WAF導入におすすめの3ステップ　小さく一歩を積み上げて、積極的なトライ＆エラーを

セキュリティ課題が千差万別だからこそ、WAFの抱える問題自体もさまざま

清野隼史氏（以下、清野）：WAFの運用パターンについてです。実際に今の話で、「まずは意識」というところもあったと思うのですが、その次のステップとして、どういうふうに運用していくべきなのかみたいなところも話を聞いていきたいなと思っています。こちらは黒田さんにお願いしてもよいですか？

黒田浩明氏（以下、黒田）：はい、ありがとうございます。WafCharmの名前をたくさん出してもらってありがとうございます（笑）。

（一同笑）

意識付けから次に実際の運用というところですね。先ほどみなさんに話しててもらった、そもそもクラウドセキュリティに対する課題自体も企業ごとに千差万別であるのに対して、WAFの抱える問題自体も「そもそも使わなきゃいけないの？」みたいな話から、「使っているんだけど、これは使いこなせないんだよ」というハイレベルな悩みまで、いろいろあると思っています。

運用パターンと言いつつ、そのあたり温度感や企業さまのケーパビリティ別でのパターンになるかなと思います。

「完全独自運用」「AWS Managed Rules」「WafCharm」の比較

黒田：（スライドを示して）私の担当しているWafCharmのプロダクトを軸に説明します。当然、完全に独自で運用できます。そもそもAWS WAF自体が非常に機能が多くて、かなり柔軟な設定ができるし、可用性も高くて安心して使えるので、めちゃくちゃノウハウがあるということであれば、独自運用も当然選択肢になり得ると思います。

もう1つ真ん中の部分ですね。こちらはAWSが提供している「AWS Managed Rules」です。こちらは有料のものもありますが、ベーシックなものは無料で使えるし、アップデートも非常に盛んで、使いこなすと非常に効果的なものだと思っています。

3つ目の選択肢としてWafCharmがあります。このパターンの比較は、基本的には左から右が、言葉を選ばずに言うと玄人向けから素人向けみたいなイメージみたいになるかなと思っています。

完全独自運用をすると、そのAWS WAFの柔軟な設定を使って自社に完全特化した、完全自社チューニングの「僕の考えた最強のAWS WAF設定」ができます。それをできるだけのAWS WAFの柔軟性があるので、選択肢としてそういった特性があります。

ただし当然、必要となるスキルは高くなってくるし、一番下の難易度の部分が高いのは自明なところになるかなと思います。

難易度が高いという部分は、難しいということを意味するだけでなくて、やはり失敗した時の影響度は、当然セキュリティホールを生んでしまうので、そういったところに注意が必要かなと思います。

Managed Rulesはこの間になってくるかなと思います。非常にベーシックなルールが取り揃えられていて、最近は有料のものでアカウントののっとり対応や、もうちょっと高機能なSDKを組み込んだようなクライアントと連携して検知するといったようなハイレベルなものも提供されているので、こういったものも当然選択肢にはなってくるかなと思います。

多くが無料で利用でき、有料のものも比較的安価なので、コストの面でも良いです。ただ難易度のところで言うと、Session1の話などでも出てきましたが、やはりある程度は自分でカスタマイズをしなくてはいけないシーンが出てくると思ってもらっていたほうがいいかなと思います。

例えば、AWS Managed Rulesはよく言われるのですが、中のシグネチャが必ずしも見える状態にはなっていないので、何らかの誤検知が起きた時に、それがなぜ起きたのかを詳細に把握することが難しくて、よって対応がなかなか難しかったりする側面があるかなと思います。

しかし、それが難しいからといって放置するわけにはいかない。そこでちょっとお手上げになってしまう可能性はゼロではないかなと思います。そういった意味で、WafCharmは柔軟性もコストもリーズナブルなかたちで提供しています。

一番満足いただいているところは、テクニカルサポートが付いて何かあった時に相談できて、ナレッジの部分は当然AWS WAF自身も日々アップデートをしていっていて。そこに対しても日々追いついていかないと効果的なWAFの使い方はできないので、そういったアップデートに対する追随の部分でもWafCharmに任せてもらえると、みなさん楽になってもらえるんじゃないかと思っています。

「AWS Managed Rules」は1回触ったほうがいい

臼田圭祐氏（以下、臼田）：間に挟まっていいですか？

清野：はい。

臼田：WAFのルールの扱い方はけっこういろいろあるのですが、僕が個人的におすすめしたいAWS Managed Rulesは、AWS WAFが出てきた当時にはなかったのですが、今めちゃくちゃイケてるんですね。

なので、とりあえずAWS Managed Rulesにはどんなものがあるのかをユーザーガイドで1回見てもらうと良いかなと思います。

「WAFとかはあまり知見がないんだよね」という方でも、読んでもらえればどんなルールセットがあるのかがけっこう理解できます。「コアルールセット、とりあえずこれは設定しておけ」みたいなものや、あとは「Linuxだったらこれを入れておけ」みたいなもの、「PHPを使っているんだったらこれを入れておけ」みたいなものです。

