Jazug_202102_csc_ichikawa

本資料に記載された情報は株式会社サイバーセキュリティクラウド（以下
CSC）が信頼できると判断した情報源を元に
CSCが作成したものですが、その内容および情
報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。
本資料に記載された内容は、資料作成時点において作
成されたものであり、予告なく変更する場合があります。
本資料はお客様限りで配布するものであり、
CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧
させ、また、複製、配布、譲渡することは堅く禁じられています。本文およびデータ等の著作権を含む知的所有権は
CSCに帰属し、事前に
CSCの書面による承諾を
得ることなく、本資料に修正・加工することは堅く禁じられています。
Azure WAF を活用しよう
WAF 自動運用サービス部部長市川悠人
第31回 Tokyo Jazug Night
株式会社サイバーセキュリティクラウド
〜WAF の解説から他サービスとの連携まで〜

© Cyber Security Cloud Inc. All Rights Reserved.
ToC
2
1. 自己紹介/会社紹介
2. 前提知識 WAF とは
3. Azure WAF の仕組みについて
4. Azure WAF のルールについて
5. 他 Azure 機能との連携
6. ちょっとだけ宣伝

自己紹介
3
市川悠人
株式会社サイバーセキュリティクラウド
WAF 自動運用サービス部部長
ERPベンダーで AI と NLP に関する R&D や
Web 開発のマネジメントを務める。
課題解決型の AI 人材ではなく、
課題発見型の人材になるべくキャリアチェンジ
2020年
株式会社サイバーセキュリティクラウド入社

© Cyber Security Cloud Inc. All Rights Reserved. 4
会社概要
社　名株式会社サイバーセキュリティクラウド
設　立 2010年8月
代表者代表取締役社長兼 CTO 渡辺洋司
役　員
取締役倉田雅史（公認会計士）
社外取締役伊倉吉宣（弁護士）
社外取締役石坂芳男
常勤監査役安田英介（公認会計士）
社外監査役泉健太
社外監査役村田育生
資本金 6億5,855万円（資本準備金を含む）
事業内容・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供
・サイバー攻撃の研究及びリサーチ
・AI技術の研究開発
2020年3月に東証マザーズに上場いたしました。

CSCのメインプロダクト
5
Managed Rules
for AWS WAF
Web Application Firewall (WAF) 及びに WAF 関連サービス
Azure WAF 関連製品

ToC
6

WAF とは L7 の防御層
7
ファイアウォール IPS/IDS WAF
Web サイト
Web サービス
正常なアクセス
Web アプリケーション層への攻撃
ソフトウェア/OSへの攻撃
インフラ/ネットワーク層への攻撃
クロスサイトスクリプティング
SQL インジェクション
ブルートフォースアタック
etc, ...

攻撃通信の増加は衰えを知らない
8
（億件）
2020年サイバー攻撃関連通信
約5,001億件
※出典：NICT NICTER 観測レポート2020（2021年2月16日公開）

杜撰なセキュリティ対策の露呈
WEB セキュリティによってヘッジできるリスク
9
- 信用失墜による顧客の退会
- サービス停止による売上の損失
- プライバシーマークなど認定の取消
- カード会社からのペナルティ
- 取引先からの信頼失墜
- サプライチェーンからの締め出し
- 会社ブランドの毀損
個人情報・クレジットカード情報の漏洩

WAF で防ぐことのできる攻撃
10
- インジェクション
- 認証不備
- 機密データの露出
- XXE
- アクセスコントロールの不備
- セキュリティ設定不備
- XSS
- 安全でないデシリアライゼーション
- コンポーネントの既知の脆弱性（ゼロデイ攻撃含む）
- 十分でない監視とロギング（WAFが監視とロギングも担う）
OWASP Top 10 (最新版 2017年)

