm.com/
© Cyber Security Cloud Inc. All Rights Reserved. END 42 クレジット 本スライド作成にあたっては下記のウェブサイトで公開される素材を利用した。 freepick (https://stories.freepik.com/people)

Empfohlen

AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa
 
AWS WAF を活用しよう
AWS WAF を活用しようAWS WAF を活用しよう
AWS WAF を活用しよう
Yuto Ichikawa
 
jawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawajawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawa
Yuto Ichikawa
 
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmDevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
Yuto Ichikawa
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
 
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
Nobuhiro Nakayama
 
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないことnew AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
YOJI WATANABE
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?
YOJI WATANABE
 

Empfohlen

AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa
 
AWS WAF を活用しよう
AWS WAF を活用しようAWS WAF を活用しよう
AWS WAF を活用しよう
Yuto Ichikawa
 
jawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawajawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawa
Yuto Ichikawa
 
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmDevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
Yuto Ichikawa
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
 
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
Nobuhiro Nakayama
 
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないことnew AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
YOJI WATANABE
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?
YOJI WATANABE
 
Azure AD による Web API の 保護
Azure AD による Web API の 保護 Azure AD による Web API の 保護
Azure AD による Web API の 保護
junichi anno
 
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
Nobuhiro Nakayama
 
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Nobuhiro Nakayama
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
 
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
真吾 吉田
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Shinya Yamaguchi
 
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
Yasuhiro Horiuchi
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
junichi anno
 
AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13
YOJI WATANABE
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
Trainocate Japan, Ltd.
 
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
Trainocate Japan, Ltd.
 
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
Yusuke Kodama
 
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
Nobuhiro Nakayama
 
Azure Network 概要
Azure Network 概要Azure Network 概要
Azure Network 概要
Takeshi Fukuhara
 
VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味- VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味-
Mitsutaka Ohisa
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法
Yusuke Kodama
 
AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317
Ayumu Inaba
 
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
ripper0217
 
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日) Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
オラクルエンジニア通信
 
Oracle Cloud PaaS & IaaS:2019年3月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年3月度サービス情報アップデートOracle Cloud PaaS & IaaS:2019年3月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年3月度サービス情報アップデート
オラクルエンジニア通信
 
Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)
Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)
Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)
Takao Setaka
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive Directory
Suguru Kunii
 

Weitere ähnliche Inhalte

Was ist angesagt?

15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
Yasuhiro Horiuchi
 
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
Nobuhiro Nakayama
 
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
ripper0217
 

Was ist angesagt? (18)

Azure AD による Web API の 保護
Azure AD による Web API の 保護 Azure AD による Web API の 保護
Azure AD による Web API の 保護
 
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
 
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
 
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
 
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
 
AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
 
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
 
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
 
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
 
Azure Network 概要
Azure Network 概要Azure Network 概要
Azure Network 概要
 
VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味- VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味-
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法
 
AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317
 
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
 

Ähnlich wie Jazug_202102_csc_ichikawa

[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
オラクルエンジニア通信
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
オラクルエンジニア通信
 
V cd5.1 basichandson_v3
V cd5.1 basichandson_v3V cd5.1 basichandson_v3
V cd5.1 basichandson_v3
Yoshinori Sato
 

Ähnlich wie Jazug_202102_csc_ichikawa (20)

Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日) Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
 
Oracle Cloud PaaS & IaaS:2019年3月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年3月度サービス情報アップデートOracle Cloud PaaS & IaaS:2019年3月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年3月度サービス情報アップデート
 
Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)
Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)
Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive Directory
 
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
 
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016 AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あうセキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
 
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
 
170311 JAWS days 2017 fintech
170311 JAWS days 2017 fintech170311 JAWS days 2017 fintech
170311 JAWS days 2017 fintech
 
Security hub workshop
Security hub workshopSecurity hub workshop
Security hub workshop
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
 
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
 
Oracle Cloud Infrastructure 最新情報(Oracle Cloudウェビナーシリーズ: 2020年9月3日)
Oracle Cloud Infrastructure 最新情報(Oracle Cloudウェビナーシリーズ: 2020年9月3日)Oracle Cloud Infrastructure 最新情報(Oracle Cloudウェビナーシリーズ: 2020年9月3日)
Oracle Cloud Infrastructure 最新情報(Oracle Cloudウェビナーシリーズ: 2020年9月3日)
 
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像 MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
 
