サイバー攻撃の手口は年々高度化しており、企業のデータやWebサービスを守ることがますます重要な課題となっています。

特に多くの企業が採用するAWSのようなクラウド環境においては、効率的かつ強固なセキュリティ対策が求められます。しかし専任のセキュリティエンジニアがいない企業も少なくないことから、運用面で課題を感じている担当者も多いのではないでしょうか。

そのようなクラウドユーザーのペインに寄り添うべく開発されたのが、ユーザー数国内No.1*¹のWAF自動運用サービス「WafCharm（ワフチャーム）」です。アクセスログをもとに、新たに発見した攻撃や個別の環境に最適化されたルールを自動的に作成・更新してくれるため、専任のセキュリティエンジニアがいなくともAWS WAFの運用を適切かつ楽にできます。

*¹日本マーケティングリサーチ機構調べ　調査概要：2020年7月期_実績調査

今回は、「WafCharm」を提供する株式会社サイバーセキュリティクラウド（以下、CSC）の代表取締役CTOと、15年近くペリメータセキュリティ（境界型防御）領域を扱ってきたAWSの担当者に、エッジセキュリティの現状と未来についてお話を伺いました。

※サイバーセキュリティクラウドについては、以下の記事も併せてご参照ください。
▶︎世界で戦う国産セキュリティメーカーの挑戦。サイバーセキュリティクラウドのエンジニア組織と文化とは

プロフィール

渡辺 洋司（わたなべ ようじ）

株式会社サイバーセキュリティクラウド
代表取締役CTO

1975年生まれ。明治大学理工学部情報科学科を卒業。大手IT企業の研究開発のコンサルティングを手掛ける企業で、クラウドシステムやリアルタイム分散処理、異常検知の研究開発に携わる。2016年に株式会社サイバーセキュリティクラウドへ入社後、CTOや取締役を歴任。2021年 代表取締役 CTOに就任。

中谷 喜久（なかたに よしひさ）

アマゾン ウェブ サービス ジャパン合同会社
サービス&テクノロジー事業統括本部
コアサービスソリューション本部　部長

2010年ごろより一貫して、外資IT企業にてペリメータセキュリティ領域を担当。2017年 AWSに入社後も、AWS WAFやAWS Shield、Amazon GuardDutyなど、各種エッジサービスを組み合わせたソリューションの設計・提案などに従事している。

2017年からスタートした CSCとAWSの強固なパートナーシップ

―― まずは、CSCの事業概要について教えてください。

渡辺：弊社ではWAF（Webアプリケーションファイアウォール）製品を中心に、Webアプリケーションのセキュリティ領域の事業を10年以上行ってきました。「攻撃遮断くん」や「WafCharm」など、様々な環境に対応したWAF製品を提供し、2023年10月からはパブリッククラウド環境フルマネージドセキュリティサービス「CloudFastener（クラウドファスナー）」の提供も開始しています。それまではアプリケーションの入り口だけを守る部分が中心の事業領域でしたが、セキュリティをフルマネージドするサービスである「CloudFastener」がラインナップに加わったことでクラウドセキュリティの会社として歩みを進めております。

―― AWSとは、どのような取り組みをされているのですか？

渡辺：AWS WAFの運用を効率化するためのサービスとして、先述の「WafCharm」を提供しています。また「Cyber Security Cloud Managed Rules for AWS WAF」と呼ばれるマネージドサービスも手掛けています。これら2つともAWSマーケットプレイス上で販売しているため、AWSユーザーの方々に簡単にご導入いただけます。現状、ありがたいことにグローバルで世界中の方々にご利用いただいてます。
※「WafCharm」は「WafCharm for AWS Marketplace」として販売

このような形でAWSのプラットフォームを積極的に活用させていただいており、ありがたいことに2022年 リージョナル・グローバル AWS パートナー アワードでは Marketplace Partner of the Year – APJ も受賞させていただきました。AWS パートナーパス内のソフトウェアパス部門で最上位ステージ「DIFFERENTIATED」となっており、AWS WAFのサービスレディプログラムにも認定いただいています。このように、様々な側面で強固な連携関係を築いています。

―― おふたりは、いつごろから一緒にお仕事をされているのですか？

中谷：2017年ごろです。AWS WAFが2016年にリリースされたのですが、誰もがビルダーと言いつつ、実際にどうやって作るのかという話がありました。2017年に Partner Managed Rulesという形で様々なセキュリティベンダーさんからマネージドルールをご提供いただき、その際に先ほどお話にあった Cyber Security Cloud Managed Rules for AWS WAF をCSCからもご提供いただきました。お付き合いとしてはそこからですね。「WafCharm」のような製品は世界的にも珍しいので、日本だけでなく、アメリカやインド、ASEANなど、幅広いエリアでご紹介させていただいています。

