• イベント概要
• セッションメモ
  • サイバー攻撃のグローバルトレンド、エッジセキュリティサービスの進化とサービスイノベーション
  • AWS エッジサービスで実現するウェブアプリケーションの保護
  • AWS WAFと脅威インテリジェンスを活用した攻撃検知および遮断の自動化
  • SOCによるフルサポートでAWS WAFの運用監視をまるっとお任せ
  • 複雑な運用や専門人材は必要なし！AWS WAFを自動運用できるWafCharmとは
• おまけ
• まとめ

AWSが主催する「高度化するサイバー攻撃への Web セキュリティ対策 ～ 強化された機能と プロアクティブな運用サポート」というイベントに参加したので、そのレポートになります。

イベント概要

開催日時：2024年 9 月 11 日 (水)
会場：Arco Tower Annex
参加費用：無料

本イベントでは「Web アプリケーションへの攻撃のトレンド」、「AWS が提供する DDoS/WAF/ボット対策」、「Web セキュリティの効果的な運用強化方法」を紹介します。

https://aws-web-security-20240911-p.splashthat.com/

セッションメモ

サイバー攻撃のグローバルトレンド、エッジセキュリティサービスの進化とサービスイノベーション

スピーカー：
Amazon Web Services Inc.
Perimeter Security ゼネラルマネージャー
Kavitha Prasad (カビータ・プラサード) 氏

・ネットワーク&アプリケーションの脅威観測
　・56%のDDoS攻撃が観測される
　・全トラフィックの42%がBot通信である
　・1億件の脅威が毎日発見される
　・50万件が悪意のある通信
　・新規脆弱性があれば90秒以内で発見

・AIの発展に伴い、AIを使って攻撃を検知していく

・Traveloka（インドネシアの旅行会社）のケース
　・Botを防ぐことでアプリ利用率を50%削減して基盤リソースを守る
　・正規の利用者が利用しやすいようにした

・脅威インテリジェンス
　・ハニーポットで攻撃を観測
　・不審な動向はIPSに通報する
　・脅威インテリジェンスをサービスに活かし、プロアクティブな防御

・インフラ、アプリ、脅威インテリジェンスのあらゆる対策を一元管理することが大事

AWS エッジサービスで実現するウェブアプリケーションの保護

スピーカー：
アマゾン ウェブ サービス ジャパン合同会社 Edge Services ソリューションアーキテクト
岡 豊 氏

・ウェブアプリに対する脅威
　・サービス拒否（DDoS）
　　・SYNフラッド、リフレクションアタック、・・・
　・アプリケーションの脆弱性
　　・XSS、OWASP Top 10、・・・
　・悪性ボット
　　・脆弱性スキャン、・・・

・エッジサービスによる多層防御
　・エッジロケーションでCloudFrontにアタッチしたAWS WAF、Route53やAWS ShieldによるDDoS対策を活用

・DDoS攻撃対策のポイント
　・DNSへのDDoS攻撃に備える
　・CDNを利用したオフロードを実施する
　・アプリケーションレイヤーのDDoS攻撃に備える
　・攻撃の対象となる領域（アタックサーフェイス）を特定し、その範囲を限定する
　・適切なリソースを割り当てる
　・DDoS攻撃の可視化と通知設定を行う

・AWS Shild AdvancedによるDDoS攻撃対策
　・DDoS攻撃の可視化するためのレポート機能
　・SRTによる24/365対応
　・WAF料金の免除

・AWS WAFのレートベースルール
　・同一IPアドレスからのリクエスト数が1/2/5/10分から選択し、閾値を超えたらActionを実行できる
　・閾値は最小で10リクエストから設定可能
　・IPアドレス以外のキーの組み合わせ（ヘッダやUAなど）でルールを構成できる（5件まで）

・オリジンの隠ぺい
　・マネージドプレフィックスリストを活用

・脆弱性を悪用する攻撃対策のポイント（WAF）
　・保護対象のアプリケーションに適したルールを選定する
　・アプリへのリクエストの検査対象を特定する
　・アプリへの攻撃の可視化と通知設定をする
　・誤検知や過検知の対応
　・継続的なルールのアップデート

・マネージドルールグループ
　・事前定義済みのルールセット
　・一般的な攻撃ベクトルや脅威をカバー
　・様々なウェブアプリケーションに適用可能な防御ルール

・マネージドルールのアップデート
　・マネージドルールグループは適宜アップデートが提供される
　・デフォルトは自動更新だが、新ルールの評価後にルールを更新したり、以前のバージョンにロールバックが可能

・マネージドルールの管理
　・マネージドルール
　・ラベル
　・カスタムルール
　・Scope Down Statement
　・Captcha Challenge
　・カスタムレスポンス

・検査するボディサイズの拡張
　・デフォルトでは16KBのリクエストボディサイズの検査が可能（ALBとAppSyncは従来通り8KB）
　・32KB/48Kb/64KBまでの上限設定が可能

・悪性Botの対策のポイント
　・アプリケーションへのBotアクセスの可視化を行う
　・Botの種類に合わせたアクションを選定する
　・特定のアプリを標的とした高度なBotへ対処できるようにする
　・ログインページやアカウント作成ページへの不正アクセス対策を実施する

