SlideShare a Scribd company logo

DevSecOps 時代の WafCharm

Yuto Ichikawa
Yuto Ichikawa

2020年8月25日にに行われたウェビナー 【セキュリティ・品質管理担当者向けオンラインセミナー】変化の多い状況に、素早く柔軟に対応する「DevSecOps」 https://autify.com/ja/webinars/devsecopsseminar_20200825 での CSC 市川の発表の公開版資料です。

Software
1 of 37
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
本資料に記載された情報は株式会社サイバーセキュリティクラウド(以下CSC)が信頼できると判断した情報源を元にCSCが作成したものですが、その内容および情 報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。本資料に記載された内容は、資料作成時点において作 成されたものであり、予告なく変更する場合があります。本資料はお客様限りで配布するものであり、CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧 させ、また、複製、配布、譲渡することは堅く禁じられています。 本文およびデータ等の著作権を含む知的所有権はCSCに帰属し、事前にCSCの書面による承諾を 得ることなく、本資料に修正・加工することは堅く禁じられています。 DevSecOps 時代の 株式会社サイバーセキュリティクラウド WAF 自動運用サービス部 部長 市川悠人 最終更新 2020年8月26日
1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
© Cyber Security Cloud Inc. All Rights Reserved. 講師紹介 3 市川悠人 株式会社サイバーセキュリティクラウド WAF 自動運用サービス部部長 東京大学理学部卒。大学院ではバイオインフォマ ティクスを専攻。 ERPベンダーで AI と NLP に関する R&D や Web 開発のマネジメントを務める。 2020年 株式会社サイバーセキュリティクラウド入社 山に登ります
1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
© Cyber Security Cloud Inc. All Rights Reserved. 5 会社概要 社  名 株式会社サイバーセキュリティクラウド 設  立 2010年8月 代 表 者 代表取締役 大野 暉 役  員 取締役CTO 渡辺 洋司 取締役 倉田 雅史(公認会計士) 社外取締役 伊倉 吉宣(弁護士) 社外取締役 石坂 芳男 常勤監査役 安田 英介(公認会計士) 社外監査役 泉 健太 社外監査役 村田 育生 資 本 金 6億2,930万円(資本準備金を含む) 事業内容 ・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供 ・サイバー攻撃の研究及びリサーチ ・AI技術の研究開発 2020年3月に東証マザーズに上場いたしました。
© Cyber Security Cloud Inc. All Rights Reserved. CSCのメインプロダクト 6 Managed Rules for AWS WAF Web Application Firewall (WAF) 及びに WAF 関連サービス
1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
© Cyber Security Cloud Inc. All Rights Reserved. 8 DevOps とは Operate Monitor Code Plan Release Test Deploy Build DevOps
© Cyber Security Cloud Inc. All Rights Reserved. 9 DevSecOps とは アジリティとセキュリティの両立 機密性 Confidentiality 完全性 Integrity 可用性 Availability Operate Monitor Code Plan Release Test Deploy Build DevOps +     セキュリティ
© Cyber Security Cloud Inc. All Rights Reserved. 10 DevSecOps の要件 要件 - ライブラリ含むソースコードの安全性 - 包括的なプロダクトの安全性 - 精度(コストとのジレンマ) - 自動化 - 継続 - 開発生産性の維持
© Cyber Security Cloud Inc. All Rights Reserved. 11 DevSecOps の要件、課題 要件 - ライブラリ含むソースコードの安全性 - 包括的なプロダクトの安全性 - 精度(コストとのジレンマ) - 自動化 - 継続 - 開発生産性の維持 課題 - 高度なセキュリティ知識 - 高度なインフラ知識 - 導入&運用コスト
© Cyber Security Cloud Inc. All Rights Reserved. 12 DevSecOps の要件、課題、ソリューション 要件 - ライブラリ含むソースコードの安全性 - 包括的なプロダクトの安全性 - 精度(コストとのジレンマ) - 自動化 - 継続 - 開発生産性の維持 課題 - 高度なセキュリティ知識 - 高度なインフラ知識 - 導入&運用コスト ソリューション - 継続的 DAST - 継続的 SAST - マネージド WAF - 継続的ペネトレーションテスト - エラートラッキング - 脅威監視検出 - etc, ...
1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
© Cyber Security Cloud Inc. All Rights Reserved. WAF とは 14 ファイアウォール IPS/IDS WAF Web サイト Web サービス 正常なアクセス Web アプリケーション層への攻撃 ソフトウェア/OSへの攻撃 インフラ/ネットワーク層への攻撃 クロスサイトスクリプティング SQL インジェクション ブルートフォースアタック etc, ...
© Cyber Security Cloud Inc. All Rights Reserved. WAF が必要な理由 15 (億件) 2019年サイバー攻撃関連通信 約3,279億件 ※出典:NICT NICTER 観測レポート2019(2020年2月10日公開)