[Modern Cloud Day Tokyo 2019] ゼロから再設計したOracle Cloudのデータ保護戦略~7つの原則とその実装
[Modern Cloud Day Tokyo 2019] ゼロから再設計したOracle Cloudのデータ保護戦略~7つの原則とその実装[Modern Cloud Day Tokyo 2019] ゼロから再設計したOracle Cloudのデータ保護戦略~7つの原則とその実装
[Modern Cloud Day Tokyo 2019] ゼロから再設計したOracle Cloudのデータ保護戦略~7つの原則とその実装
 
AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)
 
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
 
V cd5.1 basichandson_v3
V cd5.1 basichandson_v3V cd5.1 basichandson_v3
V cd5.1 basichandson_v3
 

Jazug_202102_csc_ichikawa

  • 1. 本資料に記載された情報は株式会社サイバーセキュリティクラウド(以下 CSC)が信頼できると判断した情報源を元に CSCが作成したものですが、その内容および情 報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。 本資料に記載された内容は、資料作成時点において作 成されたものであり、予告なく変更する場合があります。 本資料はお客様限りで配布するものであり、 CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧 させ、また、複製、配布、譲渡することは堅く禁じられています。 本文およびデータ等の著作権を含む知的所有権は CSCに帰属し、事前に CSCの書面による承諾を 得ることなく、本資料に修正・加工することは堅く禁じられています。 Azure WAF を活用しよう WAF 自動運用サービス部 部長 市川悠人 第31回 Tokyo Jazug Night 株式会社サイバーセキュリティクラウド 〜WAF の解説から他サービスとの連携まで〜
  • 2. © Cyber Security Cloud Inc. All Rights Reserved. ToC 2 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  • 3. © Cyber Security Cloud Inc. All Rights Reserved. 自己紹介 3 市川悠人 株式会社サイバーセキュリティクラウド WAF 自動運用サービス部部長 ERPベンダーで AI と NLP に関する R&D や Web 開発のマネジメントを務める。 課題解決型の AI 人材ではなく、 課題発見型の人材になるべくキャリアチェンジ 2020年 株式会社サイバーセキュリティクラウド入社
  • 4. © Cyber Security Cloud Inc. All Rights Reserved. 4 会社概要 社  名 株式会社サイバーセキュリティクラウド 設  立 2010年8月 代 表 者 代表取締役社長 兼 CTO 渡辺 洋司 役  員 取締役 倉田 雅史(公認会計士) 社外取締役 伊倉 吉宣(弁護士) 社外取締役 石坂 芳男 常勤監査役 安田 英介(公認会計士) 社外監査役 泉 健太 社外監査役 村田 育生 資 本 金 6億5,855万円(資本準備金を含む) 事業内容 ・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供 ・サイバー攻撃の研究及びリサーチ ・AI技術の研究開発 2020年3月に東証マザーズに上場いたしました。
  • 5. © Cyber Security Cloud Inc. All Rights Reserved. CSCのメインプロダクト 5 Managed Rules for AWS WAF Web Application Firewall (WAF) 及びに WAF 関連サービス Azure WAF 関連製品
  • 6. © Cyber Security Cloud Inc. All Rights Reserved. ToC 6 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  • 7. © Cyber Security Cloud Inc. All Rights Reserved. WAF とは L7 の防御層 7 ファイアウォール IPS/IDS WAF Web サイト Web サービス 正常なアクセス Web アプリケーション層への攻撃 ソフトウェア/OSへの攻撃 インフラ/ネットワーク層への攻撃 クロスサイトスクリプティング SQL インジェクション ブルートフォースアタック etc, ...
  • 8. © Cyber Security Cloud Inc. All Rights Reserved. 攻撃通信の増加は衰えを知らない 8 (億件) 2020年サイバー攻撃関連通信 約5,001億件 ※出典:NICT NICTER 観測レポート2020(2021年2月16日公開)
  • 9. © Cyber Security Cloud Inc. All Rights Reserved. 杜撰なセキュリティ対策の露呈 WEB セキュリティによってヘッジできるリスク 9 - 信用失墜による顧客の退会 - サービス停止による売上の損失 - プライバシーマークなど認定の取消 - カード会社からのペナルティ - 取引先からの信頼失墜 - サプライチェーンからの締め出し - 会社ブランドの毀損 個人情報・クレジットカード情報の漏洩
  • 10. © Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 10 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年)
