紙一重の積み重ね

アラフォーのエンジニアがなれる最高の自分を目指して、学んだことをこつこつ情報発信するブログです。

【JAWS DAYS2019レポート】AWS WAFのマネージドルールって、結局どれを選べばいいの?AWS WAFのことならCSC! #jawsdays #jawsug

はじめに

2/23(土)に開催されたJAWS DAYS2019のセミナーレポートです。 走り書きの部分もありますので、内容に不備がありましたらご了承ください。

以下、セミナーレポートです。

テーマ

AWS WAFのマネージドルールって、結局どれを選べばいいの?AWS WAFのことならCSC!

株式会社サイバーセキュリティクラウド 渡辺 洋司さん

WAF Managed Rule

  • 開発に集中できる!
  • どれを選べばいいのか??? f:id:yokoyantech:20190228205229p:plain

    • 基本機能は共通
      • 防御性能
      • 料金
        • OWASP Top10に対するルールセットで評価・比較
          • CSCのものは検知率が高く、費用のバランスがよい!!

f:id:yokoyantech:20190228205306p:plain f:id:yokoyantech:20190228205330p:plain

マネージドルールの課題

  • Supportは英語のみ
  • ルールセットはブラックボックス
  • 誤検知は例外設定が可能だがルールIDの調査などひと手間
  • 単純に例外設定すると防御性能が低下する

WafCharmとの併用で課題を解消!

  • AWS WAF 自動運用サービス
  • 日本語Support
  • マネージドルールのチューニング
  • 検知アラート・レポート
    • 2019/3提供開始

f:id:yokoyantech:20190228205406p:plain

感想とまとめ

ランチセッションだったため短かったですが、とても勉強になりました。

SCSさんは後発であるため、価格と検出率のバランスがよいようです。実は昨年Production環境で稼働しているサービスにマネージドルールのWAFを導入したことがあります。残念ながら正常なリクエストをブロックしてしまうという弊害があり、 なぜブロックされるのかブラックボックスになっているためどうしようもなく、結局導入を見送ってしまったということがありました。

セキュリティパッチは日々更新されており、少ない人数で常にカバーし続けることは非常に難しいと考えています。 そのため AWSで提供しているマネージドルールで運用が楽になるのであれば、ぜひ入れたいと考えています。別のセッションでfreeeさんもWafCharmを入れているということだったので、価格次第では前向きに導入を検討したいなと思いました。