AWS Black Belt Online Seminar 2017 WAF

1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1
Kazuaki Fujikura
Solutions Architect, Amazon Web Services Japan K.K
2017.11.22
【AWS Black Belt Online Seminar】
AWS WAF
-OWASP Top10脆弱性緩和策-

2. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
2
⾃⼰紹介
藤倉 和明（Kazuaki Fujikura）
AWS Enterprise Solution Architect
好きなAWSサービス
Amazon CloudWatch
Amazon VPC
AWS WAF

3. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
3
AWS Black Belt Online Seminar へようこそ！
質問を投げることができます！
Adobe ConnectのQ&Aウィンドウから、質問を書き込んでください。
（書き込んだ質問は、主催者にしか⾒えません）
今後のロードマップに関するご質問はお答えできませんのでご了承くださ
い。
Twitterへツイートする際はハッシュタグ #awsblackbelt をご利⽤くだ
さい。
①Q&Aウィンドウ
右下のフォームに
質問を書き込んで
ください
②吹き出しマークで
送信してください

4. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
4
AWS Black Belt Online Seminar とは
AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです
【⽕曜 12:00~13:00】
主にAWSのソリューションや
業界カットでの使いどころなどを紹介
(例：IoT、⾦融業界向け etc.)
【⽔曜 18:00~19:00】
主にAWSサービスの紹介や
アップデートの解説
(例：EC2、RDS、Lambda etc.)
※開催曜⽇と時間帯は変更となる場合がございます。
最新の情報は下記をご確認下さい。
オンラインセミナーのスケジュール&申し込みサイト
• https://aws.amazon.com/jp/about-aws/events/webinars/

5. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
5
内容についての注意点
本資料では2017年11⽉22⽇時点のサービス内容および価格についてご説明しています。最
新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
• 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価
格に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
• 価格は税抜表記となっています。⽇本居住者のお客様が東京リージョンを使⽤する場合、
別途消費税をご請求させていただきます。
AWS does not offer binding price quotes. AWS pricing is publicly available and is
subject to change in accordance with the AWS Customer Agreement available at
http://aws.amazon.com/agreement/. Any pricing information included in this
document is provided only as an estimate of usage charges for AWS services based
on certain information that you have provided. Monthly charges will be based on
your actual use of AWS services, and may vary from the estimates provided.

6. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
6
Agenda
ü AWS WAF概要
ü WAFとは
ü AWS WAFの紹介
ü OWASPʻs Top 10防御
ü OWASPʼs Top 10とは
ü OWASPʻs Top 10 templateの展開
ü デモ
ü 更なる⼀⼿
ü まとめ

7. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
7
AWS WAF概要

8. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
8
WAFとは？
• Web Application Firewall (WAF) は、HTTPトラフィックをフィルタ
などの制御をするためのアプライアンスや、サーバプラグインなどの
ルールセットのこと。
• WAFは以下４つで提供されることが多い
• Pure Play: スタンドアローンのアプライアンスやソフトウェア
• CDN: Content Delivery Networkへのバンドル
• Load Balancer: ロードバランサへのバンドル
• Universal Threat Manager (UTM): 統合セキュリティ管理（UTM）の
⼀部として提供
DatabaseWeb ServerWAF
Normal Access
Malicious Access

9. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
9
なぜWAFを使うのか
• WAFは、Webサイトやアプリケーションが、攻撃されてダウンしたり
データが流出したりすることがないような⼿助けをする
• WAFの⼀般的なユースケース
• SQL Injection (SQLi) 、Cross Site Scripting (XSS)対策
• Webクローラ、スクレイピング等のBOT対策
• DDoS緩和 (HTTP/HTTPS floods)
• ガートナーのレポートによると、導⼊理由の25-30%はPCI対応のため
ネットワーク
OS
ウェブアプリケーション
IDS/IPS
FW
WAF
攻撃者

10. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
10
Webサービス防御におけるWAFの位置づけ
DDoS
Targeted
attacks
WAF
Reflection and
amplification
Layer 3 & 4
floods
Slowloris
SSL abuse
HTTP floods
SQL injection
Bots and
probes Application
exploits
Social
engineering
Reverse
engineering
XSS
RFI/LFI
Data Exposure

11. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
11
WAFだけでは防御は完璧ではない
WAFはウェブアプリケーションの脆弱性への根本対策ではなく、
攻撃による影響を低減する対策
ウェブアプリケーション防御はWAFの導⼊だけでなく、そのイン
フラストラクチャ全体の対策が必要
• AWS Shield
• Amazon Inspector
• 暗号化
• IAM
• AWS Config
• AWS CloudTrail
• 3rd partyセキュリティソフト …
Web Application Firewall(WAF) - IPA 独⽴⾏政法⼈ 情報処理推進機構:http://www.ipa.go.jp/files/000017312.pdf

12. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
12
セキュリティを考慮したサンプルアーキテクチャ
Web Web Web Web
Public Subnet (DMZ) Public Subnet (DMZ)
Private Subnet Private Subnet
Private Subnet Private Subnet
NAT
PROX
NAT
PROX
操作ログ
リソース監視
通知
データ暗号化
権限管理
Availability Zone Availability Zone
既存DC
専⽤線
接続暗号鍵管理
管理コンソール
CDN/WAF
変更監視
WAFはセキュリティ対策の⼀部
それだけで全てを守れる訳ではない
traditional
server
脆弱性検査
PII/SP検知
TLS security
コンプライアンス

13. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
13
Your Applications
AWS WAF
What is AWS WAF?
• ⼀般的なWebエクスプロイトからウェ
ブサイトやウェブアプリケーションを
保護
• アプリケーションの可⽤性、セキュリ
ティに影響を及ぼすリスクを緩和する、
またはリソース消費を抑制する
• HTTPリクエストのフィルタエンジン
• 認識可能なリクエストシグネチャによ
る攻撃を防⽌する
• 規制遵守の要件を満たす WebApp Database
正規のユーザ 攻撃者

14. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
14
AWS WAFの特徴
カスタムルールによるフィルタ
SQLインジェクション、XSSなどの
よくある攻撃への対策
モニタリング

15. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
15
これまでのWAF
設定は複雑で時間がかかる

16. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
16
これまでのWAF
ルールが増えるにつれ擬陽性（False positive）に悩むこ
とになる

17. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
17
これまでのWAF
No API

18. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
18
これまでのWAF
導⼊と維持コストが⾼すぎる
• プロフェッショナルサービスが必
要になる
• ⾒積もりが過⼤になりがち

19. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
19
お客様の要望に応じてAWSが実現したWAF
実践的なセキュリ
ティモデルを簡単
に導⼊
フレキシブルに
ルールをカスタマ
イズできる
DevOpsとの統合
それらをAWSの「使っただけ」の⽀払い

20. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
20
WAF タイプ別分類
Pure Play WAF
• Imperva*
• Alert Logic
• Barracuda*
• Qualys*
CDN WAF
• Akamai Kona
• CloudFlare**
• EdgeCast
• Incapsula**
• LeaseWeb
Load Balancer WAF
• F5 Networks*
• Citrix*
• Barracuda*
UTM WAF
• Sophos*
• Fortinet*
* Denotes a WAF that is available from the AWS Marketplace
** Denotes advertised product in AWS Marketplace from technology partner

21. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
21
AWS WAF
• Amazon CloudFront/ALBとの併
⽤のみ
• クラウドベースの防御
• セルフサービス、簡単なデプロイ、
使った分だけのお⽀払い
• オートスケール
• DevOpsと相性がいい
• “Do it yourself”
AWS WAFとMarketplaceの併⽤について
Marketplace WAFs
• EC2インスタンス上で動作
• マネージドサービス、BYOL、1時間単
位など様々
• スケールさせるには別途設定、変更点、
特別作業等必要
• オンプレミスで⾏っていた統制をその
ままに実現
（シグネチャ更新、SOC対応）

22. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
22
AWS WAFでパートナーの提供による
マネージドルールが利⽤可能に
• パートナーが管理するマネージドルールを利⽤
することで、ウェブアプリやAPIの保護を即座
に開始することができるように
• 現時点でAlert Logic, Fortinet, Imperva,
Trend Micro, TrustWaveなどセキュリティの
エキスパートがルールを提供
• AWS Marketplaceを通じて調達でき、従量制
の料⾦で利⽤可能。⻑期契約は必要ない
• ルールの適⽤はAWS WAFのコンソールからも
https://aws.amazon.com/mp/se
curity/WAFManagedRules/
on 30 NOV 2017

23. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
23
AWS WAFシステムの概念とコンポーネント
Associations
Amazon CloudFront Application Load Balancer
Web ACLs
Ordered set of rules
Rules
Match sets as predicates
Conditions
Match sets
• Conditions
• SQL Injection
• Cross Site Scripting (XSS)
• IP Blacklisting/Whitelisting
• Request Hygiene/Size Constraints
• String and regex matching
• Geo match
• Rules
• Standard Rules
• Rate Based Rules (per 5min interval)
• Actions: Block, Allow, Count
• Perimeter protection

24. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
24
Web ACLを構築するための戦略
• Blacklisting:
• ルールによる不正なパターンのみBLOCK
デフォルトのアクションはALLOW
• ⼀般的に採⽤されるパターン
• Whitelisting:
• ルールによる許可されたパターンのみALLOW
デフォルトのアクションはBLOCK
• 全てのリクエストパターンを事前に把握し限定できる場合に採⽤
• Mixed:
• 考慮事項:ルールの順序付け、バイパスの規則
• Count effects:
• 導⼊初期のテストパターンでは COUNT ルールアクションが有効
• 正常なリクエストが除外されていないか確認する

25. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
25
サンプルをモニタリングしながら、ルール毎にリクエストがマッチし
たか確認する事が可能
COUNT で確認し、誤検知が無いことを確認してからBLOCKに変更
Web ACLを構築するための戦略
サンプルを確認するルール
対象となったリクエスト詳細
ActionをCountからBlockへ変更

26. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
26
OWASPʻs Top 10防御

27. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
27
OWASPʻs Top 10とは
• OWASP（The Open Web Application Security
Project）コミュニティが公開している、最もクリティカ
ルと考える10種類のセキュリティリスク
• 2013年度版が最新のバージョン、2017年度版は現在RC1
として公開されている
• AWS WAFのOWASPʻs Top 10 templateはそのどちらも
対応する形で公開
https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application-vulnerabilities/

28. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
28
OWASPʻs Top 10 (2013 & 2017 RC)
最もクリティカルと考える10種類のセキュリティリスクについて、OWASPコ
ミュニティで幅広いコンセンサスを得ています
A1
Injection
A2
Broken Auth. &
Session Mgmt.
A3
Cross-Site Scripting
(XSS)
A4
Broken Access
Control
A5
Security
Misconfiguration
A6
Sensitive Data
Exposure
A7
Insufficient Attack
Protection
A8
Cross-Site Request
Forgery (CSRF)
A9
Using Components
with Known
Vulnerabilities
A10
Underprotected
APIs
2013 - A10
Unvalidated
redirects and
forwards
New
New
New

29. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
29
QuackyNature.com は有⼒なオンライン⼩売業者です
彼らは常に悪意のあるユーザから攻撃を受けています
クレジットカード情報、個⼈情報、価格設定または、サプライヤーの情報等
機密データを盗もうとしています
あなたは彼らの新しいセキュリティエンジニアです
データを保護し、攻撃を緩和する必要があります
ロールプレイ

30. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
30
アプリケーションセキュリティの脅威を緩和する
アプリケーション指向アプローチ:
特定のアプリケーションプロファイルを保護する
QuackyNature.comアプリケーション固有の欠陥
（コード、構成、機能）を悪用するリスクを軽減する
✓
環境の変化に適応する✓
⼀般的な攻撃による影響を軽減
QuackyNature.comを一般的な攻撃から保護します
✓

31. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
31
Using WAF to Mitigate OWASP Top 10
AWS WAF は、OWASP Top 10のアプリ
ケーション脆弱性を緩和できます
• WAFは根本的な⽋陥を修正するもので
はなく、脆弱性への攻撃の緩和です
• HTTPリクエストパターンを認識する事
は、有効性の⾼い導⼊への鍵です
• 攻撃パターンの変化に追いつく能⼒は
重要です

32. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
32
アプリケーションプロファイルを知る
OSSもしくは、商⽤の既製品であっても、アプリケー
ションを詳細に把握する
どのようなサービス/ URLパスがWebに公開されますか？
それらを最新の状態に保ち、適時にセキュリティパッチ
をインストールする
脆弱性を最⼩限に
1
3
アプリケーションが活⽤しているパッケージ、ライブラ
リ、コンポーネントを把握する
公開する追加の機能とサービス
2

33. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
33
A1 – Injection
Injection ⽋陥: アプリケーションが信頼できないデータをインタプ
リタに送信し、要求元の意図を変更するリスク
広く知られているのは SQL Injection があります。
Credit: XKCD: Exploits of a Mom, published by permission.

34. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
34
A1 – Injection
AWS WAFのSQL injection match conditionsを使⽤して軽減する
• どのようなHTTPリクエストコンポーネントをスキャンする必要が
ありますか？
• Query String, URI, Body, Cookie and/or Authorization Header
• どのような変換を適⽤する必要がありますか？
• URL Decode, Decode HTML Entities
• その他のinjection typesにはどのように対応しますか?
• Use String and regex matching conditions

35. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
35
A3 – Cross-Site Scripting (XSS)
XSS ⽋陥: 適切なサニタイズを⾏わずにWebページにユーザー提供の
データを含める。 悪意のあるスクリプトやオブジェクトをユーザー
ページに埋め込むことができます
Your Comment:
SEND
<script
src=”https://malicious-
site.com/exploit.js”
type=”text/javascript” />

36. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
36
A3 – Cross-Site Scripting (XSS)
AWS WAFの cross-site scripting match conditionsを使⽤して軽減
する
• どのようなHTTPリクエストコンポーネントをスキャンする必要があり
ますか？
• Body, Query String, Cookie Header, URI
• どのような変換を適⽤する必要がありますか？
• URL Decode, Decode HTML Entities
• HTTPリクエストではどのようなcontent-typeが許可されますか？
• HTMLコンテンツでは無い場合、False Positiveのリスクが有る

37. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
37
A4 – Broken Access Control
ユーザーが何をすることができるかに関する制限の不⼗分/不適切な実
施による⽋陥：
• 内部アプリケーションオブジェクトの操作
• コンポーネント/機能レベルのアクセス制御の問題
• パストラバーサル攻撃、ローカルまたはリモートファイルインク
ルード（LFI / RFI）
権限設定の不備による⽋陥は、ユーザコンテキストなしでWAFによっ
て軽減することは困難です。
https://example.com/download.php?file=..%2F..%2Fetc%2Fpasswd

38. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
38
A4 – Broken Access Control
• パストラバーサル、ファイルのインクルードはString and regex
matchingを使⽤して、危険なパターンをフィルタリングします。
• String and regex matching と IP address match
conditions を使⽤して既知の場所から既知のユーザーに管理モ
ジュールまたはコンポーネントへのアクセスを制限する

39. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
39
A5 – Security Misconfiguration
デフォルト設定は必ずしも⽬的に合っているとは限りません。推奨される
デフォルト値も時間とともに変化します
Examples
• Apacheで ServerTokens Full の設定をそのまま利⽤する
• 本番Webサーバーでデフォルトのディレクトリ⼀覧を有効にしたままに
する
• 本番環境でスタックトレースを返すアプリケーションフレームワークの
設定
• ランタイム、インタプリタなどが古く、セキュアでないデフォルト設定
etc…

40. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
40
A5 – Security Misconfiguration
WAFによる軽減戦略:
• デフォルトでインストールまたは有効になっている管理コンソール、
設定またはステータスページのパスへのアクセスをブロックまたは
制限する
• プラットフォームに特有の既知の攻撃パターン、特に古いプラット
フォームの動作に依存しているレガシーアプリケーションに対して
保護します。 関連するパターンを照合するには、String and
regex matchingを使⽤します。
http://example.com/?_SERVER[DOCUMENT_ROOT]=http://bad.com/bad.htm

41. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
41
A7 – Insufficient Attack Protection
セキュリティは全体的な防御が重要になります。WAFを始め、アプリ
ケーションの保護が不⼗分な時、重⼤なリスクへと繋がる可能性があ
ります。
主な対象範囲：
• 不正なHTTPリクエストへの防御
• 変化する攻撃パターンへの適応性
• 異常検出と反応速度
• セキュリティコントロールの有効性検証

42. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
42
A7 – Insufficient Attack Protection
WAFによる軽減戦略:
• size constraint conditions を使⽤してHTTP要求コンポーネン
トのサイズをアプリケーション関連の最⼤値に制限する
• rate-based rules を使⽤して、異常なリクエスト数またはそのよ
うなリクエスト数の変更を検出する
• 移譲な状態に対応する機能には、
AWS WAF Security Automations を使⽤してください
• スキャナとプローブの緩和
• 既知の攻撃者からのリクエストを軽減（レピュテーションリストの使⽤）
• Botとスクレーパーの緩和

43. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
43
A9 – Using Components with Known Vulnerabilities
最も⼀般的な攻撃ベクトルの1つ：
• レガシーな環境下における制約のため、脆弱なコンポーネントを使⽤
• 依存性による脆弱なサブコンポーネントの使⽤
• トラッキング/レポーティングの⽋如による脆弱なコンポーネントの使⽤
WAFを使⽤して軽減する：
• コンポーネントの使⽤していない機能に対してHTTPリクエストをブロック
する
• 公開してしまっているサーバサイドコンポーネントへのHTTP要求をブロッ
クする

44. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
44
OWASPʻs Top 10 templateの展開

45. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
45
OWASPʼs Top 10 のWAFルールの作成（１）
• https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application-vulnerabilities/
• https://s3.us-east-2.amazonaws.com/awswaf-owasp/owasp_10_base.yml
CloudFormationを開き
owasp_10_base.yml
のURLを指定

46. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
46
OWASPʼs Top 10 のWAFルールの作成（２）
任意のスタックの名前
（重複しないように）
Globalに設定した場合は
CloudFrontでの利⽤
Regional指定の場合はALB
Production環境にはすぐに
BLOCKを設定しないこと

47. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
47
OWASPʼs Top 10 のWAFルールの作成（３）
HTTP要求のURIコンポーネントで許可
される最⼤バイト数
HTTP要求のクエリ⽂字列コンポーネ
ントで許可される最⼤バイト数
リクエストボディに
許容される最⼤バイト数
Cookieヘッダーで許可される
最⼤バイト数
A7 – Insufficient Attack Protection

48. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
48
OWASPʼs Top 10 のWAFルールの作成（４）
管理画⾯へのアクセス許可設定
CSRFトークンがリクエストされ予想される
カスタムHTTPリクエストヘッダ
CSRFトークンのサイズのチェック
本来公開すべきではないサーバサイドの
コンポーネントURIプレフィックス
A4 – Broken Access Control
A8 - Cross-Site Request Forgery

49. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
49
OWASPʼs Top 10 のWAFルールの作成（５）
PROGRESSがCOMPLETEに
なるまで待つ

50. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
50
OWASPʼs Top 10 のWAFルールの作成（６）
Web ACLsを開き
Filter: Global
からowasp-aclができている
事を確認

51. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
51
OWASPʼs Top 10 のWAFルールの作成（７）
Rulesを選択
Add associationをク
リック
Rule⼀覧が表⽰されて
る事を確認
防御対象を選択

52. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
52
デモ

53. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
53
QuackyNature.comはAWS WAFによって守られました

54. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
54
更なる⼀⼿

55. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
55
IP Address Reputationリストによる防御
http://aws.typepad.com/sajp/2016/05/you-can-use-aws-waf-a-web-application-firewall-to-help-protect-your-web-applications-from-exploits-that-originate-from-grou.html
Update IP Blacklists and WAF
rules using AWS WAF API
Normal
Users
Malicious
users and
bots
CloudFront
AWS
WAF
Lambda
Script
Detect malicious IPs
Rule
Updater
CloudWatch
events
reputation list
スパマーやマルウェアの配布元、あるいは
ボットネットなどの悪い振る舞いをする(bad
actor)発信元として知られ、リスト化されてい
るIPアドレス(⾵評リスト、reputation list)から
のWebアプリへの攻撃を防御する⽅法
1. Amazon CloudWatch Eventsは、スケジュー
ルに従ってLambda functionを実⾏する。
2. サードパーティの作成したreputation listを
ダウンロードし、Lambda functionによって
処理される。
3. ブラックリストを作成するために、
Lambda funtionはAWS WAF IPセットを
reputation listに書かれた最新のIPアドレス
（及びIPレンジ）にアップデートする。
4. AWS WAFはブラックリスト内のIPアドレス
からのリクエストを拒否する。

56. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
56
AWS WAF セキュリティオートメーション
https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/
既知の脆弱性もIP Address Reputation防
御もまとめて全部オートメーション
• API Gatewayのハニーポットも⽤意し
悪意のボットやコンテンツスクレー
パー等の疑わしいリクエストを送っ
てくる送信元IPアドレスをブラック
リストに追加
• SQLi、CSRFからの保護ルールの追加
• AWS Lambda のカスタム関数により、
アクセスログを⾃動的に解析して、
疑わしい動作を特定し、該当する送
信元 IP アドレスをブラックリストに
追加
• ⼿動でホワイトリストIP、ブラック
リストIPアドレスの追加
• IP Address Reputationをブラックリス
トへ⾃動追加

57. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
57
まとめ

58. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
58
AWS WAFの料⾦
Three Charge Components
1. Web ACL monthly charge: $5 / Web ACL
2. Rule monthly charge: $1 / rule
3. Request Fee charge: $0.60 / million requests
• 初期費⽤は不要
• 複数の CloudFront ディストリビューションと
Application Load Balancer でウェブ ACL を再使⽤して
も追加料⾦は発⽣しない
• 設定したWeb ACL/Rule数、リクエストに基づく課⾦

59. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
59
AWS WAFの制限
• AWS アカウントあたりのウェブ ACL : 50 *
• AWS アカウントあたりのルール : 100 *
• 1 秒あたりのリクエスト数
• CloudFront : CloudFront でサポートされる RPS の制限のサポートと同じ
• ALB : ウェブ ACL あたり 10,000 *
• IP ⼀致条件ごとの IP アドレス範囲 (CIDR 表記) : 10,000
• 5 分間あたりの最⼩レートベース制限 : 2000
• ウェブ ACL あたりのルールの数 : 10
• 各condtionのフィルター数 : 10
http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/limits.html
* この制限は申請により引き上げる事ができます

60. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
60
まとめ
• 実践的なセキュリティモデルを簡単に導⼊
• フレキシブルにルールをカスタマイズ可能
• セキュリティオートメーションによる、迅速なルール伝
達およびインシデント対応が可能
• 今すぐ使い始められて、使った分だけのコスト

61. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
61
参考資料
AWS WAF – Web アプリケーションファイアウォール
• https://aws.amazon.com/jp/waf/
AWS WAF と AWS Shield アドバンスドドキュメント
• http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/what-is-aws-waf.html
Use AWS WAF to Mitigate OWASPʼs Top 10 Web Application Vulnerabilities(blog)
• https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-
top-10-web-application-vulnerabilities/
Use AWS WAF to Mitigate OWASPʼs Top 10 Web Application Vulnerabilities(pdf)
• https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf
AWS WAF セキュリティオートメーション
• https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/
IP Address Reputationリストを⾃動更新でAWS WAF IP Blacklistsとして使う⽅法
• http://aws.typepad.com/sajp/2016/05/you-can-use-aws-waf-a-web-application-firewall-to-help-
protect-your-web-applications-from-exploits-that-originate-from-grou.html

62. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
62
ご参加ありがとうございました

63. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
63