  • 11. © Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 11 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) HTTPヘッダーインジェクション LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSCインジェクション XPathインジェクション コマンドインジェクション 改行コードインジェクション メールヘッダ・インジェクション NULLバイトインジェクション チームでのセキュアコーディングの徹底 OSSの実装調査には限界がある。
  • 12. © Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐのが難しい攻撃の例 12 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) リスト型攻撃や、平文による通信で中間者攻撃され たりするのを WAF で防ぐのは難しい。 Storage Account の公開設定の不備など。 通信機器の設定不備など。 脆弱なセッション情報の保持機構などを使っている と WAF では防げないことがある。
  • 13. © Cyber Security Cloud Inc. All Rights Reserved. 忘れてはいけない重要な WAF の効果 13 攻撃コスト・リターン ローリターン ハイリターン ローコスト 狙われる 非常によく狙われる ハイコスト 狙われにくい 狙われる 攻撃者に対する セキュリティ対策してます!! というアピール OR
  • 14. © Cyber Security Cloud Inc. All Rights Reserved. ToC 14 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  • 15. © Cyber Security Cloud Inc. All Rights Reserved. WAF はエッジテクノロジーと連携 15 Application Gateway Frontdoor CDN エッジサービス Web サイト WAF Policy App Service Storage Account WAF v1 か WAF v2 という SKU のみ利用可能 エンドユーザー プレビュー版 WAF は、Application Gateway, Frontdoor, CDN と連携することで動作し、WAF Policy で実 際の防御ルールを設定できる。
  • 16. © Cyber Security Cloud Inc. All Rights Reserved. WAF 対応エッジテクノロジー 16 Application Gateway Web トラフィックロードバランサー - SSL 終端 - オートスケール - ゾーン冗長性 - 複数サイトホスティング - WAF - etc, ... SKU として - Standard V1 - Standard V2 - WAF V1 - WAF V2 が存在する。 Standard 系は WAF が使えない。 CDN エンド ユーザーに近いポイントオブプレゼンス (POP) の場所のエッジサーバーに、静的コン テンツをキャッシュして分散配信する仕組み ドキュメントからは動的サイトアクセラレーション 機能があるように読めるが、 Frontdoor を利 用しているとのこと。 Frontdoor 最適なルーティングでクライアントから最も近い 配信拠点を選択して応答。地理的に広い範囲 から高いトラフィックが想定されるなら使いた い。 比較的高価なので、状況によって利用の判断 をしたい。 Frontdoor Frontdoor Standard Frontdoor Premium の SKU に分けられる コンテンツ配信 ロードバランサー
  • 17. © Cyber Security Cloud Inc. All Rights Reserved. (New)Frontdoor のサービス範囲に変化 17 最近のアップデートでサービスの機能範囲に変化あ り。 https://docs.microsoft.com/en-us/azure/frontdoor/standard-premium/tier-comparison
  • 18. © Cyber Security Cloud Inc. All Rights Reserved. WAF の適用例 18 Application Gateway Frontdoor リージョンを跨ぐサービスをエッジで守る ロードバランサで守る
  • 19. © Cyber Security Cloud Inc. All Rights Reserved. WAF Policy とは WAF のルールや設定を 入れる箱。 Application Gateway, Frontdoor 用の 2種類の WAF Policy がある。 WAF Policy A Application Gateway A Application Gateway B Frontdoor A Frontdoor B Listener 2 Listener 3 WAF Policy B WAF Policy C 1つの WAF Policy を複数の リソースに紐付けできる。 Listener 1
  • 20. © Cyber Security Cloud Inc. All Rights Reserved. [App GW] WAF Policy / ポリシー設定 20 検出モードだと一切攻撃を止め ません。導入の際の動作確認 時に使う。 特定のヘッダーパラメータや Cookie 名を検査対象外すこと ができる。 Body を検査対象とするか。 リクエストのサイズで大きすぎる ものを弾くための設定です。基 本的にはデフォルト値で十分。
  • 21. © Cyber Security Cloud Inc. All Rights Reserved. [App GW] WAF Policy / 管理されているルール 21 Core Rules Set のバージョン を選択できます。理由がなけれ ば最新版で良い。 ルール毎の ON/OFF ができま すが、個別に防止と検出の設 定ができない。 ルールを無効化すると、観測で きなくなってしまうので正直不 便。 WafCharm を利用すれば こういう不便はない!
