2018年5月31日

•

•

•

•

※プラス、お楽しみクイズ企画開催！是非ご参加下さい！

67

%の増加となる。」42

つまり敵は競合他社ではなく、外から来る、そしてその破壊はすぐそこまで来ていると。外から壊される前に、我々自身がデジタル変革をして、業界を変えていかなえればいけない。

Source :デジタル化、自動運転時代の保険…「保険の先」が見据える未来 SOMPOホールディングス楢崎浩一CDOに訊く

https://response.jp/article/2017/05/23/295069_3.html

適切なユーザ

ブルートフォース攻撃を始めとしたL7を狙った各種攻撃の防御

パブリッククラウド上のアプリ

クラウドベースのWAFサービス

自社データセンタ内のアプリ

攻撃者

Security Operation Center

F5 Silverline Cloud

オンプレWAF

F5 SOC (Security Operation Center)がブルートフォース向けの処

置を即時実施

そもそも、いつの間にアプリがそんなトコに上がってんだ？

• IPアドレスやTCP/UDPポート番号等

• オペレーティングシステムの脆弱性を悪用する攻撃、ミドルウェアへの攻撃等

•

• Webアプリケーションへの攻撃

FirewallはNetworkを守る

IPSはサーバシステムを守る

WAFはWebアプリケーションを守る

• 不正ログイン系

• 脆弱性系

• サービス停止系

セキュリティ脅威 Firewall IPS WAF

ファイル/ディレクトリ探索 × ▲ ●

バッファオーバーフロー攻撃 ▲ ▲ ●

クロスサイトスクリプティング × ▲ ●

SQLインジェクション × ▲ ●

OSコマンドインジェクション × ▲ ●

Cookieポイズニング × × ●

パラメータ改ざん × × ●

Webスクラッピング × × ●

レイヤ7DoS攻撃 × × ●

ブルートフォースログイン攻撃 × × ●

事実！7割の回答者が

アプリケーションセキュリティの重要性を認知。

しかし！4割近くがWAFで守るのは全てのアプリのうち

「25%以下」と回答。

Q1.御社のIT基盤の状況は？ Q2.御社のアプリケーション（ウェブ、サービス）の重要度は？

Q3. WAFの利用動向は、、、？

23%

33%

45%

全く外部脅威を感じていません。攻撃受けた事

はないです。

攻撃を明らかに受けていて、被害も出てます。

問題点はあるようだが、何が分からないのかが

分からない。

48%

25%

27%

事業にクリティカルです。

落ちてもそんなに困らないです。

情シストップは大騒ぎですが、その他大勢はあま

り気にしていない様子です。

13%

24%

9%

41%

13%

もう使ってます。フルに活用しています。

導入済みですが、実際にブロックしているのか

疑問。

問題点はあるが、気付かないふりしてます。

詳細はよく分かりません。入れる予定はありま

せん。

その他

そうなんですが、自身でセキュリティルールを作成・管理する必要がありまして・・・

AWS上に標準でWAFがありますよね？

セキュリティ対策毎にコンディション、フィルター、ルールなどを作成する必要があります。。。

AWS Managed WAF, コスト効率, 基本的なWebアタック保護

+OWASPに準拠した保護対策、CVE脆弱性対

応、ボット対策

L7DDoS対策、アプリケーション可視化、高度なボット対策、APIセキュリティ、リスク

マネジメント、詳細ログ

AWS WAF +

F5 Managed Rules F5 Web Application Firewall

個別コンディションやルール作成不要！ルール作成時にSubscribe RuleからF5を選択するだけで構成可能

攻撃を検知/ブロックした際は、AWS WAFコンソールから詳細ログを確認可能

攻撃者の-ソースIPアドレス、国情報

-ターゲットURI-簡易リクエスト内容

-ホスト名-User-Agent

等

- F5 Managed Rules for AWS WAF -

F5 Web Exploits OWASP Rules F5 Rules for Common

Vulnerabilities and Exposure

(CVE)

F5 Bot Protection Rules

汎用的なWeb Application攻撃を防ぎたい

-SQLインジェクション-クロスサイトスクリプティング-コマンドインジェクション-パストラバーサル等

-Apache, IIS

-Apache Struts

-Bash

-Elasticsearch

-JBoss, JSP, Java

-MySQL,Node.js, WordPress

ミドルウェア脆弱性を防ぎたい

ボット不正アクセスを防ぎたい

-脆弱性スキャナー-Webスクレイパー-DDoSツール-スパムツール

1. CEO

2. CFO

3. CDO

株式会社ネットプライステクノロジー本部マネージャー高橋啓輔氏

Source : 株式会社ネットプライス長年の悲願だったWAFを導入し外部からの攻撃を可視化、攻撃由来のアクセスを遮断することでWebサーバの負荷も軽減https://f5.com/jp/solutions/customer-stories/cs-netprice-27484

株式会社ネットプライステクノロジー本部マネージャー高橋啓輔氏

システム構成概要

https://goo.gl/QKVMoE

※ご案内は弊社のブースでも行いますのでお気軽にお立ち寄り下さい！

クイズ2何かにつけて「大変」と話題沸騰のWAFポリシー管理。さて一回目のチューニングで何割の誤検知

を潰せると議論の中で結論付けられた？

1.早割2.九割3.学割

2017年はAPI元年

Source : マネーフォワード社公式ブログよりhttps://moneyforward.com/mf_blog/20170203/jpmintu/

Source : https://www.pymnts.com/smbs/2017/jpmorgan-chase-ondeck-extend-digital-banking-lending-partnership-for-smbs/

事例

Datacenter

参照先DB

事例

Datacenter

参照先DB

WAFの導入＋チューニングにより適切なトラフィックを選別、適宜対応できるようになり、インフラコストもコントロール可能に。

ADCやWAF、パブクラならではの新発想。

WAFやADCを「トラフィック量の最適化」として活用する、という新しい視点。

Network Floods

不正なリクエスト

スキャナー、ボット

既知の悪意あるホストからのアクセス

Workflow Enforcement

WAF

1. API

2. FBI

3. NNI

ONE MORE THING…….

高速化（起動時間短縮）

軽量化（コンピューティングリソース消費量削減）

自由自在なインスタンスの展開と縮退

ADCとWAFをアプリごとに分散配置！

• 継続的にアプリケーションを配信および反復開発するDevOps向けの構成を促進

App N – 200M

App 2 – 200M

App 1 – 25M

ADCとWAFを中央集権的な配置！

App N – 200M

App 2 – 200M

App 1 – 25M

ADC

WAF+

ADC

WAF+

ADC

WAF+

ADC

WAF+

総括：✓ DX時代、アプリケーションがデジタル変革の要になる！どうやって守るか、とセットで考えましょう！✓ 適材適所なセキュリティ対策は非常に難しい、、、本日の事例や情報が一助になれば幸いです。✓ WAFの導入にあたってのキーポイントを分かりやすく紹介したWEB漫画もぜひチェックしてみて下さい！

あなたの会社のWebセキュリティは本当に大丈夫？情報漏洩は経営課題https://interact.f5.com/jp-solutions-web-security.html

・NTT-ATのF5製品専任エンジニアが全面サポートします。（例：トラブル時のAWSへの問い合わせ内容をお客様に代わって作成など）

・構築時から運用まで、幅広くご利用頂けます。・チケット制のため、無駄がありません。

AWS上でBIG-IP VE版従量課金モデルをご利用のユーザー様向け

テクニカルQAサポートチケットサービス

お客様NTT-AT

詳細は当会場【慶雲 B7ブース】まで！