この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
WAFの位置づけ
AWS WAFが発表されたとき、セキュリティベンダーが一瞬ざわついたかと思います。しかし、AWS WAFの機能や位置づけが紹介されてくるにつれ、中身を良く理解し、それぞれのセキュリティベンダーのポジションを考える良い機会となりました。今回は、トレンドマイクロのDeep Securityにフォーカスついてご紹介したいと思います。
OSI参照モデル
情報処理試験で最初に学ぶ誰もが知っている言葉ですね。コンピュータなどの通信機器が異機種間で通信をするために持つべき機能を7階層に分けています。ISO規格やITU-T勧告で定められています。
AWS WAFの動作
AWS WAFは、CloudFrontへの全てのリクエストに対して、ルールに基づいた評価を行い、通信を継続するかドロップするか判定します。IP、HTTP/Sについて用いることができます。これにより、SQLインジェクション、クロスサイトスクリプティング(XSS)など、一般的なWeb攻撃をブロックすることができます。そして、利用者はこれらをカスタマイズすることができます。言い換えれば、AWS WAFが何もかもよろしくやってくれるわけではなく、ある程度自ら考えて設定する必要があるのではと思います。例えば、IPレピュテーションなどは、怪しいヤツからの連絡自体を拒否するという強いブロックです。
OWASP TOP 10 (2013)
OWASP TOP 10では、最近のWebアプリケーションにおけるありがちな脆弱性について公開しています。これらをざっくり押さえておくことで、セキュリティリスクを減らすことができるかもしれません。
| ランク | 名前 | 例 |
| A1 | インジェクション | SQL、OS、LDAP等 |
| A2 | 認証とセッション管理の不備 | パスワード、鍵、トークン |
| A3 | クロスサイトスクリプティング | エスケープ漏れによるWeb改ざん |
| A4 | 安全でないオブジェクトの直接参照 | DB名など内部情報が意図せず見える |
| A5 | セキュリティの設定ミス | デフォルト設定のまま |
| A6 | 機密データの露出 | 個人情報、クレジットカード番号 |
| A7 | 機能レベルアクセス制御の欠落 | 管理者UIが見える |
| A8 | クロスサイトリクエストフォージェリ | 偽造HTTPリクエスト |
| A9 | 既知の脆弱性を持つコンポーネントの使用 | メンテされてないアプリの利用 |
| A10 | 未検証のリダイレクトとフォワード | フィッシング、マルウェアサイト |
Deep Security
トレンドマイクロのDeep Securityは、OSI参照モデルにおける、4,5,6層をチェックするソフトウェアです。AWSは、今まで1,2,3層を見ていました。そして、AWS WAFによって、7層を見るようになりました。
まとめ
AWS WAFが出た時、「これだけでいいんじゃない?」と思った方も多い方も多いかと思います。しかし、そんなに簡単なことでもなく、様々な攻撃パターンを理解したうえで、取るべきアクションを選択する必要があります。Deep Securityをはじめさまざまなセキュリティベンダーは、日々更新される様々な攻撃に対して対策を打っています。これら専門ベンダーのツールと、AWSが提供する基本サービスを組み合わせることで、より安全なWebアプリケーションを運用できるかと思います。フルスタックに防御する考え方を押さえておきましょう!!
参考資料
OWASP Top 10 2013 - Japanese (PDF)
14
