目次
さまざまな攻撃に対処するためにAWS WAFを利用
参考になった
1
会員限定コンテンツです。無料登録すると制限なしでお読みいただけます。
レビュー投稿日の情報になります
株式会社ココナラ / Yuta Kawasaki(ゆーた)
開発部長 / EM / 従業員規模: 101名〜300名 / エンジニア組織: 51名〜100名
最終更新日投稿日
| ツールの利用規模 | ツールの利用開始時期 | 事業形態 |
|---|---|---|
| 10名以下 | 2018年 | B to C C to C |
| ツールの利用規模 | 10名以下 |
|---|---|
| ツールの利用開始時期 | 2018年 |
| 事業形態 | B to C C to C |
アーキテクチャ
アーキテクチャの意図・工夫
- 一番インターネットに近いALBにWAFをアタッチすることで、外部からの攻撃に対する対処ができるようにしている。
導入の背景・解決したかった問題
導入背景
ツール導入前の課題
- 前提として攻撃対策ソリューションが導入されていない状態だったため、アプリケーションレベルでSQLインジェクション、クロス・サイトスクリプティングなどの攻撃に向き合う必要があった。
- このままでは単一かつ静的な防御しかできず、情報漏洩などのサイバーインシデントが発生するリスクが大きく、攻撃対策ソリューションの導入機運が高まった。
どのような状態を目指していたか
- ユーザー数が増加したタイミングにおいても攻撃等を防ぎ、正常なリクエストのみが処理される状態。
- 仮にアプリケーションレイヤーで脆弱性が存在していたとしても、WAFで未然に対処できる状態。
比較検討したサービス
- Akamai
- Cloudflare
比較した軸
- 導入の容易性が高いこと。
- 小さい環境から始められること。
- 初めての取り組みなので、ベンダーの伴走が十分に得られること。
- 近しい規模感の会社で取り組んでいるような事例であること。
選定理由
- AWSの中に閉じて、設定が容易なこと。
- AWS社が十分に伴走してくれること。
- 比較的費用が安価なこと。
導入の成果
改善したかった課題はどれくらい解決されたか
- WAFにて悪意のある攻撃を防ぐことができたと言える。アプリケーションとWAFで多段防御することでユーザーに安心してプロダクトを利用してもらえる状態にできたのは成果である。
どのような成果が得られたか
- WAFの管理画面から「いま、この瞬間にプロダクトで何が起きているか?」が可視化できるようになった。
- そして、可視化された情報をもとにプロアクティブな対策を講じたり、PDCAサイクルを継続的に回せる状況を実現できた。
WAFに関しては以下の記事も参考にしていただきたい。
導入時の苦労・悩み
- 環境構築や運用設計で苦労した点は特になし。
- 実際に運用を初めて、「本当に費用対効果が見合っているのか」「この設定・運用で防御が十分と言えるのか」がわからなかったことは悩んだ。
導入に向けた社内への説明
上長・チームへの説明
- WAFを導入していないことで「いま、この瞬間に、プロダクトに攻撃されたときの対処ができないかもしれない」リスクを説明した。
- 上記に加えて、「費用対効果はやってみないとわからないが、現状のリスクを低減できるだけでもメリットがある」と説明した。
活用方法
- WAF自体は24/365でプロダクトへの攻撃に対処している。
- モニタリングは日時と随時でセキュリティエンジニアが実施している、詳細は以下の資料参照。
よく使う機能
概要
- 攻撃対策ルール
- SQLインジェクション、クロスサイトスクリプティングなどに対応するルールを設定
- ホワイトリストルール / ブラックリストルール
- 遮断してはダメなものをホワイトリストに追加し、絶対に遮断したいものをブラックリストに追加する
- ダッシュボード
- Allow / Block等のリクエストの分布やどのWAFのルールに合致していたか、どの国からアクセスが多いかなどを可視化している
- WAFのルールに合致したサンプルリクエストを見ることも可能
詳細
- Count
- 攻撃対策ルールの新規追加をする前に誤検知がないかを確認する目的で、ルールに合致するものをカウントする
- Challenge
- アクセス許可前にJavaScriptを使用してブラウザの正当な動作を検証、Botのアクセスを遮断するときに有用
- CAPTCHA
- アクセス許可前に人間による検証のChallengeを提示、Botのアクセスを遮断するときに有用
- レート制限
- 特定の条件を設定し、設定した評価時間内に合致した場合に特別なアクションを指定することができる
ツールの良い点
- AWSを使っている環境であれば、導入がスムーズ。
- 公式ドキュメントやAWS Well-Architected Toolが充実しているので、導入のハードルはほぼないと言える。
- 安価で導入できるのも良いポイント。
ツールの課題点
- 運用のベストプラクティスや事例が少なく、またプロダクトによって受ける攻撃の種類や質が異なるので、自分たちで試行錯誤する必要がある。
ツールを検討されている方へ
- WAFを導入することは重要、Webサービスをローンチするうえで間違いなく必須の攻撃対策。
- 特にAWS環境においては入れておいて間違いのないもの
- ただし、導入しているだけでは攻撃対策として不十分。
- 適切にアクセス状況 / ブロック状況をモニタリングし、ルールのチューニングを都度行うことが重要
- 運用をアウトソースしたい場合はWafCharmを用いるというのも選択肢になるので、検討した方が良い(ココナラは AWSマネージドルール、WafCharm、カスタムルールの三段構え で攻撃対応をしている)
今後の展望
- 運用効率化目的で引き続き、WafCharmに運用は任せつつ、DDoS攻撃対策に特化した対応として自分たちでルールをチューニングすることが必須となる。
- そこをSRE / PCSIRTなどの組織が担当することになるため、役割分担を行う必要がある。
- 特にオンコール担当者との役割分担が鍵であり、実際にDDoS攻撃が来てプロダクトに影響があったときに分担して調査・分析・対処ができるかがポイント
株式会社ココナラ / Yuta Kawasaki(ゆーた)
開発部長 / EM / 従業員規模: 101名〜300名 / エンジニア組織: 51名〜100名
2020年にココナラへジョイン、Head of Informationとして、プロダクトインフラ・SREと社内情報システム / セキュリティを管掌している。 2024年からココナラテックの執行役員 情報基盤統括本部長を兼任。 2025年からココナラのDev Enabling室 室長を兼任し、技術広報を中心とした開発の進化を進めている。
よく見られているレビュー
株式会社ココナラ / Yuta Kawasaki(ゆーた)
開発部長 / EM / 従業員規模: 101名〜300名 / エンジニア組織: 51名〜100名
2020年にココナラへジョイン、Head...
もっとみる
レビューしているツール
目次
- アーキテクチャ
- 導入の背景・解決したかった問題
- 活用方法