© Cyber Security Cloud Inc. All Rights Reserved. WAF が必要な理由 16 - 信用失墜による顧客の退会 - サービス停止による売上の損失 - プライバシーマークなど認定の取消 - カード会社からのペナルティ - 取引先からの信頼失墜 - サプライチェーンからの締め出し 個人情報・クレジットカード情報の漏洩 杜撰なセキュリティ対策の露呈
© Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 17 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年)
© Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 18 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) HTTPヘッダーインジェクション LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSCインジェクション XPathインジェクション コマンドインジェクション 改行コードインジェクション メールヘッダ・インジェクション NULLバイトインジェクション
© Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 19 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) HTTPヘッダーインジェクション LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSCインジェクション XPathインジェクション コマンドインジェクション 改行コードインジェクション メールヘッダ・インジェクション NULLバイトインジェクション チームでのセキュアコーディングの徹底 OSSの実装調査には限界がある。
1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
© Cyber Security Cloud Inc. All Rights Reserved. AWS WAF とは 21 AWS WAF Amazon API Gateway Application Load Balancer Amazon CloudFront
© Cyber Security Cloud Inc. All Rights Reserved. AWS WAF の特徴 22   導入が楽   従量課金   高スケーラビリティ   マネージド   セキュリティベンダーの有償ルールセットが利用可能
© Cyber Security Cloud Inc. All Rights Reserved. AWS WAF の課題 23 AWS WAF のきめ細かいルール運用は困難 新規の脆弱性 アーキテクチャの変更 ウェブリクエストの特性 WAF の専門知識が必要
© Cyber Security Cloud Inc. All Rights Reserved. AWS WAF の課題 24 AWS WAF のきめ細かいルール運用は困難 新規の脆弱性 アーキテクチャの変更 ウェブリクエストの特性 WAF の専門知識が必要
© Cyber Security Cloud Inc. All Rights Reserved. WafCharm の導入企業様 25 272 ユーザー様が利用 (2020年6月時点)
© Cyber Security Cloud Inc. All Rights Reserved. ほぼ日 様の例 26
© Cyber Security Cloud Inc. All Rights Reserved. hachidori 様の例 27
© Cyber Security Cloud Inc. All Rights Reserved. 強力な防御性能 お客様環境に最適なルールの作成・設定を任せられます より楽に 導入から新規の脆弱性対応までWAFを手放しで運用できます 安心して利用 日本のお客様を熟知したサポートで誤検知時も安心 28 3つの製品コンセプト
© Cyber Security Cloud Inc. All Rights Reserved. 29 WafCharm の仕組み
© Cyber Security Cloud Inc. All Rights Reserved. 30 攻撃サマリーレポート 攻撃種別に分類したサマリーを作成
© Cyber Security Cloud Inc. All Rights Reserved. 31 WAF のスペシャリスト - 誤検知時など、 最適なシグネチャカスタマイズ - 新規の脆弱性の監視、検証
© Cyber Security Cloud Inc. All Rights Reserved. 32 数百のシグネチャで再マッチング AWS WAF ルール数制限があるので事後検知で対応 (重要度の高いルールは AWS WAF に配備) アクセスログ IP をブラックリスト追加
© Cyber Security Cloud Inc. All Rights Reserved. 33 その他 WafCharm の特徴 - 最適なシグネチャのAIによる組み替え※1 - 専用機器設置、DNSの切り替え必要なし - メールによる攻撃の即時通知 - CSC 独自 IP レピュテーション - 日本人による 24時間365日の技術サポート※2 ※2 エントリープラン除く etc, ... ※1 AWS WAF Classic のみ
© Cyber Security Cloud Inc. All Rights Reserved. 34 DevSecOps と WafCharm Operate Monitor Code Plan Release Test Deploy Build DevOps
© Cyber Security Cloud Inc. All Rights Reserved. 35 DevSecOps と WafCharm Operate Monitor Code Plan Release Test Deploy Build DevOps 新機能開発中
© Cyber Security Cloud Inc. All Rights Reserved. 36 DevSecOps の要件、課題 要件 - ライブラリ含むソースコードの安全性 - 包括的なプロダクトの安全性 - 精度(コストとのジレンマ) - 自動化 - 継続 - 開発生産性の維持 課題 - 高度なセキュリティ知識 - 高度なインフラ知識 - 導入&運用コスト x
ご静聴ありがとうございました 資料請求 & 無料トライアル https://www.wafcharm.com/ クレジット 本スライド作成にあたっては下記のウェブサイト で公開される素材を利用いたしました。 slidesgo (https://slidesgo.com/) freepick (https://stories.freepik.com/people)

