安価で導入しやすい AWS や Azure の WAF、その一方でユーザーが抱える運用課題とは? ~ サイバーセキュリティクラウド | ScanNetSecurity
2024.05.09(木)

安価で導入しやすい AWS や Azure の WAF、その一方でユーザーが抱える運用課題とは? ~ サイバーセキュリティクラウド

「SQL インジェクション」など、どういう攻撃を防ぐためのルールであるかは名前を見れば想像がつくのですが、実際にその中身はログから追えない形になっています。これが、パブリッククラウド WAF の一番の課題点であり、運用の難易度を上げています。

研修・セミナー・カンファレンス セミナー・イベント
facebookLINE
PR
株式会社サイバーセキュリティクラウド セールスエンジニア 竹村 隆吉 氏
株式会社サイバーセキュリティクラウド セールスエンジニア 竹村 隆吉 氏 全 1 枚 拡大写真

 セキュリティサービスに「くん付け」する時代になったのか。

 正直最初は「攻撃遮断くん」というサービス名称を見たときそう思ったものだが、セキュリティ業界で一頭地を抜くサイバーセキュリティクラウド社のメッセージのわかりやすさは、それまでセキュリティ投資に及び腰だったはずの中小企業にまで幅広く WAF(Web Application Firewall)を普及させることに成功する一因となった。

 同社が近年、攻撃遮断くんと併行して力を入れているのが、パブリッククラウド WAF の自動運用サービス「WafCharm(ワフチャーム)」だ。

 「クラウドサービスが提供する WAF のルールセットがブラックボックスとなっていることによる運用課題を多くの企業が抱えている」と語るのが、株式会社サイバーセキュリティクラウド セールスエンジニア 竹村 隆吉(たけむら たかよし)氏だ。

 10 月に開催される Security Days Fall 2023 で 10 月 19 日 (木)、「複雑な WAF 設定はもう不要! AWS / Azure 環境でセキュリティを手間なく強化する方法」と題した講演を行う同氏に、クラウド WAF の運用管理の課題について話を聞いた。

──ユーザー企業は、AWS や Azure などのクラウドサービスが提供する WAF にどんな課題を持っていますか?

 パブリッククラウドが提供する WAF は、ルールセットの運用がユーザー側に委ねられています。「コアルールセット」「マネージドルール」と呼ばれるルールセットが AWS やサードパーティからリリースされてはいるのですが、ユーザー側でどういうルールが作成されているのかが見えないブラックボックスになっています。ルールセットを適用すれば一定の効果はありますが、仮に誤遮断や正常なリクエストがブロックされた場合、どう対処すればいいのかわかりません。

 「SQL インジェクション」など、どういう攻撃を防ぐためのルールであるかは名前を見れば想像がつくのですが、実際にその中身、たとえばどの文字列にヒットして SQL インジェクションにマッチしてしまったのかは、ログから追えない形になっています。これが、パブリッククラウド WAF の一番の課題点であり、運用の難易度を上げています。

──通常ユーザーはそれにどう対処しているのですか?

 誤検知をしてしまった対象の URI を除外したり、そのルール自体を無効化するなどの対処を行っていますが、たとえば対象の URI を除外してしまえば、その URI に対しての攻撃は無防備になってしまう形になります。講演ではこれらの課題の解決法を具体的に提案します。

──それをサイバーセキュリティクラウド社がどう検証し解決するのか、クラウドサービスを活用している幅広い層に向けた講演になりそうですね

 AWSWAF や AzureWAF などのパブリッククラウドの WAF をご利用されていて、マネージドルールやコアルールセットを運用して課題感を持たれていたり、そもそもどのマネージドルールを使えばいいのかわからない、パブリッククラウドWAF を運用しているものの使っているルールセットで本当に全て守れているのかがわからないといった課題を持たれているお客様に来場いただければ、必ず役に立つ発見やヒントをお持ち帰りいただけます。

──ありがとうございました

 インタビュー終了後にこうして原稿にまとめていて、ふと気づいたことがある。それは、竹村氏の講演タイトル「複雑な WAF設定は もう不要」が、見事に俳句と同じ「五 七 五」調になっていることだ。わかりやすいし記憶に残る。意図してやっているのなら流石(さすが)のサイバーセキュリティクラウド社のわかりやすいメッセージ作りと感心するし、まさか無意識でこれをやれていたとしたら、編集者/記者としてスカウトしたいくらいだ。

 取材では、前置きや回り道をせず真っ直ぐ顧客の課題に踏み入り、その解決法を簡潔平易に解説した竹村氏。同氏の明快な講演はパブリッククラウドWAF を運用するユーザーなら聞いておいた方が良い。

 竹村氏の講演「複雑な WAF 設定はもう不要! AWS / Azure 環境でセキュリティを手間なく強化する方法」は 10 月 19 日 (木) 15:45 - 16:25 の 40 分間。Security Days Fall 2023 の会場は東京駅南口から(信号が青なら)徒歩 30 秒の KITTE である。では本編は会場で。

Security Days Fall 2023 東京
10.19(木) 15:45-16:25 | RoomB
複雑な WAF 設定はもう不要! AWS / Azure 環境でセキュリティを手間なく強化する方法
株式会社サイバーセキュリティクラウド セールスエンジニア
竹村 隆吉 氏

Security Days Fall 2023 東京
10.18(水) 14:50-15:30 | RoomB
脆弱性情報収集・管理の自動化で工数削減!業務を効率化させながらセキュリティ強化を実現させる術とは
株式会社サイバーセキュリティクラウド マーケティング部
山田 雄佑 氏

Security Days Fall 2023 東京
10.20(金) 15:45-16:25 | RoomB
脆弱性情報収集・管理の自動化で工数削減!業務を効率化させながらセキュリティ強化を実現させる術とは
株式会社サイバーセキュリティクラウド 営業部アカウントセールスBチームリーダー
山本 裕貴 氏

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. 社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

    社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

  5. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

    Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

  8. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  9. デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

    デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

  10. 経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

    経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

ランキングをもっと見る
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事
TOP