セキュリティの民主化は何故必要なのか_AWS WAF 運用の 10 の苦悩から学ぶ

Transcript

1. セキュリティの民主化は何故必要なのか : AWS WAF 運用の 10 の苦悩から学ぶ WafCharm Night vol.2

   LT 株式会社サーバーワークス マネージドサービス部 佐竹 陽一 2025年6月24日（火）

2. 2 株式会社サーバーワークス:佐竹 <自己紹介> ⚫ 氏名  佐竹 陽一 (さたけ よういち)

   ⚫ AWS 利用歴  2010年1月から業務利用を開始。サーバーワークス 2014年7月 入社 ⚫ 主な役割  大手顧客のカスタマーサクセスマネージャー（CSM）  AWS マルチアカウント管理を軸にコスト最適化とセキュリティを得意とする  プリセールス、PM/PL、構築+運用、セキュリティ、外部登壇など幅広く対応 ⚫ AWS 認定資格等  2023-2024 Japan AWS Top Engineers (Security)  2021-2022 Japan AWS Ambassadors (2021年度 世界3位表彰)  2020-2024 APN All AWS Certifications Engineers (5年連続表彰)

3. 3 1.日常と誤検知 ①“COUNT”のままにしてしまう問題 ②ログ分析というスキル依存 ③ルールのブラックボックス問題 ④運用における誤検知の是正 2.突発的強制参加イベント ⑤Zero Day ⑥DDoS

   目次 3. 人材と ROI ⑦組織的リスクと属人化 ⑧希少人材の採用困難 ⑨教育難易度 ⑩ROI 証明の困難性 4.啓蒙そして民主化

4. 日常と誤検知 第１部

5. 5 ① “COUNT”のままにしてしまう問題 ⚫ 最初は COUNT モードから  ルールグループを”COUNT”とした場合、 リクエストは

   WAF を通過してデフォルト アクションで「許可」される  右図の場合、最初の2つのルール以外は、 ほぼ「素通り」している状況 ⚫ BLOCK にしてセキュアにしたい  “BLOCK”にするのは怖いと仰る  「誤検知したらユーザから怒られるかも」 ⚫ この時どのようにユーザ様を説得 しますか？

6. 6 ① “COUNT”のままにしてしまう問題 ⚫ 最初は COUNT モードから  ルールグループを”COUNT”とした場合、 リクエストは

   WAF を通過してデフォルト アクションで「許可」される  右図の場合、最初の2つのルール以外は、 ほぼ「素通り」している状況 ⚫ BLOCK にしてセキュアにしたい  “BLOCK”にするのは怖いと仰る  「誤検知したらユーザから怒られるかも」 ⚫ この時どのようにユーザ様を説得 しますか？  説得のためにも「ログ分析」が重要

7. 7 ②ログ分析というスキル依存 ⚫ AWS WAF のログ分析できます？  Amazon Athena 使えます？DDL定義できます？調査用

   SQL 書けます？  「私はできる」。いや、でも「これどうやって教えたらいいんだろう？」となって。結局自 分でやってしまい、結果をExcelでサマリーしてグラフにして、提出してしまう ⚫ ログの調査が難しい  何を調べるかの仮説を 先に立ててから調査を する必要があります  勘所・仮説が時短の肝  ↑どうやって教える？  SQL 好き！みたいな人 なかなかレアですし

8. 8 ③ルールのブラックボックス問題 ⚫ AWS Managed Rules  ルールを考えなくても良い  ベストプラクティスを採用できる

   ◼ だがしかし・・・ ⚫ 中身がブラックボックス  中身が更新されたときに何が 起きるのかわからない  つまり「誤検知が出るかも」  古いバージョンで維持されて いませんか・・・？  新しいバージョンを怖がらないで ください（それは味方です）

9. 9 ④運用における誤検知の是正 ⚫ 実際に誤検知が出たら？  頑張ってバイパスしましょう  IPv4 で許可してしまうと楽ではある ⚫

   また、ログ分析  “403 Forbidden” だけで WAF ブロック なのかどうか、利用者がわからない  誰が切り分けるのか？  WAF のログが分析できる人です  どのルールにマッチしたのか？とか ⚫ 謝罪・・・？  WAF 君は正しい行いをしただけなんです。 誰も悪くないです。そうでしょ？