More Related Content

What's hot (20)

PDF
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
Nobuhiro Nakayama
 
PPTX
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
 
PDF
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
Nobuhiro Nakayama
 
PDF
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
 
PPTX
Azure AD による Web API の 保護
junichi anno
 
PDF
Windows 10 の新機能 Azure AD Domain Join とは
Mari Miyakawa
 
PDF
クラウドで始めるActive Directory
Suguru Kunii
 
PDF
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
真吾 吉田
 
PPTX
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
Ryusuke Kajiyama
 
PDF
Office365のための多要素認証
Suguru Kunii
 
PDF
【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS
Nobuhiro Nakayama
 
PDF
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
Yusuke Kodama
 
PPTX
Microsoft Azure のセキュリティ
junichi anno
 
PPTX
モダンアクセスコントロール実現に向けた戦略策定方法
Yusuke Kodama
 
PDF
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Nobuhiro Nakayama
 
PDF
[Japan Tech summit 2017] SEC 011
Microsoft Tech Summit 2017
 
PDF
AAD authentication for azure app v0.1.20.0317
Ayumu Inaba
 
PDF
Manage ADFS on Office365
Genki WATANABE
 
PDF
Cloud Computing(クラウド・コンピューティング)
ripper0217
 
PPTX
Sql azure入門
貴仁 大和屋
 
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
Nobuhiro Nakayama
 
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
 
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
Nobuhiro Nakayama
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
 
Azure AD による Web API の 保護
junichi anno
 
Windows 10 の新機能 Azure AD Domain Join とは
Mari Miyakawa
 
クラウドで始めるActive Directory
Suguru Kunii
 
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
真吾 吉田
 
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
Ryusuke Kajiyama
 
Office365のための多要素認証
Suguru Kunii
 
【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS
Nobuhiro Nakayama
 
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
Yusuke Kodama
 
Microsoft Azure のセキュリティ
junichi anno
 
モダンアクセスコントロール実現に向けた戦略策定方法
Yusuke Kodama
 
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Nobuhiro Nakayama
 
[Japan Tech summit 2017] SEC 011
Microsoft Tech Summit 2017
 
AAD authentication for azure app v0.1.20.0317
Ayumu Inaba
 
Manage ADFS on Office365
Genki WATANABE
 
Cloud Computing(クラウド・コンピューティング)
ripper0217
 
Sql azure入門
貴仁 大和屋
 

Similar to DevSecOps 時代の WafCharm (20)

PDF
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
 
PDF
VMware Cloud on AWS のご紹介 -セキュリティ風味-
Mitsutaka Ohisa
 
PPTX
Reinforce2021 recap session2
Shogo Matsumoto
 
PDF
【SSS】クラウド型セキュリティ・サービス
sss-share
 
PDF
AWS Well-Architected Security とベストプラクティス
Amazon Web Services Japan
 
PDF
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
 
PDF
Security hub workshop
Ryuhei Shibata
 
PDF
ITpro EXPO 2014: クラウド統合基盤 ソリューション ~ Cisco / RedHat 統合基盤 UCSO ~
シスコシステムズ合同会社
 
PDF
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
アトラシアン株式会社
 
PDF
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
PPTX
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
junichi anno
 