  • 22. © Cyber Security Cloud Inc. All Rights Reserved. [App GW] WAF Policy / カスタムルール 22 優先度 1 - 100 でカスタマイズ ルールを最大100 個まで設定 することができる。 例えば優先度45 と 46 の間に ルールを突っ込もうと思うと並 び合う前後のルール全てを動 かす必要があってGUI でやる のは面倒だったりする。 ちなみにこの100 個という数字 だが、カスタムルールだけで十 分に強力な WAF を構成でき る。
  • 23. © Cyber Security Cloud Inc. All Rights Reserved. App GW と Frontdoor の WAF 比較 23 App GW Frontdoor レートベース 無し 有り 管理されている ルール 細かいルールの除外設定がで きない 細かいルールの 除外設定が 可能 ポリシー設定 リクエストサイズ リクエストサイズやファイルサイ ズでの検知容易 リクエストサイズやファイルサイ ズでの検知可能 ポリシー設定 除外設定 簡単にできる できない(ルール毎に編集する 必要がある) 総括 簡単に設定できる 細かく設定できる
  • 24. © Cyber Security Cloud Inc. All Rights Reserved. App GW と Frontdoor の WAF 比較 24 App GW Frontdoor レートベース 無し 有り 管理されている ルール 細かいルールの除外設定がで きない 細かいルールの 除外設定が 可能 ポリシー設定 リクエストサイズ リクエストサイズやファイルサイ ズでの検知容易 リクエストサイズやファイルサイ ズでの検知可能 ポリシー設定 除外設定 簡単にできる できない(ルール毎に編集する 必要がある) 総括 簡単に設定できる 細かく設定できる App GW の WAF も多機能な Frontdoor の WAF に進化していきそう。 レートベースの有無という違いはあるが、App GW と Frontdoor 自体の違いのほうが大きい。
  • 25. © Cyber Security Cloud Inc. All Rights Reserved. WAF Policy と料金体系 25 WAF Policy プロビジョニング費用 ルールセット プロビジョニング費用 ルールセット 従量課金 カスタムルール プロビジョニング費用 カスタムルール 従量課金 560円/月 2,240円/月 112円/100万リクエスト 112円/月 67.2円/100万リクエスト Frontdoor と CDN (リージョンによる違いはない ) Application Gateway Application Gatewayのインスタンス料金に含まれてしまい、 WAF 単体での計算ができない! (参考までに)AWS WAF とほぼ同額
  • 26. © Cyber Security Cloud Inc. All Rights Reserved. ToC 26 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  • 27. © Cyber Security Cloud Inc. All Rights Reserved. Core Rule Set 27 Mod Security の Core Rule Set がベースになっています。 2.2.9, 3.0, 3.1 のバージョンがある。 SQL インジェクションや XSS に対応するルールなど、 基本的に重要なシグネチャは揃っている。 ただし - 誤検知は多め - 個別脆弱性への網羅性は高くない なので CRS で実運用していくとなると、 カスタマイズが必須になってくるかと思われる。 困ったら WafCharm を使って欲しい!
  • 28. © Cyber Security Cloud Inc. All Rights Reserved. [App GW] カスタムルールの構成 28 ルール名 優先度 条件(複数) 結果 重複する名前は設定できない。 1 - 100 の値を設定します。数字の小さい順に検査されていく。 IP アドレス、番号(数字)、文字列、Geo ロケーションで条件を設定できる。複数の条件 は AND で結合される。 許可する 拒否する 記録する => 詳細は次ページ
  • 29. © Cyber Security Cloud Inc. All Rights Reserved. 優先度と結果の処理方法 29 優先度 10 条件 日本以外からのアクセス 結果 記録する 優先度 15 条件 /admin.php へのアクセス 結果 拒否する 優先度 17 条件 クエリが (?i)((true|1|W|),s… に マッチする 結果 拒否する 拒否!! 記録 結果が「許可する」「拒否する」であるルールにリクエストが該当した場合、そこ で WAF の検査はストップする。 結果が「記録する」の場合はログに書き出されるものの検査が止まらず、優先 度に基づいて検査が続く。
  • 30. © Cyber Security Cloud Inc. All Rights Reserved. カスタムルールのサンプル 30 negateCondition で NOT 条件の指定ができたりする。 文字列は operator を使って、部分一致や前置一致などの条件で様々なパラ メータを検査することができる。 また transforms を使えば大文字小文字、URL デコードといった揺らぎを吸 収することができる。 検査結果がマッチしたらリクエストを拒否するという設定。 https://docs.microsoft.com/ja-jp/azure/web-application-firewall/ag/create-custom-waf-rules
