JAWS DAYS 2019 Lunch Session サイバーセキュリティクラウド 渡辺洋司 2019/2/20 発売開始した AWS WAF Managed Rule と WafCharm に関する発表資料です

1. AWS WAFのマネージドルールって
結局どれを選べばいいの？
JAWS DAYS 2019
- Lunch Session -

2. 取締役 CTO 渡辺 洋司
難しいと思われがちなセキュリティを簡単にすべく
日々サービス開発しております。
株式会社サイバーセキュリティクラウド
登壇者紹介

3. 国産クラウド型WAF

4. AWSWAF自動運用サービス

5. よくある質問
AWS WAFのマネージドルール色々あるみたい
結局どれを選べばいいの？

6. 答え
2019/02/20 より AWS Marketplace にて販売開始しました！

7. AWS WAF Managed Ruleとは

8. AWS WAF Managed Rule とは
 AWS Marketplace で購入可能な、セキュリティベンダーによる厳選されたルールセット
 Web Application の前面で実行しているALB や CloudFront へ簡単にデプロイ
 Web Application やAPI の保護を迅速に開始
 OWASP Top 10 セキュリティリスクなどの一般的な脅威、WordPress や Joomla などのコ
ンテンツ管理システム (CMS) に特有の脅威、あるいは新たな共通脆弱性識別子 (CVE) な
どの脅威に対応
 WAF に関するインフラを管理する必要がない
アプリケーションの構築に集中できる

9. AWS WAF Managed Rule の使い方
AWS Marketplace または
AWS WAF コンソールに
アクセスします
マネージドルールを見つけて
サブスクライブします
ルールをウェブ ACL に
関連付けます

10. AWS WAF Managed Rule の使い方

11. よくある質問
AWS WAFのマネージドルール色々あるけど
結局どれを選べばいいの？

12. Managed Rule の評価基準
 基本機能は AWS WAF および Managed Rule で共通
 そのため、皆さんにとって大事な下記2点を比較します
 防御性能
 料金

13. Managed Rule の比較対象
一般的に期待されている OWASP Top 10 に対応しているルールセットを対
象にしました。Managed Rule の防御性能は提供価格に影響します。
そのため価格設定が $20 ～ $30 の下記ルールセットで比較しました。

14. Managed Rule の比較
防御性能の評価
CSIC の Anomalous Traffic データセットを利用し検知性能を測定
http://www.isi.csic.es/dataset/
某 社 某 社 某 社
検
知
率 ※ 数字は出せません

15. Vendor Name
Charge per
month
Charge
per
million requests
F5 Rules for AWS WAF –
Web exploits OWASP Rules $20 $1.2
Cyber Security Cloud
Managed Rules for AWS
WAF - High Security OWASP
Set -
$25 $1.2
Fortinet Managed Rules for
AWS WAF – Complete
OWASP Top 10
$30 $1.8
Managed Rule の比較
料金体系

16. 答え
防御性能と価格のバランスの良いルールを是非使ってみてください！

17. Managed Rule の課題
 サポートは英語のみ、対応スピードもまちまち
 ルールセットはブラックボックスのため誤検知の理由がわかりにくい
 誤検知が発生した際には内包される個別のルールの例外設定が可能だが、
ルールIDの調査など一手間必要
 単純に例外設定すると防御性能が低下

18. との併用で課題を解消
Manage & Support
• 本来英語のみのサポートも日本語で対応
• マネージドルールのチューニングが可能
• マネージドルールの検知アラートやレポート
AWS WAF自動運用サービス※ 2019/3 提供開始予定

19. よろしくお願いします
防御性能と価格のバランスの良いルールを是非使ってみてください！

20. ご清聴ありがとうございました
- Lunch Session -
JAWS DAYS 2019