WAF で防ぐことのできる攻撃
11
- 認証不備
- XXE
- XSS
HTTPヘッダーインジェクション
LDAPインジェクション
OSコマンドインジェクション
SQLインジェクション
SSCインジェクション
XPathインジェクション
コマンドインジェクション
改行コードインジェクション
メールヘッダ・インジェクション
NULLバイトインジェクション
チームでのセキュアコーディングの徹底
OSSの実装調査には限界がある。

WAF で防ぐのが難しい攻撃の例
12
- 認証不備
- XXE
- XSS
リスト型攻撃や、平文による通信で中間者攻撃され
たりするのを WAF で防ぐのは難しい。
Storage Account の公開設定の不備など。
通信機器の設定不備など。
脆弱なセッション情報の保持機構などを使っている
と WAF では防げないことがある。

忘れてはいけない重要な WAF の効果
13
攻撃コスト・リターンローリターンハイリターン
ローコスト狙われる非常によく狙われる
ハイコスト狙われにくい狙われる
攻撃者に対する
セキュリティ対策してます！！
というアピール
OR

ToC
14

WAF はエッジテクノロジーと連携
15
Application Gateway
Frontdoor
CDN
エッジサービス Web サイト
WAF Policy
App Service
Storage Account
WAF v1 か WAF v2 という
SKU のみ利用可能
エンドユーザー
プレビュー版
WAF は、Application Gateway, Frontdoor,
CDN と連携することで動作し、WAF Policy で実
際の防御ルールを設定できる。

WAF 対応エッジテクノロジー
16
Application Gateway
Web トラフィックロードバランサー
- SSL 終端
- オートスケール
- ゾーン冗長性
- 複数サイトホスティング
- WAF
- etc, ...
SKU として
- Standard V1
- Standard V2
- WAF V1
- WAF V2
が存在する。
Standard 系は WAF が使えない。
CDN
エンドユーザーに近いポイントオブプレゼンス
(POP) の場所のエッジサーバーに、静的コン
テンツをキャッシュして分散配信する仕組み
ドキュメントからは動的サイトアクセラレーション
機能があるように読めるが、
Frontdoor を利
用しているとのこと。
Frontdoor
最適なルーティングでクライアントから最も近い
配信拠点を選択して応答。地理的に広い範囲
から高いトラフィックが想定されるなら使いた
い。
比較的高価なので、状況によって利用の判断
をしたい。
Frontdoor
Frontdoor Standard
Frontdoor Premium
の SKU に分けられる
コンテンツ配信
ロードバランサー

（New）Frontdoor のサービス範囲に変化
17
最近のアップデートでサービスの機能範囲に変化あ
り。
https://docs.microsoft.com/en-us/azure/frontdoor/standard-premium/tier-comparison

WAF の適用例
18
Application Gateway Frontdoor
リージョンを跨ぐサービスをエッジで守る
ロードバランサで守る

WAF Policy とは
WAF のルールや設定を
入れる箱。
Application Gateway, Frontdoor 用の
２種類の WAF Policy がある。
WAF Policy A Application Gateway A
Application Gateway B
Frontdoor A
Frontdoor B
Listener 2
Listener 3
WAF Policy B
WAF Policy C
１つの WAF Policy を複数の
リソースに紐付けできる。
Listener 1

[App GW] WAF Policy / ポリシー設定
20
検出モードだと一切攻撃を止め
ません。導入の際の動作確認
時に使う。
特定のヘッダーパラメータや
Cookie 名を検査対象外すこと
ができる。
Body を検査対象とするか。
リクエストのサイズで大きすぎる
ものを弾くための設定です。基
本的にはデフォルト値で十分。

[App GW] WAF Policy / 管理されているルール
21
Core Rules Set のバージョン
を選択できます。理由がなけれ
ば最新版で良い。
ルール毎の ON/OFF ができま
すが、個別に防止と検出の設
定ができない。
ルールを無効化すると、観測で
きなくなってしまうので正直不
便。
WafCharm を利用すれば
こういう不便はない！

