[レポート]AWS WAFを活用したクラウドセキュリティ入門 #devio2022

サイバーセキュリティクラウド黒田さんにご登壇いただいたセッションをレポートしました。セッション動画はYouTubeにてどなたでも閲覧可能です。
2022.08.18

みなさん、こんにちは。

AWS事業本部コンサルティング部の芦沢(@ashi_ssan)です。

本記事は2022年7月19日〜29日開催の技術カンファレンス「DevelopersIO 2022」の動画セッションレポートとなります。

動画はYoutube上で公開されていますので、詳細はこちらをチェックしてください。

動画

セッション概要

概要

サイバー攻撃の現状からWAFそのものの概念、ならびにサイバーセキュリティクラウドが提供する各種サービスについてご紹介。

スピーカー

黒田 浩明 氏 株式会社サイバーセキュリティクラウド WAF自動運用サービス部 部長

レポート

サイバー攻撃の現状

  • 1IPアドレスあたり1日に約6,506件ものwebスキャンを含む不正アクセスが確認できている(警視庁のデータより)
  • 情報漏洩による平均損害賠償額は1件あたり6億円
  • サイバー攻撃による被害・損害事例
    • 都税支払サイトへの不正アクセスにより情報漏洩
      • 株価が1000円下落でストップ安 → 損害賠償額は約6億1661万円
    • 東京オリンピック・パラリンピック大会組織委員会のHPへDDoS攻撃
      • 12時間にわたりホームページが閲覧不能 → ブランドイメージの低下、機会損失
  • Webセキュリティによってヘッジできるリスク
    • 個人情報・クレジットカード情報の漏洩
    • 杜撰なセキュリティ対策の露呈

WAFについて

  • L7の防御層(アプリケーションレイヤーへの攻撃に対する防御)
    • IPアドレスによる区別では対策しづらい
    • Webリクエストの中身を見て対策する(クロスサイトスクリプティング、SQLインジェクションなどよく知られた脆弱性に対する攻撃)
  • WAFで防ぐことのできる攻撃
    • OWASP Top10よりインジェクション(HTTPヘッダーインジェクション、SQLインジェクションなど)
    • これらはチームでのセキュアコーディングやOSSの実装調査では限界がある
    • そこでWAFに出番がある

AWS WAFについて解説

  • AWS WAFの特徴
    • サードパーティ提供のルールを購入利用できる
    • 従量課金 & スケーラブル
    • AWSのエコシステムの一部であること
  • AWSの中でのWAFの位置付け
    • エッジネットワークサービス(ALB、CloudFront、API Gateway、AppSync)との連携
  • WAF対応サービス
    • ALB(ロードバランサー)
    • CLoudFront(CDN)
    • API Gateway(マネージドなAPIゲートウェイサービス)
    • AppSync(GraphQLに特化したマネージドなAPI ゲートウェイサービス)
  • Web ACLとは
    • WAFのルールや設定を入れる箱
    • グローバル(CloudFront)用、非グローバル用のWev ACLがある
    • 1つのWeb ACLに複数のリソースを紐つけできる
  • WebACLの概念
    • Web ACLの中にはルールやルールグループ(ルールを束ねたもの)が複数入っている
    • ルールにはStatement(マッチング条件)とAction(どうするか)が設定されている
      • Statementの例:bodyが正規条件に一致したら、など
      • Actionの例:Blockする、など
  • ルールの優先度
    • 優先度が低いものから順にマッチングがトライされる
    • アクションが「Allow」「Block」のあるルールに該当した場合、WAFの検査がストップする
    • 結果が「Count」の場合はログに書き出されるが検査は止まらない、後続に検査が続く
  • ラベル機能
    • ルールにラベルをつけるのではなく、アクセスに対してラベルをつける機能
    • 付与されたラベルをもとに後続のルールで条件を設定できる
    • 複数のルールにまたがる共有の前提条件として利用すると便利
  • カスタムヘッダー / カスタムレスポンス
    • 検知したアクセスにカスタムリクエストヘッダーを付与できる
    • ブロックした場合、ルールごとにレスポンス内容をカスタマイズできる
  • ログ取得方法
    • Blockしたリクエスト情報の詳細はWAFログを参照して確認できる
    • S3直接出力、Kinesis Firehose経由、CloudWatchに連携しログ出力できる
    • リアルタイム性を重視するならコストはかかるがKinesis経由が適している
  • Web ACLの料金体系
    • Web ACLプロビジョニング費用:5.00 USD/月
    • ルール費用:1.00 USD/月
    • リクエスト従量課金:0.60 USD/100万リクエスト
    • 具体例)月に1億リクエストがある場合で、ルールを自己管理する最安利用想定
      • 5 USD(1 Web ACL) +
      • 20 USD(最低限の数として20個のルールを仮定) +
      • 60 USD(アクセス数) =
      • 85 USD/月
    • 無償のルールを使いこなすのが難しい場合は、有償のマネージドルールやルール運用サービスを併用するコストを見込む必要もある

WafCharmの紹介

  • WAF運用上の課題
    • 誤検知発生時の対応がわからない
    • 導入時の自社環境の脆弱性を相談できる相手がいない
    • 新たに登場する個別の脆弱性の対応が難しい
  • WafCharm(WAF自動運用サービス)
    • AWS WAFのルール運用を最適化させるサービス
    • WAFを運用する専任のセキュリティエンジニアの工数削減
    • 現在、日本および米国にて提供(今後グローバル展開を見込む)

まとめ

サイバーセキュリティクラウド黒田さんによる「AWS WAFを活用したクラウドセキュリティ入門」のセッションについてまとめました。

サイバー攻撃の現状から一般的なWAF、AWS WAFについての詳しい解説がされていてこれからクラウドセキュリティを学ぶ方にピッタリなセッションであると感じました。

最後に紹介のあったWAF自動運用サービスのWafCharmについては、弊社が提供するAWS総合支援サービス「クラスメソッドメンバーズ」の契約者の方々に対しエントリープランを現在無償で提供しております。

本セッションおよび本エントリをきっかけに、AWS WAFを使ってみたい、WafCharmを試してみたいと思われた方はお気軽にクラスメソッドまでお問い合わせください。

以上、AWS事業本部コンサルティング部の芦沢(@ashi_ssan)でした。