DevSecOps 時代の WafCharm

本資料に記載された情報は株式会社サイバーセキュリティクラウド（以下CSC）が信頼できると判断した情報源を元にCSCが作成したものですが、その内容および情
報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。本資料に記載された内容は、資料作成時点において作
成されたものであり、予告なく変更する場合があります。本資料はお客様限りで配布するものであり、CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧
させ、また、複製、配布、譲渡することは堅く禁じられています。本文およびデータ等の著作権を含む知的所有権はCSCに帰属し、事前にCSCの書面による承諾を
得ることなく、本資料に修正・加工することは堅く禁じられています。
DevSecOps 時代の
株式会社サイバーセキュリティクラウド
WAF 自動運用サービス部部長市川悠人
最終更新
2020年8月26日

1. 会社概要
2. DevSecOps とは
3. Web Application Firewall (WAF) とは
4. WafCharm とは

© Cyber Security Cloud Inc. All Rights Reserved.
講師紹介
3
市川悠人
株式会社サイバーセキュリティクラウド
WAF 自動運用サービス部部長
東京大学理学部卒。大学院ではバイオインフォマ
ティクスを専攻。
ERPベンダーで AI と NLP に関する R&D や
Web 開発のマネジメントを務める。
2020年
株式会社サイバーセキュリティクラウド入社山に登ります

© Cyber Security Cloud Inc. All Rights Reserved. 5
会社概要
社　名株式会社サイバーセキュリティクラウド
設　立 2010年8月
代表者代表取締役大野暉
役　員
取締役CTO 渡辺洋司
取締役倉田雅史（公認会計士）
社外取締役伊倉吉宣（弁護士）
社外取締役石坂芳男
常勤監査役安田英介（公認会計士）
社外監査役泉健太
社外監査役村田育生
資本金 6億2,930万円（資本準備金を含む）
事業内容・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供
・サイバー攻撃の研究及びリサーチ
・AI技術の研究開発
2020年3月に東証マザーズに上場いたしました。

CSCのメインプロダクト
6
Managed Rules
for AWS WAF
Web Application Firewall (WAF) 及びに WAF 関連サービス

DevOps とは
Operate
Monitor
Code
Plan
Release Test
Deploy Build
DevOps

DevSecOps とは
アジリティとセキュリティの両立
機密性 Confidentiality
完全性 Integrity
可用性 Availability
Operate
Monitor
Code
Plan
Release Test
Deploy Build
DevOps ＋
　　　　セキュリティ

DevSecOps の要件
要件
- ライブラリ含むソースコードの安全性
- 包括的なプロダクトの安全性
- 精度（コストとのジレンマ）
- 自動化
- 継続
- 開発生産性の維持

DevSecOps の要件、課題
要件
- 自動化
- 継続
課題
- 高度なセキュリティ知識
- 高度なインフラ知識
- 導入＆運用コスト

DevSecOps の要件、課題、ソリューション
要件
- 自動化
- 継続
課題
ソリューション
- 継続的 DAST
- 継続的 SAST
- マネージド WAF
- 継続的ペネトレーションテスト
- エラートラッキング
- 脅威監視検出
- etc, ...

WAF とは
14
ファイアウォール IPS/IDS WAF
Web サイト
Web サービス
正常なアクセス
Web アプリケーション層への攻撃
ソフトウェア/OSへの攻撃
インフラ/ネットワーク層への攻撃
クロスサイトスクリプティング
SQL インジェクション
ブルートフォースアタック
etc, ...