PPTX
Microsoft Azure の概要と最近のアップデート(2016年6月25日)
kekekekenta
 
PDF
AWSの共有責任モデル(shared responsibility model)
Akio Katayama
 
PDF
NetApp SteelStore with CLOUDIAN HyperStore
CLOUDIAN KK
 
PDF
セキュリティ設計の頻出論点
Tomohiro Nakashima
 
PDF
20180119 vx railチャンピオンクラブlunchセミナー_vmware最新情報_vmware内野様
VxRail ChampionClub
 
PDF
リクルートの利用事例から考える AWSの各サービスとセキュリティ
Recruit Technologies
 
PDF
第38回「vCloud Airによるハイブリッド・クラウドの価値」(2014/11/27 on しすなま!)
System x 部 (生!) : しすなま! @ Lenovo Enterprise Solutions Ltd.
 
PDF
ServerlessDays Tokyo 2022 Virtual.pdf
Google Cloud Platform - Japan
 
PDF
【IVS CTO Night & Day】AWS Cloud Security
Amazon Web Services Japan
 
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
 
VMware Cloud on AWS のご紹介 -セキュリティ風味-
Mitsutaka Ohisa
 
Reinforce2021 recap session2
Shogo Matsumoto
 
【SSS】クラウド型セキュリティ・サービス
sss-share
 
AWS Well-Architected Security とベストプラクティス
Amazon Web Services Japan
 
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
 
Security hub workshop
Ryuhei Shibata
 
ITpro EXPO 2014: クラウド統合基盤 ソリューション ~ Cisco / RedHat 統合基盤 UCSO ~
シスコシステムズ合同会社
 
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
アトラシアン株式会社
 
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
junichi anno
 
Microsoft Azure の概要と最近のアップデート(2016年6月25日)
kekekekenta
 
AWSの共有責任モデル(shared responsibility model)
Akio Katayama
 
NetApp SteelStore with CLOUDIAN HyperStore
CLOUDIAN KK
 
セキュリティ設計の頻出論点
Tomohiro Nakashima
 
20180119 vx railチャンピオンクラブlunchセミナー_vmware最新情報_vmware内野様
VxRail ChampionClub
 
リクルートの利用事例から考える AWSの各サービスとセキュリティ
Recruit Technologies
 
第38回「vCloud Airによるハイブリッド・クラウドの価値」(2014/11/27 on しすなま!)
System x 部 (生!) : しすなま! @ Lenovo Enterprise Solutions Ltd.
 