アプリケーションレイヤーへのDDoS攻撃が増加傾向

―― AWSでのセキュリティ対策を検討する上でベースとなるAWSが提唱している「責任共有モデル」についても教えてください。

中谷：説明しはじめたらこれだけで時間が過ぎてしまうので簡潔にお伝えしますと、「責任共有モデル」とは、AWSとユーザーでクラウドにおけるセキュリティ（Security of Cloud）に関する責任を分担するという考え方です。例えばオンプレミスの場合、電源や無停電電源装置（UPS）を含む運用管理をお客さまやSIerが行っていましたが、それをAWSが行います。その代わりに、アプリケーションの開発・運用時における脆弱性対応やパッチの適用などは、お客さまに実施いただくという考え方です。

中谷：WAFのルールもその一環で、お客様に対応いただく領域です。しかし、すべての企業にクラウドセキュリティの専門家がいらっしゃるわけではありません。そのため、AWS WAFを導入しても運用まで手が回らなかったり、新規の攻撃に対して即時のルール（シグネチャ）更新などが難しかったりするため、CSCの「WafCharm」のようなサービスが必要になってくるのです。

―― 新規の攻撃への対応という話がありましたが、おふたりが専門とするエッジセキュリティについて、昨今の国内外の動向を教えていただきたいです。今、どのようなことが論点になっているのでしょうか？

中谷：2010年ごろからオンプレミス・クラウドを問わず、外部からの攻撃をいかに防御するかに取り組んできた身として、大きなトピックとしてはやはりDDoS攻撃が挙げられます。以前はDDoSといえばレイヤー3や4といった、インフラレイヤーへの攻撃が主流でした。つまり、パケットを大量に送りつけて回線を圧迫するようなパターンでしたが、最近はレイヤー7、すなわちアプリケーションレイヤーへの攻撃が増加傾向にあります。

DDoS攻撃が厄介なのは、リクエスト的には正しいものの、その数が膨大な点です。そこに対してWAFは、悪意のあるリクエストを検知して必要に応じてブロックなどを行いますが、量が多いとそれだけ必要なチェックも増えるので、負荷が高まります。AWSはクラウド事業者ですが、このような攻撃を最初に受けるという観点で実質的には大規模なオンプレミス環境と言えます。脅威を可能な限り減らす必要があるため、混乱や損害を引き起こす可能性のある何百ものサイバー攻撃を、日々検知・防御しています。

―― なるほど。攻撃がアプリケーションレイヤーに近づいてきているわけですね…。

中谷：ただし、繰り返しにはなりますがリクエスト的には正しいため、正規なものまですべてを遮断するわけにはいきません。そこが厄介なところです。何が正規で何が悪意かを見分けるのが難しく、数も増加しているため、これまでの知見を反映するにしても、個々のお客さまにフィットさせるのには限界があります。誤検知・誤遮断につながらないよう最大公約数的な設定にせざる得ず、最適な形への調整は、お客さま自身もしくはパートナーに行なっていただくしかないと考えています。サイバーセキュリティの高度化に対応できる人材の確保・育成なども今後ますます課題となるでしょう。

※国内外動向については以下のAWSブログも併せてご覧ください。
AWS 脅威インテリジェンスによる脅威アクターの阻止

渡辺：中谷さんがおっしゃったことは、お客さま側でも多く発生しています。例えばWAFが攻撃と判断するようなSQLインジェクションやクロスサイトスクリプティングなどは、あらゆるWebサイトで絶えず攻撃は続いており、その数は増加の一途をたどっています。このような状況だからこそ、常に最新の攻撃動向に応じた防御とセキュリティ対策が不可欠だと考えています。

幅広い攻撃に対応できるAWS WAFのルールを自動適用する「WafCharm」

―― エッジ向けのAWSサービスの全体像についても教えてください。

中谷：まず大前提として、AWSのインフラは大きく2つのパートに分かれています。代表的にはAmazon EC2などのサービスが動作するRegionと、CDNの機能を持つAWS Edge Locationです。このEdge Locationが一義的に攻撃を受けることになります。

―― 先ほどおっしゃったDDoS攻撃や、悪性ボットなどによる攻撃ですね。

中谷：Edge Locationの中で動作する代表的なものが、図に挙げた3つです。DNSサービスのAmazon Route 53、HTMLへのリクエストを制御するAmazon CloudFront、そしてAWS WAFです。枠内の左側にあるAWS ShieldはDDoS対策に必要なコンポーネントで、ここでレイヤー3〜4のDDoS攻撃を緩和し、Route 53でDNSへのDDoS攻撃を緩和します。また、CloudFrontでは正規のHTTP（S）リクエストのみを受信し、キャッシュ機能による負荷軽減や、Slow攻撃などを緩和します。AWS WAFでは保護するアプリケーションに適したルールセットを選択し、Webアプリケーションの通信をフィルター・監視して、検知した攻撃をブロックします。

ルールには、IPアドレス・地理的一致、AWS Managed Rules、レートベースルール、ボット対策ルール、不正ログイン・アカウント作成対策ルール（Account Takeover Prevention／Account Creation Fraud Prevention ）など、様々な種類があります。最近は特に、最後に挙げた2つのルールがWAFでも求められることが多くなってきている印象です。

