はじめに
2/23(土)に開催されたJAWS DAYS2019のセミナーレポートです。 走り書きの部分もありますので、内容に不備がありましたらご了承ください。
以下、セミナーレポートです。
テーマ
AWS WAFのマネージドルールって、結局どれを選べばいいの?AWS WAFのことならCSC!
株式会社サイバーセキュリティクラウド 渡辺 洋司さん
WAF Managed Rule
- 開発に集中できる!
どれを選べばいいのか???
- 基本機能は共通
- 防御性能
- 料金
- OWASP Top10に対するルールセットで評価・比較
- CSCのものは検知率が高く、費用のバランスがよい!!
- OWASP Top10に対するルールセットで評価・比較
- 基本機能は共通
マネージドルールの課題
- Supportは英語のみ
- ルールセットはブラックボックス
- 誤検知は例外設定が可能だがルールIDの調査などひと手間
- 単純に例外設定すると防御性能が低下する
WafCharmとの併用で課題を解消!
- AWS WAF 自動運用サービス
- 日本語Support
- マネージドルールのチューニング
- 検知アラート・レポート
- 2019/3提供開始
感想とまとめ
ランチセッションだったため短かったですが、とても勉強になりました。
SCSさんは後発であるため、価格と検出率のバランスがよいようです。実は昨年Production環境で稼働しているサービスにマネージドルールのWAFを導入したことがあります。残念ながら正常なリクエストをブロックしてしまうという弊害があり、 なぜブロックされるのかブラックボックスになっているためどうしようもなく、結局導入を見送ってしまったということがありました。
CSCさんのWafCharm気になる。managedruleは誤検知で導入見送りになったので価格次第ではproduction環境に入れたいな。#jawsdays #jd2019_c
— Yokoyama Hironori (@yokoyantech) 2019年2月23日
セキュリティパッチは日々更新されており、少ない人数で常にカバーし続けることは非常に難しいと考えています。 そのため AWSで提供しているマネージドルールで運用が楽になるのであれば、ぜひ入れたいと考えています。別のセッションでfreeeさんもWafCharmを入れているということだったので、価格次第では前向きに導入を検討したいなと思いました。