ServerlessDays Tokyo 2022 Virtual.pdf
Google Cloud Platform - Japan
 
【IVS CTO Night & Day】AWS Cloud Security
Amazon Web Services Japan
 
Ad

DevSecOps 時代の WafCharm

  • 1. 本資料に記載された情報は株式会社サイバーセキュリティクラウド(以下CSC)が信頼できると判断した情報源を元にCSCが作成したものですが、その内容および情 報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。本資料に記載された内容は、資料作成時点において作 成されたものであり、予告なく変更する場合があります。本資料はお客様限りで配布するものであり、CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧 させ、また、複製、配布、譲渡することは堅く禁じられています。 本文およびデータ等の著作権を含む知的所有権はCSCに帰属し、事前にCSCの書面による承諾を 得ることなく、本資料に修正・加工することは堅く禁じられています。 DevSecOps 時代の 株式会社サイバーセキュリティクラウド WAF 自動運用サービス部 部長 市川悠人 最終更新 2020年8月26日
  • 2. 1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
  • 3. © Cyber Security Cloud Inc. All Rights Reserved. 講師紹介 3 市川悠人 株式会社サイバーセキュリティクラウド WAF 自動運用サービス部部長 東京大学理学部卒。大学院ではバイオインフォマ ティクスを専攻。 ERPベンダーで AI と NLP に関する R&D や Web 開発のマネジメントを務める。 2020年 株式会社サイバーセキュリティクラウド入社 山に登ります
  • 4. 1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
  • 5. © Cyber Security Cloud Inc. All Rights Reserved. 5 会社概要 社  名 株式会社サイバーセキュリティクラウド 設  立 2010年8月 代 表 者 代表取締役 大野 暉 役  員 取締役CTO 渡辺 洋司 取締役 倉田 雅史(公認会計士) 社外取締役 伊倉 吉宣(弁護士) 社外取締役 石坂 芳男 常勤監査役 安田 英介(公認会計士) 社外監査役 泉 健太 社外監査役 村田 育生 資 本 金 6億2,930万円(資本準備金を含む) 事業内容 ・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供 ・サイバー攻撃の研究及びリサーチ ・AI技術の研究開発 2020年3月に東証マザーズに上場いたしました。
  • 6. © Cyber Security Cloud Inc. All Rights Reserved. CSCのメインプロダクト 6 Managed Rules for AWS WAF Web Application Firewall (WAF) 及びに WAF 関連サービス
  • 7. 1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
  • 8. © Cyber Security Cloud Inc. All Rights Reserved. 8 DevOps とは Operate Monitor Code Plan Release Test Deploy Build DevOps
  • 9. © Cyber Security Cloud Inc. All Rights Reserved. 9 DevSecOps とは アジリティとセキュリティの両立 機密性 Confidentiality 完全性 Integrity 可用性 Availability Operate Monitor Code Plan Release Test Deploy Build DevOps +     セキュリティ
  • 10. © Cyber Security Cloud Inc. All Rights Reserved. 10 DevSecOps の要件 要件 - ライブラリ含むソースコードの安全性 - 包括的なプロダクトの安全性 - 精度(コストとのジレンマ) - 自動化 - 継続 - 開発生産性の維持
  • 11. © Cyber Security Cloud Inc. All Rights Reserved. 11 DevSecOps の要件、課題 要件 - ライブラリ含むソースコードの安全性 - 包括的なプロダクトの安全性 - 精度(コストとのジレンマ) - 自動化 - 継続 - 開発生産性の維持 課題 - 高度なセキュリティ知識 - 高度なインフラ知識 - 導入&運用コスト
  • 12. © Cyber Security Cloud Inc. All Rights Reserved. 12 DevSecOps の要件、課題、ソリューション 要件 - ライブラリ含むソースコードの安全性 - 包括的なプロダクトの安全性 - 精度(コストとのジレンマ) - 自動化 - 継続 - 開発生産性の維持 課題 - 高度なセキュリティ知識 - 高度なインフラ知識 - 導入&運用コスト ソリューション - 継続的 DAST - 継続的 SAST - マネージド WAF - 継続的ペネトレーションテスト - エラートラッキング - 脅威監視検出 - etc, ...
  • 13. 1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
  • 14. © Cyber Security Cloud Inc. All Rights Reserved. WAF とは 14 ファイアウォール IPS/IDS WAF Web サイト Web サービス 正常なアクセス Web アプリケーション層への攻撃 ソフトウェア/OSへの攻撃 インフラ/ネットワーク層への攻撃 クロスサイトスクリプティング SQL インジェクション ブルートフォースアタック etc, ...
  • 15. © Cyber Security Cloud Inc. All Rights Reserved. WAF が必要な理由 15 (億件) 2019年サイバー攻撃関連通信 約3,279億件 ※出典:NICT NICTER 観測レポート2019(2020年2月10日公開)