あとは「『WordPress』を使っているならこれを入れておけ」みたいな、わかりやすいルールの名前や説明が書いてあるので、そのあたりを見るだけだったらたぶん誰でもできると思うので。まずはそのあたりを見て使ってみるようなところが、やり始めるのにめちゃくちゃいいです。AWS Managed Rulesは非常に良くできているので、そこから入門してもらうのが1つの道筋として良いのかなと思います。

それをやっていて「やはりよくわからない」とか「ツラい」とか黒田さんがお話しされたような「細かいところがわからない」となってくると、WafCharmのありがたみが非常によくわかると思います（笑）。AWS Managed Rulesを1回触ってもらうのは絶対にやってもらったほうがいいかなと僕は思いますね。

清野：ありがとうございます。「困ったらWafCharm」ということで（笑）。

黒田：ありがとうございます。

クラウドはラフに使ってみることから始める

佐竹陽一氏（以下、佐竹）：一般的なWAFは初期導入費用がめちゃくちゃ高いですが、AWS WAFは異様に安いので、お試しでやってみて「なんか違う」と思ったら捨てられますし、困ったらこっちみたいな（笑）。そんな感じがいいと思います。

臼田：クラウド時代ですからね。サービスをとりあえず使ってみて、従量課金で使い始めて、合わなかったら止めるみたいなことが簡単にできるので、そういうところでもクラウドらしい導入や製品採用の考え方はどんどんやっていったほうがいいと思うんですよね。

従来型のWAFみたいな、1回買うと3年使わないといけなく、初期導入費用でお金がバンッとかかるようなものはクラウドではなかなかないので、本当にラフに使ってみるとかから始めるのが絶対にいいですよね。

佐竹：私は昔、某製品のライセンスファイルを毎年更新する作業をやっていたのですが、そんなのいらないので楽です。

清野：ありがとうございます。

「AWS WAF」はトライ＆エラーがすごくしやすいのもメリット

清野：勝原さんにも聞きたいのですが、AWSさんとしても「WAFまわりはこういうふうにやっていくといいよ」みたいなところはベストプラクティスがあると思います。このあたりを軽く聞いても良いですか？

勝原達也氏（以下、勝原）：はい。臼田さんがお話していましたが、AWSのManaged Rulesはぜひ使ってほしいなと思います。すぐに始められる、止めたい時に止められるというメリットを最大限活かして、どんどん適用を試してほしいなと思います。

それで、ブロックするばかりではなくてカウントするということで、副作用なく始めることもできるので、まずはかけてみる、カウントしてみる。こういった始め方で様子見るのは、すばらしい方法だと思います。

実際に、どんな手厚いサポートをしてくれるシステムインテグレータが並走してくれたとしても、最初、運用を始めた時にいきなりブロックで始めることはあまりなくて、基本はカウントで様子を見ます。

そうすると、当然誤検知が出てきます。いろいろなリクエストパターンを丁寧に洗い出して、アクセスしてもらって、誤検知を取り除けるものは取り除いていく。誤検知が少ない状態で安心できるようになってからブロックを開始するとか。やり方はいろいろあるので、使っていくのが良いんじゃないかなと思います。

ただちょっと違う視点で、最近自分で思っているというかよく出会うケースなのですが、多くのエンタープライズ系のお客さまが、もともとオンプレミスや専用のWAFみたいなものを使っていたということは往々にしてあって、むしろそっちのほうがメジャーでした。

それが、だんだんクラウドにワークロードをリフトしていったという話によって、「WAFもAWS WAFを使おうかな」みたいな話になってきます。

それで移行を考えたりする。そうすると、「現行踏襲」とかいう、頭の痛いキーワードが出てくるわけです。これは言っている側もいろいろな思いがあってその言葉を出しているし、受け止める側も文字どおり受けすぎると、なかなか解決するのが難しい問題だったりします。

それで比較をして……。謎のシグネチャ数の比較表があって、「多いからいい」とか、「それは果たしてどうなのか」みたいな（そんな感じで）比較をせざるを得ないような状況もあったりします。

あとは、スクリプティングを多用していて移行できるのかとか、いろいろあると思います。そういう悩みもあるんですが、まずはやはり適用できる。この強みは本当にメリットがあります。もし別のアプライアンスやレンジのライセンス費を払ってからじゃないと使えないものに切り替えようと思ったら、その一歩ってすごく重い一歩になるんですよね。

しかし、AWS WAFを試してもらう時は、その一歩を小さく積み上げて、ダメだったらちょっと戻って別の方向に行けばいい。そういうトライ＆エラーがすごくしやすいというところで、移行とかの要件でも積極的に試してもらえるんじゃないかなと思っています。