WAF が必要な理由
15
（億件）
2019年サイバー攻撃関連通信
約3,279億件
※出典：NICT NICTER 観測レポート2019（2020年2月10日公開）

WAF が必要な理由
16
- 信用失墜による顧客の退会
- サービス停止による売上の損失
- プライバシーマークなど認定の取消
- カード会社からのペナルティ
- 取引先からの信頼失墜
- サプライチェーンからの締め出し
個人情報・クレジットカード情報の漏洩
杜撰なセキュリティ対策の露呈

WAF で防ぐことのできる攻撃
17
- インジェクション
- 認証不備
- 機密データの露出
- XXE
- アクセスコントロールの不備
- セキュリティ設定不備
- XSS
- 安全でないデシリアライゼーション
- コンポーネントの既知の脆弱性（ゼロデイ攻撃含む）
- 十分でない監視とロギング（WAFが監視とロギングも担う）
OWASP Top 10 (最新版 2017年)

18
- 認証不備
- XXE
- XSS
HTTPヘッダーインジェクション
LDAPインジェクション
OSコマンドインジェクション
SQLインジェクション
SSCインジェクション
XPathインジェクション
コマンドインジェクション
改行コードインジェクション
メールヘッダ・インジェクション
NULLバイトインジェクション

19
- 認証不備
- XXE
- XSS
HTTPヘッダーインジェクション
LDAPインジェクション
OSコマンドインジェクション
SQLインジェクション
SSCインジェクション
XPathインジェクション
コマンドインジェクション
改行コードインジェクション
メールヘッダ・インジェクション
NULLバイトインジェクション
チームでのセキュアコーディングの徹底
OSSの実装調査には限界がある。

AWS WAF とは
21
AWS WAF
Amazon
API Gateway
Application
Load Balancer
Amazon
CloudFront

AWS WAF の特徴
22
　導入が楽
　従量課金
　高スケーラビリティ
　マネージド
　セキュリティベンダーの有償ルールセットが利用可能

AWS WAF の課題
23
AWS WAF のきめ細かいルール運用は困難
新規の脆弱性
アーキテクチャの変更
ウェブリクエストの特性
WAF の専門知識が必要

AWS WAF の課題
24
AWS WAF のきめ細かいルール運用は困難
新規の脆弱性
アーキテクチャの変更
ウェブリクエストの特性
WAF の専門知識が必要

WafCharm の導入企業様
25
272 ユーザー様が利用
（2020年6月時点）

ほぼ日様の例
26

hachidori 様の例
27

強力な防御性能
お客様環境に最適なルールの作成・設定を任せられます
より楽に
導入から新規の脆弱性対応までWAFを手放しで運用できます
安心して利用
日本のお客様を熟知したサポートで誤検知時も安心
28
３つの製品コンセプト

WafCharm の仕組み

攻撃サマリーレポート
攻撃種別に分類したサマリーを作成

WAF のスペシャリスト
- 誤検知時など、
最適なシグネチャカスタマイズ
- 新規の脆弱性の監視、検証

数百のシグネチャで再マッチング
AWS WAF ルール数制限があるので事後検知で対応
（重要度の高いルールは AWS WAF に配備）
アクセスログ
IP をブラックリスト追加

その他 WafCharm の特徴
- 最適なシグネチャのAIによる組み替え※1
- 専用機器設置、DNSの切り替え必要なし
- メールによる攻撃の即時通知
- CSC 独自 IP レピュテーション
- 日本人による 24時間365日の技術サポート※2
※2 エントリープラン除く
etc, ...
※1 AWS WAF Classic のみ

DevSecOps と WafCharm
Operate
Monitor
Code
Plan
Release Test
Deploy Build
DevOps

DevSecOps と WafCharm
Operate
Monitor
Code
Plan
Release Test
Deploy Build
DevOps
新機能開発中

DevSecOps の要件、課題
要件
- 自動化
- 継続
課題
x

ご静聴ありがとうございました
資料請求＆無料トライアル
https://www.wafcharm.com/
クレジット
本スライド作成にあたっては下記のウェブサイト
で公開される素材を利用いたしました。
slidesgo (https://slidesgo.com/)
freepick (https://stories.freepik.com/people)

DevSecOps 時代の WafCharm

More Related Content

What's hot

Similar to DevSecOps 時代の WafCharm

DevSecOps 時代の WafCharm