  • 16. © Cyber Security Cloud Inc. All Rights Reserved. WAF が必要な理由 16 - 信用失墜による顧客の退会 - サービス停止による売上の損失 - プライバシーマークなど認定の取消 - カード会社からのペナルティ - 取引先からの信頼失墜 - サプライチェーンからの締め出し 個人情報・クレジットカード情報の漏洩 杜撰なセキュリティ対策の露呈
  • 17. © Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 17 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年)
  • 18. © Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 18 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) HTTPヘッダーインジェクション LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSCインジェクション XPathインジェクション コマンドインジェクション 改行コードインジェクション メールヘッダ・インジェクション NULLバイトインジェクション
  • 19. © Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 19 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) HTTPヘッダーインジェクション LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSCインジェクション XPathインジェクション コマンドインジェクション 改行コードインジェクション メールヘッダ・インジェクション NULLバイトインジェクション チームでのセキュアコーディングの徹底 OSSの実装調査には限界がある。
  • 20. 1. 会社概要 2. DevSecOps とは 3. Web Application Firewall (WAF) とは 4. WafCharm とは
  • 21. © Cyber Security Cloud Inc. All Rights Reserved. AWS WAF とは 21 AWS WAF Amazon API Gateway Application Load Balancer Amazon CloudFront
  • 22. © Cyber Security Cloud Inc. All Rights Reserved. AWS WAF の特徴 22   導入が楽   従量課金   高スケーラビリティ   マネージド   セキュリティベンダーの有償ルールセットが利用可能
  • 23. © Cyber Security Cloud Inc. All Rights Reserved. AWS WAF の課題 23 AWS WAF のきめ細かいルール運用は困難 新規の脆弱性 アーキテクチャの変更 ウェブリクエストの特性 WAF の専門知識が必要
  • 24. © Cyber Security Cloud Inc. All Rights Reserved. AWS WAF の課題 24 AWS WAF のきめ細かいルール運用は困難 新規の脆弱性 アーキテクチャの変更 ウェブリクエストの特性 WAF の専門知識が必要
  • 25. © Cyber Security Cloud Inc. All Rights Reserved. WafCharm の導入企業様 25 272 ユーザー様が利用 (2020年6月時点)
  • 26. © Cyber Security Cloud Inc. All Rights Reserved. ほぼ日 様の例 26
  • 27. © Cyber Security Cloud Inc. All Rights Reserved. hachidori 様の例 27
  • 28. © Cyber Security Cloud Inc. All Rights Reserved. 強力な防御性能 お客様環境に最適なルールの作成・設定を任せられます より楽に 導入から新規の脆弱性対応までWAFを手放しで運用できます 安心して利用 日本のお客様を熟知したサポートで誤検知時も安心 28 3つの製品コンセプト
  • 29. © Cyber Security Cloud Inc. All Rights Reserved. 29 WafCharm の仕組み
  • 30. © Cyber Security Cloud Inc. All Rights Reserved. 30 攻撃サマリーレポート 攻撃種別に分類したサマリーを作成
  • 31. © Cyber Security Cloud Inc. All Rights Reserved. 31 WAF のスペシャリスト - 誤検知時など、 最適なシグネチャカスタマイズ - 新規の脆弱性の監視、検証
  • 32. © Cyber Security Cloud Inc. All Rights Reserved. 32 数百のシグネチャで再マッチング AWS WAF ルール数制限があるので事後検知で対応 (重要度の高いルールは AWS WAF に配備) アクセスログ IP をブラックリスト追加
  • 33. © Cyber Security Cloud Inc. All Rights Reserved. 33 その他 WafCharm の特徴 - 最適なシグネチャのAIによる組み替え※1 - 専用機器設置、DNSの切り替え必要なし - メールによる攻撃の即時通知 - CSC 独自 IP レピュテーション - 日本人による 24時間365日の技術サポート※2 ※2 エントリープラン除く etc, ... ※1 AWS WAF Classic のみ
  • 34. © Cyber Security Cloud Inc. All Rights Reserved. 34 DevSecOps と WafCharm Operate Monitor Code Plan Release Test Deploy Build DevOps
  • 35. © Cyber Security Cloud Inc. All Rights Reserved. 35 DevSecOps と WafCharm Operate Monitor Code Plan Release Test Deploy Build DevOps 新機能開発中
  • 36. © Cyber Security Cloud Inc. All Rights Reserved. 36 DevSecOps の要件、課題 要件 - ライブラリ含むソースコードの安全性 - 包括的なプロダクトの安全性 - 精度(コストとのジレンマ) - 自動化 - 継続 - 開発生産性の維持 課題 - 高度なセキュリティ知識 - 高度なインフラ知識 - 導入&運用コスト x