―― このAWS WAFをお客様が運用するコストの軽減のために生まれたサービスが「WafCharm」ということですね。

渡辺：そうですね。中谷さんがお伝えしている通り、「責任共有モデルで適切に運用してください」ということに対して、セキュリティの専門家を社内に抱えることは多くの企業にとっては難しいので、そこを「WafCharm」がサポートします。

―― AWS WAFの運用の難しさとは、具体的にどのようなポイントがあるのでしょうか？

渡辺：大きく3つあると考えています。1つ目は、ルール作成における妥当性と、そのルールが自社のアプリケーションに最適かどうかという点です。例えばオープンソースのものも沢山ありますが、どれを選択すべきか、AWS WAFに適用するためにどのように表現を変えるべきか、といったことが挙げられます。

2つ目は、実装したルールが誤検知なく動作しているかの確認とチューニングです。チューニングは、単に検知したから遮断するのではなく、影響範囲を十分に検討した上で対応する必要があります。これは専門的なセキュリティエンジニアではない方にとっては、実施するのはハードルが高いと思います。

3つ目は、アプリケーションの運用における専門的な対応です。例えば、使用しているCMSに新たな脆弱性が発見された場合、想定される攻撃と必要な防御策を理解した上で、AWS WAFに適用する必要があります。しかし、これらの対応にも十分なリソースを確保することが難しいことが多いです。

―― それらに対して、「WafCharm」で用意されている機能を教えてください。

渡辺：まずお客さまのAWS WAFに、幅広い攻撃に対応できるWAFのルール（シグネチャ）を自動適用します。また、個別の環境で発見された脆弱性や脅威に対するカスタムルールの作成・実装も「WafCharm」が行います。また、WAFログと当社独自の検知データを活用しブロックリストを自動更新する機能により、手動でのブロックリストの追加作業が不要になります。

さらに、「WafCharm」には24時間365日のテクニカルサポートがつくので、「このような攻撃を受けているが対応可能か？」といった問い合わせに対しても、セキュリティエンジニアの観点で適切なアドバイスやカスタムルールの実装サポートなどを提供しています。

AWS WAFを運用する際の課題全般を、「WafCharm」がカバーできている

―― 「WafCharm」を導入すると、AWS WAFの運用業務がどう変わるのでしょうか？

渡辺：数値的には、AWS WAF運用における業務は75％の工数削減ができます。これは、AWS WAF導入におけるルール設計からチューニングまでの工数短縮が前提になります。具体的な事例として、freee様では、ルールによるブロックと詳細な分析に基づくブロックを組み合わせることで、、不正アクセスの9割を止めることができていると伺っています。攻撃をしっかりと防御できているという事実に基づく安心感をご評価いただいています。

「WafCharm」の特徴的な点として、ルールをお客さまのAWS WAFに直接設定する点があげられます。マネージドルールではブラックボックス化してしまいますが、「WafCharm」の場合は、直接見えるところにルールが置いてあるので、「これで引っかかっているのかもしれない」と、必要に応じてお客さま自身で確認することもできます。

―― 深掘りしたいお客さまにも良さそうですね！

渡辺：まさに、そうですね。マネージドルールは汎用的なため複雑なことには適していません。一方で、「WafCharm」ならAWS WAFを運用する上での全般的な課題をカバーできていると考えています。

―― ありがとうございます。それでは、最後に読者の皆さまへメッセージをお願いします。

中谷：CSCは非常に機動力があり、様々なサービスの拡張などにも柔軟に対応していただいています。また、製品開発だけではなく、お客さまの利用促進に向けた取り組みも日々実施いただいており、私たちAWSとしても大きなシナジーを感じています。「WafCharm」はAWSの課金モデルに合わせた従量課金制でお使いいただけるのがメリットだと思いますし、トライアルもあるので、ぜひ気軽にお試しいただければと思います。

渡辺：今だとクラウド自体への入り口は限定的ですが、その中でも最も重点的に守るべきは、やはりWebアプリケーションだと思います。その部分が確実に保護され、適切に運用されていることをご理解いただきながら、お客さまの事業成長をサポートしていきたいと考えています。「セキュリティは放っておいても大丈夫」とお考えの方もいらっしゃいますが、被害を受けたり攻撃の踏み台にされたりする可能性もあり、社会的な観点からも、継続的な防御は企業にとって重要なミッションです。どこから防御を始めるべきかとお悩みの企業さまに、ぜひ「WafCharm」をご活用いただきたいと考えています。

編集後記

セキュリティの専門家がいない企業にとっては、AWS WAFのルールを自力で作成することはなかなか難しく、かといって汎用的なマネージドルールだけでは最適な運用が難しいということで、今回お話のあった「WafCharm」は非常に保守効率の高い製品だと感じました。また、グローバル展開されているにもかかわらず、サポート体制が整っている点も、個人的に非常に魅力的なポイントだと感じます。AWS WAFの運用に課題を感じている方は、まずはトライアルから試してみてはいかがでしょう。

取材／文：長岡 武司
撮影：平舘 平

「WafCharm」公式サイトはこちら