AWS WAF 全機能解説 @2021夏（文字化けあり）

本資料に記載された情報は株式会社サイバーセキュリティクラウド（以下
CSC）が信頼できると判断した情報源を元に
CSCが作成したものですが、その内容および情
報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。
本資料に記載された内容は、資料作成時点において作
成されたものであり、予告なく変更する場合があります。
本資料はお客様限りで配布するものであり、
CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧
させ、また、複製、配布、譲渡することは堅く禁じられています。本文およびデータ等の著作権を含む知的所有権は
CSCに帰属し、事前に
CSCの書面による承諾を
得ることなく、本資料に修正・加工することは堅く禁じられています。
AWS WAF 全機能解説@2021夏
WAF 自動運用サービス部部長市川悠人
株式会社サイバーセキュリティクラウド
アイレットエンジニアと学ぶ技術勉強会
『iret tech labo』#11

© Cyber Security Cloud Inc. All Rights Reserved.
ToC
2
1. 自己紹介/会社紹介
2. WAF の機能と必要性
3. AWS WAF の機能紹介
4. AWS WAF 関連

自己紹介
3
市川悠人
株式会社サイバーセキュリティクラウド
WAF 自動運用サービス部部長
ERPベンダーで AI と NLP に関する R&D や
Web 開発のマネジメントを務める。
課題解決型の AI 人材ではなく、
課題発見型の人材になるべくキャリアチェンジ
2020年
株式会社サイバーセキュリティクラウド入社

© Cyber Security Cloud Inc. All Rights Reserved. 4
会社概要
社　名株式会社サイバーセキュリティクラウド
設　立 2010年8月
代表者代表取締役社長兼 CEO 小池敏弘
　　　代表取締役 CTO 　　　渡辺洋司
役　員
取締役 CFO 倉田雅史（公認会計士）
社外取締役伊倉吉宣（弁護士）
社外取締役石坂芳男
常勤監査役関大地（公認会計士）
社外監査役泉健太
社外監査役村田育生
資本金 6億5,855万円（資本準備金を含む）
事業内容・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供
・サイバー攻撃の研究及びリサーチ
・AI技術の研究開発
2020年3月に東証マザーズに上場いたしました。

CSCのメインプロダクト
5
Managed Rules
for AWS WAF
Web Application Firewall (WAF) 及びに WAF 関連サービス
AWS WAF 関連製品

ToC
6
4. AWS WAF 関連

WAF とは L7 の防御層
7
ファイアウォール IPS/IDS WAF
Web サイト
Web サービス
正常なアクセス
Web アプリケーション層への攻撃
ソフトウェア/OSへの攻撃
インフラ/ネットワーク層への攻撃
クロスサイトスクリプティング
SQL インジェクション
ブルートフォースアタック
etc, ...

攻撃被害は他人事ではない！その１
8
（億件）
2020年サイバー攻撃関連通信
約5,001億件
※出典：NICT NICTER 観測レポート2020（2021年2月16日公開）

攻撃被害は他人事ではない！その２
9
2021年のとあるアメリカのインフラ事故
ターゲット
（大企業、官公庁）
調達先
攻撃により改竄
取得した情報で
システムダウン
水飲み場攻撃
により情報漏洩
ダークウェブで
サプライチェーン情報を購入
1
2
3
4
大型顧客からの信頼失墜の可能性アリ https://digitalforensic.jp/2021/07/05/column672/

WAF で防ぐことのできる攻撃
10
- インジェクション
- 認証不備
- 機密データの露出
- XXE
- アクセスコントロールの不備
- セキュリティ設定不備
- XSS
- 安全でないデシリアライゼーション
- コンポーネントの既知の脆弱性（ゼロデイ攻撃含む）
- 十分でない監視とロギング（WAFが監視とロギングも担う）
OWASP Top 10 (最新版 2017年)