・AWS WAF Bot Control
　・Common Bot（一般的なボット）
　　・シグネチャベース、IPレピュテーションリスト
　・Target Bot（標的型ボット）
　　・ブラウザの調査、フィンガープリント

・AWS WAF Fraud Control
　・不正なアカウント乗っ取りや不正なアカウント作成からの保護
　・Account Takeover Prevension
　・Account Creation Fraud Prevention

・Botに対するカスタムレスポンス
　・Bot Controlの後続カスタムルールでカスタムレスポンスを設定
　・悪性Botのラベルが付いたリクエストにkasutamureを返却

・ロギング
　・出力先として、S3 / CloudWatch Logs / Security Lake / Data Firehose

・AWS WAFの運用サポートサービス
　・AWS WAF向け運用 / SOCサービス
　　・ルールチューニング
　　・ログ解析、チューニング
　　・独自ルール作成

AWS WAFと脅威インテリジェンスを活用した攻撃検知および遮断の自動化

スピーカー：
東日本電信電話株式会社
鈴木 雅斗 氏
菅原 捷汰 氏

・AWSマネージドルール①HostingProviderIPList
　・クラウドプロバイダのIPアドレスであり、エンドユーザでないアクセスを「遮断」する
　・IPS事業者のハウジングなどのIPアドレスを「遮断」してしまう

・AWSマネージドルール②NoUserAgent_HEADER
　・ブラウザを識別するためにUserAgentヘッダが含まれていないリクエストを「遮断」する
　・UserAgentが無いエンドユーザも「遮断」してしまう

・柔軟なルール設計
　・宛先パスや送信元IPの特性に応じて遮断対象から除外

・検知したルールを全てカウントモードとして最後に遮断可否を判別
　・GeoIPによる送信元国と検知内容を判別

・遮断可否の判別ルールの仕掛け
　・ルールに合致したら、そのルール名のラベルを付与
　・HostingProviderIPListラベルが付与されており、かつ、JP or USでなければ遮断

・攻撃検知及び遮断の自動化
　・攻撃元IPアドレスの遮断登録まで（①抽出②評価③判断④登録）を自動化
　・AWS Step Functionsを活用し、各コンポーネントを組み立てる

・①抽出
　・スロー攻撃の検知
　　・毎日少しずつアクセスがある、3日連続で遮断されていた、など

・②評価
　・攻撃元IPアドレスは本当に悪性か、レピュテーションサービスで調査
　・IPVoidとAbuse IP DBの2社のレピュテーションサービスを利用

・③判断
　・業務上必要とされるIPアドレスを「うっかり」遮断しないようにホワイトリストを用意
　・Search Engine Spider（検索クローラー）であれば遮断しない

・④登録
　・脅威情報配信システム（MISP）に遮断対象のIPアドレスを登録
　・MISPに登録されたIPアドレスは、AWS WAFの遮断用「IPセット」にAPI経由で追加

・Step Functionを使うことで、毎日1時間の作業が5分で完了できるようになった

・注意点
　・IPセットは上限1万件なので、棚卸すること
　・XFFに注意し、CDNを遮断しないように

SOCによるフルサポートでAWS WAFの運用監視をまるっとお任せ

スピーカー：
NRIセキュアテクノロジーズ株式会社
マネージドセキュリティサービス開発本部
関根 忠彦 氏

・#OpJapan（オペレーションジャパン）
　・Anonymousによる日本政府や日本レコード協会に対して攻撃を行うDDoS攻撃

・直近のパスワードリストやゼロデイ攻撃の事例

・NRIセキュアのSOCサービス紹介

・NRIセキュアのAWS WAF運用監視サービスのポイント
　・最適設計によるWAF能力の最大化を支援
　・過検知/誤検知のチューニング
　・日々の検出分析とアドバイス
　・月次レポートによる傾向把握

複雑な運用や専門人材は必要なし！AWS WAFを自動運用できるWafCharmとは

スピーカー：
株式会社サイバーセキュリティクラウド CTO
渡辺 洋司 氏

・サイバーセキュリティクラウドの提供サービス紹介
　・攻撃者檀君、WafCharm、・・・

・AWS WAFの説明
　・制約事項やStatement、Actionの項目など

・AWS WAFのメリット
　・柔軟性の高いルール設定が可能
　・導入が簡単
　・コストの調整がしやすい

・AWS WAFの運用における課題
　・最適なルールの作り方が分からない
　・WAF運用専任の人材を確保できない
　・新規脆弱性への対応に手が回らない
　・誤検知やトラブルに時間がかかる

・AWS Managed Rulesの運用のツボ
　・バージョン管理
　・どのルールで検知されたか分からない

・高機能であるため使いこなすための知識が必要
　・JSON Bodyの検査の仕組みなど

・WafCharmの導入で75%の運用削減が可能

・ダッシュボードの分析機能
　・攻撃検知状況ダッシュボード
　・ログの検索機能

・誤検知や緊急時は24/365で対応

おまけ

ノベルティとして、AWS WAFのポーチをもらえました。

スイーツが提供されていました。

まとめ

AWS WAFやエッジサービスに特化したイベントで、AWSの取り組みや各社の工夫を聴くことができました。
AWSセキュリティサービスの活用例や運用自動化の例など、自社にも取り入れやすいノウハウをたくさん学べたので、いろいろ試してみたいと思います。