  • 31. © Cyber Security Cloud Inc. All Rights Reserved. ToC 31 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  • 32. © Cyber Security Cloud Inc. All Rights Reserved. WAF ログの保存 32 Storage Account Event Hubs Azure Monitor Log Analytics ファイルストレージ ファイル形式で行って時間間隔でログを 貯めることができる。 あまりログを利用することがなければ一 番安い。 ログストレージ 時系列でログデータが貯まる 長期保存になるとファイルストレージより も割高だが保存と利用のコストバランス が良い。 リアルタイムデータインジェストサービス リアルタイム性が一番高い。 必ずしも時系列順ではないなどストリー ムデータの特性を理解して使う必要があ る。 保存先というよりはデータの一次受け。 適切に組み合わせて使うことでコストベネフィットを最適化しましょう。
  • 33. © Cyber Security Cloud Inc. All Rights Reserved. Azure DDoS Protection 33 特に設定しなくても Azure のリソースは DDoS Protection Basic によって守られてい る。ただし Standard だと保証がついていたりする。 https://docs.microsoft.com/ja-jp/azure/ddos-protection/ddos-protection-overview
  • 34. © Cyber Security Cloud Inc. All Rights Reserved. WAF ログの可視化 Azure Monitor/Log Analytics 34 Azure Monitor はログの集積から、 ビジュアライズまで一貫して行えるサービス群。 歴史的経緯から機能の呼び名が分かりずらいので Azure Monitor についてよくあるご質問 は目を通すとよい。 リソースからの情報をログとメトリクスという形で保管し て、ダッシュボードやBookで可視化、さらには Insights として自動応答システムを組むことができる。 https://docs.microsoft.com/ja-jp/azure/azure-monitor/overview
  • 35. © Cyber Security Cloud Inc. All Rights Reserved. Azure Monitor/Log Analytics のダッシュボード 35 ログというのが Kusto Query Language(KQL) を 使ってログを可視化することのでき るダッシュボード機能。
  • 36. © Cyber Security Cloud Inc. All Rights Reserved. Azure Monitor/Log Analytics の Book 36 ブックというのは KQL を使って情報をビジュアライズ する仕組み。 こちらは自分で盛り盛りと素敵な BI ダッシュボードを作成するのもよい が、 Sentinel の WorkBook から WAF のテンプレートブックを活用し た方が圧倒的に楽。 Azure WAF との連携において、他 の項目は色々と使いこなしたくなっ てから調べるので良いと思う。
  • 37. © Cyber Security Cloud Inc. All Rights Reserved. WAF ログの可視化 Sentinel/Workbook 37 Azure Sentinel 自体は SIEM + SOAR ということでシ ステムログの集積から監視、インシデント発見までを構 築するためのプラットフォーム。 収集から監視については WorkBook テンプレートを利 用して簡単に始められる。 インシデント発見についてもある程度はテンプレートとな る指標が用意されている。 まずはテンプレートから入って、徐々に自分たちの環境 に合わせてカスタマイズしていくのが良いのではない か。 (ドキュメント読んだだけだと具体的にヨクワカラナイ) https://docs.microsoft.com/ja-jp/azure/sentinel/overview
  • 38. © Cyber Security Cloud Inc. All Rights Reserved. 余談、違いの分かりづらい3銃士 38 Sentinel Security Center Security Defender アップグレード CSPM, CWP, EDR クラウドの設定は安全ですか? VM や DB は安全ですか? ハイブリッドクラウド より多様な Azure リソースの管理 SIEM, SOAR 情報収集 インシデントの発見 通知 自動対応 情報収集 情報収集 アプリケーションログ アクセスログ etc, ...
  • 39. © Cyber Security Cloud Inc. All Rights Reserved. WAF ログの可視化 Sentinel/Workbook 39 設定の仕方をブログにしたので参 考にしていただければ。 https://www.wafcharm.com/blo g/microsoft-azure-sentinel-azur e-waf-jp/ Sentinel は別途料金が発生する ので注意する必要がある。
  • 40. © Cyber Security Cloud Inc. All Rights Reserved. ToC 40 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  • 41. © Cyber Security Cloud Inc. All Rights Reserved. WafCharm という名前を覚えて欲しい! 41 攻撃遮断くんで培ってきた運用経験や AI による攻撃発見技術をベースにした質の高いシグネチャ お客様の環境に合わせた無償のカスタマイズ(※ Business プラン以上) 400弱の AWS ユーザー(2020年12月時点)に選ばれているという実績 etc, ... 無料で始められる! https://www.wafcharm.com/
  • 42. © Cyber Security Cloud Inc. All Rights Reserved. END 42 クレジット 本スライド作成にあたっては下記のウェブサイトで公開される素材を利用した。 freepick (https://stories.freepik.com/people)