[App GW] WAF Policy / カスタムルール
22
優先度 1 - 100 でカスタマイズ
ルールを最大100 個まで設定
することができる。
例えば優先度45 と 46 の間に
ルールを突っ込もうと思うと並
び合う前後のルール全てを動
かす必要があってGUI でやる
のは面倒だったりする。
ちなみにこの100 個という数字
だが、カスタムルールだけで十
分に強力な WAF を構成でき
る。

App GW と Frontdoor の WAF 比較
23
App GW Frontdoor
レートベース無し有り
管理されている
ルール
細かいルールの除外設定がで
きない
細かいルールの除外設定が
可能
ポリシー設定
リクエストサイズ
リクエストサイズやファイルサイ
ズでの検知容易
ズでの検知可能
ポリシー設定
除外設定
簡単にできるできない（ルール毎に編集する
必要がある）
総括簡単に設定できる細かく設定できる

App GW と Frontdoor の WAF 比較
24
App GW Frontdoor
レートベース無し有り
管理されている
ルール
細かいルールの除外設定がで
きない
細かいルールの除外設定が
可能
ポリシー設定
リクエストサイズ
ズでの検知容易
ズでの検知可能
ポリシー設定
除外設定
簡単にできるできない（ルール毎に編集する
必要がある）
総括簡単に設定できる細かく設定できる
App GW の WAF も多機能な Frontdoor の
WAF に進化していきそう。
レートベースの有無という違いはあるが、App
GW と Frontdoor 自体の違いのほうが大きい。

WAF Policy と料金体系
25
WAF Policy
プロビジョニング費用
ルールセット
ルールセット
従量課金
カスタムルール
カスタムルール
従量課金
560円/月 2,240円/月 112円/100万リクエスト 112円/月 67.2円/100万リクエスト
Frontdoor と CDN (リージョンによる違いはない )
Application Gateway
Application Gatewayのインスタンス料金に含まれてしまい、
WAF 単体での計算ができない！
（参考までに）AWS WAF とほぼ同額

ToC
26

Core Rule Set
27
Mod Security の Core Rule Set がベースになっています。
2.2.9, 3.0, 3.1 のバージョンがある。
SQL インジェクションや XSS に対応するルールなど、
基本的に重要なシグネチャは揃っている。
ただし
- 誤検知は多め
- 個別脆弱性への網羅性は高くない
なので CRS で実運用していくとなると、
カスタマイズが必須になってくるかと思われる。
困ったら WafCharm を使って欲しい！

[App GW] カスタムルールの構成
28
ルール名
優先度
条件（複数）
結果
重複する名前は設定できない。
1 - 100 の値を設定します。数字の小さい順に検査されていく。
IP アドレス、番号（数字）、文字列、Geo ロケーションで条件を設定できる。複数の条件
は AND で結合される。
許可する
拒否する
記録する
=> 詳細は次ページ

優先度と結果の処理方法
29
優先度
10
条件
日本以外からのアクセス
結果
記録する
優先度
15
条件
/admin.php へのアクセス
結果
拒否する
優先度
17
条件
クエリが (?i)((true|1|W|),s… に
マッチする
結果
拒否する
拒否！！
記録
結果が「許可する」「拒否する」であるルールにリクエストが該当した場合、そこ
で WAF の検査はストップする。
結果が「記録する」の場合はログに書き出されるものの検査が止まらず、優先
度に基づいて検査が続く。

カスタムルールのサンプル
30
negateCondition で NOT 条件の指定ができたりする。
文字列は operator を使って、部分一致や前置一致などの条件で様々なパラ
メータを検査することができる。
また transforms を使えば大文字小文字、URL デコードといった揺らぎを吸
収することができる。
検査結果がマッチしたらリクエストを拒否するという設定。
https://docs.microsoft.com/ja-jp/azure/web-application-firewall/ag/create-custom-waf-rules

