Ruby on Railsのテストコード実装方針を考えた
shimo
デロイト トーマツ ウェブサービス株式会社(DWS)公式ブログ
OWASP TOP10とそれに対応するWAFの導入事例
tecchan
近年Web アプリケーションに対する攻撃は複雑化しており、セキュリティへの関心がますます高まっています。前回のブログでは、RASPとWAFの違いとそれぞれがアプリケーションを保護する方法について見ていきました。
今回のブログではさらにWAFに焦点を当て、標準的なセキュリティリスクであるOWASP TOP10と、それに対応している当社の事例を紹介していきます。
OWASP TOP10とは
OWASP TOP10とは、OWASP財団(ソフトウェアのセキュリティを向上させる取り組みをしているオープンソースプロジェクトの団体)が公表している、Web アプリケーションに対する最も重大なセキュリティリスクのTOP10の概要ものを指します。
2021年のセキュリティリスクTOP10は下表の通りです。
詳細はOWASP財団の公式サイトにて公表されているOWASP TOP10の記事もご参照ください。
| 番号 | 項目名 | 概要 |
|---|---|---|
| A01:2021 | Broken Access Control | アクセス制御ポリシー適用の失敗 |
| A02:2021 | Cryptographic Failures | 暗号化の欠如 |
| A03:2021 | Injection | フォームから不正なスクリプト文を送る |
| A04:2021 | Insecure Design | 安全でない設計 |
| A05:2021 | Security Misconfiguration | セキュリティの設定ミス |
| A06:2021 | Vulnerable and Outdated Components | 脆弱かつ古いコンポーネント |
| A07:2021 | Identification and Authentication Failures | 認証認可の失敗 |
| A08:2021 | Software and Data Integrity Failures | ソフトウェアやデータの整合性の不一致 |
| A09:2021 | Security Logging and Monitoring Failures | セキュリティログと監視の失敗 |
| A10:2021 | Server-Side Request Forgery | 意図しない宛先へ細工されたリクエストを強制的に発行 |
また、各セキュリティリスクに対する説明や防止方法についても公開されています。例えばA01のアクセスポリシー適用の失敗についてはこちらのリンク先をご参照ください。
AWS WAF
これらをアプリケーションに届く前のネットワーク層で保護するためのツールとしてWAFがあり、当社ではAWS WAFというツールを利用しています。これは送信元のIPアドレスやリクエストの内容について事前にルールを設定し、それに該当するリクエストをブロックすることでアプリケーションのセキュリティを保護することが可能となります。
AWSでも事前に設定されたルールがあり、ユーザ側でルールを作成せずともいくつかのOWASP TOP10のリスクに対応する事が可能です。
CSC Managed Rules for AWS WAFとは
CSC Managed Rules for AWS WAF(正式名称:Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-)は、当社が採用しているAWS WAFのマネージドルールセットです。これを導入することにより、ユーザ側でルールを作成せずとも全てのOWASP TOP10および多種多様の脆弱性を軽減、最小化することが可能です。このルールセットをAWS WAFと連携することで、外部アプリケーションからの攻撃をブロックします。
このルールセットは国内ベンダーのCSC社により提供されており、製品についてはAWS Marketplaceから購入することが可能です。詳細についてはAWS Marketplaceに掲載されているこちらのページもご参照ください。
活用事例
上記の通り、通常のAWS WAFの導入に加えOWASP TOP10などのさらなるセキュリティリスクに対応したい場合には、CSC Managed Rules for AWS WAFの導入を提案しております。当社での活用事例として、株式会社ダイブ(以下「お客様」と表記)の事例をご紹介いたします。
お客様は事業サイトの運用を行っており、かねてよりセキュリティに強い関心をお持ちでした。以前の案件でもAWS WAFの導入を検討しており、その際は3rdパーティ製のツールであるWAF Charmの導入を行いました。この度、CSC Managed Rules for AWS WAFを導入することによりさらなるセキュリティの向上が見込めるためお客様に提案しました。
このお客様のアーキテクチャ図を以下に添付します。
この導入に伴い、顧客のセキュリティに関する懸念の払拭に加え、常に最新のセキュリティ保護を適用できるようになりました。また、OWASP TOP10への対応を実施することで顧客のセキュリティインシデントの予防に繋げることが可能となりました。
かつてはOWASP TOP 10対応をするためには、独自でルールを作成し導入する必要があり、百万円程度のイニシャルコストに加え、定期的なルールの見直し及び改修費用の発生が必要でした。これに対し、本事例ではこれをマネージドな形で提供されているものを使用することで開発によるイニシャルコストを削減することができました。また、ランニングコストも月額25ドル程度で導入でき、これにはルール更新対応の自動化も含まれています。
まとめ
CSC Managed Rules for AWS WAFの導入により、顧客の開発費用、改修費用を最小限に抑えつつ、最新のセキュリティ対策を適用できるようになりました。
DWSではOWASP TOP10を含む多種多様なセキュリティリスクに関する知識を有する専門家が多数在籍しており、お客様に対して最適なソリューションを提案する事が可能です。セキュリティにお悩みのお客様は、ぜひ当社がお力になれると思いますのでお問い合わせくださいませ。
AUTHOR
金融業界のSIerにて5年間勤務。大小様々な規模の案件にてプロジェクトマネジメントを経験後2022年5月にDWSへ入社。最先端の技術を用いる開発業務を担当。最近では先端技術への理解とマネジメントの経験を活かし、スクラムマスターとして案件を推進。AWS認定資格全12種取得。認定スクラムマスターPSMⅡ取得。