佐竹：WafCharmも最初の1ヶ月は無料ですもんね。

黒田：そうですね。私が言うべきところをありがとうございます（笑）。

（一同笑）

清野：ありがとうございます。まとめると、やはりそもそものWAFというものに対しての意識というか、向き合う。まずは意識を高めていく。あとは、小さくAWS WAFで始めていく。そして困ったらWafCharmを使う。この3つのステップでWAFの導入を進めていければいいのではないかなと話を聞いていて感じました。ありがとうございます。

多層防御は銀の弾丸ではないが、重ね合わせることで確実に保護をしていく

勝原：ちょっと1つ追加してもいいですか？

清野：はい。

勝原：みなさんが言っていたのですが、「多層防御」と耳にタコができるぐらいよく聞いている言葉だと思います。それだけ言われているのは重要だからです。ということで、やはりみなさまの大事なサービス、大事な事業を、「一本足打法で守っていて万全と言えるのか」と……。やはりいろいろな方法で守っていって、違う手法でリスクを減らしていく。これを重ね合わせていくことは非常に有効です。

パッチを当てるのは当然必要で、「WAFは入れたらパッチを当てなくていいんですか？」という質問を時々受けることはあるのですが、それは違うということをよくお伝えします。「パッチを当てるまでの時間を作ってくれるかもしれない重要なサービスです」と伝えていて、（WAFが）いなければ、その時間（パッチを当てる時間）は間髪入れずにやってくる可能性があります。

WAFが入っていることによって、そのパッチを当てるテストを最低限やる時間を作れます。これはインシデント対応をしている最中においては、非常に重要な心の余裕になってきたりします。

臼田：「Log4j」の時とかもそうでしたよね。

勝原：そうですね。

臼田：AWSは真っ先にルールを出してくれましたね。

勝原：なので、多層防御が銀の弾丸ではないのは事実なのですが、重ね合わせることによって、トータルでみなさまのビジネス、ワークロードを確実に保護していってくれるものであると言いきってしまいたいなと思います。

清野：はい、ありがとうございます。かなりWAFに対しての理解も高まったのではないかなと思っています。もっといろいろとお話を聞きたいところではあるのですが、ここで時間がきてしまったので、いったんこちらでトークセッションは終了いたします。みなさんありがとうございました。

（会場拍手）

WAFとSecurity Hubはみんな入れましょう

清野：それでは、最後に一言ずつもらえればと思います。それでは臼田さん、よろしくお願いします。

臼田：そうですね。話したいことはまだまだいっぱいありますが、とりあえずやはりWAFはみんな入れないとダメですよというところと、Security Hubもみんな入れないとダメですよと（笑）。

AWSは、とりあえず入れておけば何とかなるみたいなことがいっぱいあるんですよね。話しそびれちゃったのですが、途中で出てきたAWS Security Maturity Model、AWS成熟度モデルでも、とりあえず入れておけというものがいろいろと定義されているので、何をやったらいいかわからないみたいな場合には、「とりあえずこれを入れておけ」というものを全部バーッと入れてもらって、運用をどうするかはそのあとでも大丈夫です。

なので、まずはWAFでもSecurity Hubでも、使い始めるところですね。そこからやり始めていってもらえればなと思います。

清野：ありがとうございます。それでは続いて佐竹さん、お願いします。

佐竹：そうですね。WAFでいうと、「WAFを入れたら全部終わり」みたいな、「それで終了」みたいなことにはならないということを言いたいです。パッチ提供もいります。最近はSystems ManagerのエージェントがInspectorの情報も取ってくれるようになったのがすごく便利で。あれを見ると、パッチ適用されていないものがすぐにわかるんですよね。

いろいろなサービスを組み合わせてそういう運用ができるようになるので、それも合わせてやってもらえればなと思います。

清野：ありがとうございます。それでは続いて勝原さん、お願いします。

勝原：はい。AWS WAFもそうだし、AWSはオンプレミスの時代はなかなか苦労していた、「自分たちの環境で何が起きているのか」という可視性を上げるための工夫が選択肢としてたくさんできるようになっています。

オンにすればまずは見えるようになり、見えるようになれば次に何をすればいいかがわかるようになるというふうに、徐々にステップが進んでいけます。なので、楽になるためのセキュリティをやっていくみたいな感覚で、ぜひ取り組んでもらえると良いのではないかなと思います。

清野：ありがとうございます。それでは最後に黒田さん、よろしくお願いします。

黒田：はい。いっぱいWafCharmを宣伝していただいて恐縮でした（笑）。私はプロダクトのWafCharmを提供している人間ではあるのですが、今日の話は私自身も自分のプロダクト開発において、クラウドセキュリティを改めて見直す良い視点になったと思っています。

非常に参考になったと思っているし、帰ってすぐにSecurity Hubのプラグをちゃんと確認しないとなと思っています。ありがとうございました。

清野：はい、黒田さんありがとうございます。それではこちらでトークセッションは以上となります。ご清聴いただきありがとうございました。

（会場拍手）