ToC
31

WAF ログの保存
32
Storage Account Event Hubs
Azure Monitor
Log Analytics
ファイルストレージ
ファイル形式で行って時間間隔でログを
貯めることができる。
あまりログを利用することがなければ一
番安い。
ログストレージ
時系列でログデータが貯まる
長期保存になるとファイルストレージより
も割高だが保存と利用のコストバランス
が良い。
リアルタイムデータインジェストサービス
リアルタイム性が一番高い。
必ずしも時系列順ではないなどストリー
ムデータの特性を理解して使う必要があ
る。
保存先というよりはデータの一次受け。
適切に組み合わせて使うことでコストベネフィットを最適化しましょう。

Azure DDoS Protection
33
特に設定しなくても Azure のリソースは DDoS Protection Basic によって守られてい
る。ただし Standard だと保証がついていたりする。
https://docs.microsoft.com/ja-jp/azure/ddos-protection/ddos-protection-overview

WAF ログの可視化 Azure Monitor/Log Analytics
34
Azure Monitor はログの集積から、
ビジュアライズまで一貫して行えるサービス群。
歴史的経緯から機能の呼び名が分かりずらいので
Azure Monitor についてよくあるご質問
は目を通すとよい。
リソースからの情報をログとメトリクスという形で保管し
て、ダッシュボードやBookで可視化、さらには Insights
として自動応答システムを組むことができる。
https://docs.microsoft.com/ja-jp/azure/azure-monitor/overview

Azure Monitor/Log Analytics のダッシュボード
35
ログというのが
Kusto Query Language(KQL) を
使ってログを可視化することのでき
るダッシュボード機能。

Azure Monitor/Log Analytics の Book
36
ブックというのは
KQL を使って情報をビジュアライズ
する仕組み。
こちらは自分で盛り盛りと素敵な BI
ダッシュボードを作成するのもよい
が、
Sentinel の WorkBook から
WAF のテンプレートブックを活用し
た方が圧倒的に楽。
Azure WAF との連携において、他
の項目は色々と使いこなしたくなっ
てから調べるので良いと思う。

WAF ログの可視化 Sentinel/Workbook
37
Azure Sentinel 自体は SIEM + SOAR ということでシ
ステムログの集積から監視、インシデント発見までを構
築するためのプラットフォーム。
収集から監視については WorkBook テンプレートを利
用して簡単に始められる。
インシデント発見についてもある程度はテンプレートとな
る指標が用意されている。
まずはテンプレートから入って、徐々に自分たちの環境
に合わせてカスタマイズしていくのが良いのではない
か。
（ドキュメント読んだだけだと具体的にヨクワカラナイ）
https://docs.microsoft.com/ja-jp/azure/sentinel/overview

余談、違いの分かりづらい３銃士
38
Sentinel
Security Center
Security Defender
アップグレード
CSPM, CWP, EDR
クラウドの設定は安全ですか？
VM や DB は安全ですか？
ハイブリッドクラウド
より多様な Azure リソースの管理
SIEM, SOAR
情報収集
インシデントの発見
通知
自動対応
情報収集
情報収集
アプリケーションログ
アクセスログ
etc, ...

WAF ログの可視化 Sentinel/Workbook
39
設定の仕方をブログにしたので参
考にしていただければ。
https://www.wafcharm.com/blo
g/microsoft-azure-sentinel-azur
e-waf-jp/
Sentinel は別途料金が発生する
ので注意する必要がある。

ToC
40

WafCharm という名前を覚えて欲しい！
41
攻撃遮断くんで培ってきた運用経験や AI による攻撃発見技術をベースにした質の高いシグネチャ
お客様の環境に合わせた無償のカスタマイズ（※ Business プラン以上）
400弱の AWS ユーザー（2020年12月時点）に選ばれているという実績
etc, ...
無料で始められる！
https://www.wafcharm.com/

END
42
クレジット
本スライド作成にあたっては下記のウェブサイトで公開される素材を利用した。
freepick (https://stories.freepik.com/people)

Jazug_202102_csc_ichikawa

More Related Content

What's hot

Similar to Jazug_202102_csc_ichikawa

Jazug_202102_csc_ichikawa