WAF で防ぐことのできる攻撃
11
- 認証不備
- XXE
- XSS
HTTPヘッダーインジェクション
LDAPインジェクション
OSコマンドインジェクション
SQLインジェクション
SSCインジェクション
XPathインジェクション
コマンドインジェクション
改行コードインジェクション
メールヘッダ・インジェクション
NULLバイトインジェクション
チームでのセキュアコーディングの徹底
OSSの実装調査には限界がある。

WAF で防ぐのが難しい攻撃の例
12
- 認証不備
- XXE
- XSS
リスト型攻撃や、平文による通信で中間者攻撃され
たりするのを WAF で防ぐのは難しい。
Storage Account の公開設定の不備など。
通信機器の設定不備など。
脆弱なセッション情報の保持機構などを使っている
と WAF では防げないことがある。

忘れてはいけない重要な WAF の効果
13
攻撃コスト・リターンローリターンハイリターン
ローコスト狙われる非常によく狙われる
ハイコスト狙われにくい狙われる
攻撃者に対する
セキュリティ対策してます！！
というアピール
OR

ToC
14
4. AWS WAF 関連

AWS エコシステム x AWS WAF
15
ALB
CloudFront
AppSync
エッジ/ネットワークサービス Web サイト
Web ACL
エンドユーザー
Web ACL を対応するエッジ/ネットワークサービ
スに紐づけると WAF が機能する。
API Gateway

WAF 対応サービス
16
アプリケーションロードバランサー
負荷分散、スティッキーセッション、ユーザー認証、
http-desync 防御 ...
CDN
Lambda Edge や CloudFront Function といった
機能でエッジでのコンピュテーションも可能
マネージドな API ゲートウェイサービス
APIのライフサイクル管理や CloudWatch 連携によ
るモニタリングなどが可能
GraphQL に特化したマネージドな API ゲートウェ
イサービス
ALB CloudFront
AppSync
API Gateway

新旧バージョンが存在
17
AWS WAF Classic
新規機能追加なし。ルール数や種別の制限が多い。
今回の説明に含めない。
AWS WAF
頻繁に更新があって新機能が追加されている。
今回の説明対象。 NEW 
OLD

Web ACL とは
WAF のルールや設定を
入れる箱。
Web ACL A ALB A
API Gateway A
CloudFront A
CloudFront B
Web ACL B
Web ACL D
１つの Web ACL を複数の
リソースに紐付けできる。
ALB B
Web ACL C
１つの対象に複数の
Web ACL をアタッチする
ことはできない
グローバル(CloudFront)用
非グローバル用
２種類の Web ACL がある。
18

Web ACL の料金体系
19
Web ACL
プロビジョニング費用
ルール
プロビジョニング費用
リクエスト
従量課金
5.00 USD/月 1.00 USD/月 0.60
USD/100万リクエスト
（具体例）ある Web サイトに月１億アクセスが来る場合で、
ルールを自己管理という最安構成。
5 USD (1 Web ACL) +
20 USD (最低限の数として20個のルールを仮定) +
60 USD (リクエスト) =
85 USD/月
無償のルールを使いこなすのは非常に難しいので、別途WafCharm か
有償のマネージドルールを利用するのが一般的です。

ログの取得方法
20
Kinesis Firehose 経由でログを取得可能。
リアルタイム志向のサービスなので
用途によってはオーバースペックに感じるかもしれない。
<>
s3
http endpoint
Elastic Search
Web ACL KInesis
Firehose

ルール条件一覧
21
内容説明
IP アドレス CIDR 形式の IP アドレス。IP Set というリソースと関連付く。（後ほど説明）
文字列マッチ文字列の完全一致、文頭文尾一致
正規表現 RegexPatternSet というリソースと関連付く。（後ほど説明）
レートベース IPアドレス毎の５分間でのアクセス数で検知
Geo ロケーション AWS の判定によるアクセス元の国で検知
サイズ制約対象のサイズで検知
ラベルラベルが付与されたアクセスを検知。（後ほど説明）
SQLi, XSS SQL インジェクション、クロスサイトスクリプティングの攻撃を検知
対象
ヘッダー
クエリパラメータ
ボディ
URI パス
メソッド

WAF 関連リソース概念図
22
Web ACL 1
RegexPatternSet 1
IP Set 1
RuleGroup 1
Rules
Rule 1
Rule 2
priority 0
priority 1
Rule 3
priority 2
Rules
Rule 4
Rule 5
priority 0
priority 1
Rule 6
priority 1
リージョン A

ルール優先度
23
優先度
0
条件
日本以外からのアクセス
アクション
Count
優先度
1
条件
/admin.php へのアクセス
アクション
Block
優先度
2
条件
クエリが (?i)((true|1|W|),s… に
マッチする
アクション
Block
拒否！！
記録
アクションが「Allow」「Block」であるルールにリクエストが該当した場合、そこ
で WAF の検査はストップする。
結果が「Count」の場合はログに書き出されるものの検査が止まらず、優先度
に基づいて検査が続く。

ラベル
24
優先度
0
条件
日本以外からのアクセス
アクション
Count かつ
“foregin” ラベル付与
優先度
1
条件
/admin.php へのアクセス　か
つ “foreign” ラベル付き
アクション
Block
優先度
2
条件
クエリが (?i)((true|1|W|),s… に
マッチする
アクション
Block
拒否！！
記録
ルールにラベルをつける機能ではなく、
アクセスに対してラベルを付与する機能。
付与されたラベルを元に後段のルールで条件を設計できる。
複数のルールにまたがる共通の前提条件として利用すると便利。

カスタムヘッダー、カスタムレスポンス
25
検知したアクセスにカスタムリクエスト
ヘッダーを付与できる。
分析やルーティングに利用できる。
セキュリティ上の観点でルーティングする
というのは、かなり高度な使い方ではあ
る。
ブロックした場合、ルールごとにレスポン
スを設計できる。デフォルトは 403。
CSC としては WAF でブロックした場合
とそうでない場合でレスポンスを分けるこ
とは推奨しない。
カスタムヘッダーカスタムレスポンス
ヘッダー情報

AWS 提供マネージドルールセット
26
Core rule set (CRS) PHP application
Admin protection WordPress application
Known bad inputs Amazon IP reputation list
SQL database Anonymous IP list
Linux operating system AWS WAF Bot Control
POSIX operating system
Windows operating system
有償
汎用性高い
IP レピュテーション
無料だが質はちゃんとしている

3rd party 提供マネージドルールセット（eg. CSC）
27

ToC
28
4. AWS WAF 関連

AWS WAF と合わせて使いたい
29
AWS Shield
AWS での無償・有償の DDoS 対策
Amazon Inspector
AWS上にデプロイされたアプリケーションの⾃動セキュリティ評価
AWS Network Firewall
ステートフルなマネージドネットワークファイアウォール

WAF 運用上の課題
30
誤検知発生時の際の対応が分からない
- 防御力と誤検知率のバランスとれた判断は難しい
導入時に自社環境の脆弱性を相談できる相手がいない
- 脆弱性をカバーするマネージドルールは存在しないかもしれない
新たに登場する個別の脆弱性には対応は難しい
- 脆弱性を追跡し、脅威を判断し、対策するのは専門家でなければ難
しい
WafCharm をご検討ください！

ホームページにて課題を解決されている
ユーザー様の声を掲載しております。
https://www.wafcharm.com/

WafCharm x AWS WAF
226
多くの企業様に信頼されています
有償利用ユーザー数 (2020年1Q) (2021年1Q)
471

END
33
クレジット
本スライド作成にあたっては下記のウェブサイトで公開される素材を利用した。
freepick (https://stories.freepik.com/people)

AWS WAF 全機能解説 @2021夏（文字化けあり）

More Related Content

What's hot

Similar to AWS WAF 全機能解説 @2021夏（文字化けあり）

AWS WAF 全機能解説 @2021夏（文字化けあり）