10. 突発的強制参加イベント 第２部

11. 11 ⑤Zero Day ⚫ Apache Log4j2 の脆弱性 “CVE-2021-44228“ の思い出 

    2021年12月のあの日、皆様何をされていましたか？  私は、AWS WAF のルールを変更していました （もちろん実話です） ⚫ 「日常と誤検知」に追加で襲い掛かる突然のイベントがゼロデイ攻撃です

12. 12 ⑥DDoS ⚫ 「日常と誤検知」に追加で襲い掛かる突然のイベント「DDoS」  DDoS: Distributed Denial of Service

    ◼ これが起きないで欲しいと「祈り」に似た気持ちを覚える（他人事ではない） ⚫ どのように緩和するか？  備えあれば患いなし。そも、 Best Practices に則っておく→  reCAPTCHA がつよい  User/Pass の UI 変更もあり  IP ブロックは追いつかない ことがある  Attack surface reduction もやっておきましょう https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/mitigation-techniques.html

13. 人材と ROI 第３部

14. 14 ⑦組織的リスクと属人化 ⚫ セキュリティエンジニアが組織的な SPOF となってしまう  セキュリティ人材が組織内で不足、故に少人数での対応となり、個人依存になりやすい  個人依存になると「その人がいないと回らない状況（属人化）」が発生し易い

    ◼ 私は2013年頃「AWS に詳しいのはわかるけど、同時に佐竹くんが業務のボトルネックにもなって いるんだよね」と言われてちょっと引きました 出展: サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ

15. 15 ⑦組織的リスクと属人化 ⚫ セキュリティエンジニアが組織的な SPOF となってしまう  セキュリティ人材が組織内で不足、故に少人数での対応となり、個人依存になりやすい  個人依存になると「その人がいないと回らない状況（属人化）」が発生し易い

    ◼ 私は2013年頃「AWS に詳しいのはわかるけど、同時に佐竹くんが業務のボトルネックにもなって いるんだよね」と言われてちょっと引きました ⚫ 「採用」と「教育」が解決策か？ 出展: サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ

16. 16 ⑧希少人材の採用困難 ⚫ 採用時、企業はセキュリティ人材に認定資格を求めています  需要は高いものの、回答者の 72% はテクノロジーに特化した認定資格を持つ人材を見つけ るのは難しいと述べている(While demand

    is high, 72% of respondents say it’s difficult to find individuals with technology-focused certifications.)。※APACは 76% (2023年) ⚫ 現状、採用も難しい  そもそも専門性を証明する認定資格 を持った人材を見つけること自体が 世界的に見て極めて困難な状況と なっていることがわかります  これは皆様にも同様の実感が あるのではないでしょうか？ 出展 Fortinet: 2024 Cybersecurity Skills Gap Global Research Report

17. 17 ⑨教育難易度 ⚫ 企業が求めているレベルに到達するまでのハードルが高い  企業が求めているのは一般的な IT スキルではなく、高度な専門スキル ◼ 「Cloud

    security」（クラウドセキュリティ、35%） ◼ 「Cyber threat intelligence」（サイバー脅威インテリジェンス、31%） ◼ 「Malware analysis」（マルウェア分析、26%）  これらを習得するには、時間と 質の高い教育プログラムが不可欠 であり、一朝一夕に育成できる ものではありません  知識だけでなく、同時に実務で 実績を積ませる必要もあります  加えて有識者ほど転職してしまう ことにならないよう、組織作りも 重要です 出展 Fortinet: 2024 Cybersecurity Skills Gap Global Research Report

18. 18 ⑩投資対効果(ROI)証明の困難性 ⚫ 「何事もなかったこと」を成果として報告する必要がある  「〇〇 がなくても大丈夫だったんじゃない？」となってしまっては解約の危機です  そのため「〇〇 のおかげで安定稼働しています」という報告をする必要があります

     これが ROI の証明ですが、その証明に苦労するとエンジニアの工数が圧迫されます ⚫ 参考 Gartner: Cybersecurity Outcome-Driven Metrics (ODM)  サイバーセキュリティの「アウトカム・ドリブン・メトリクス」とは何か？  従来の指標は技術的な側面（セキュリティツール導入数、インシデント発生数など）に偏りがち だったが、ODM はそれらの技術的な側面が、ビジネス上の成果（顧客の信頼度、損害賠償リ スク、事業継続性など）にどのように貢献しているかを数値で示すもの

19. 最後に 第４部

20. 20 1.日常と誤検知 ①“COUNT”のままにしてしまう問題 ②ログ分析というスキル依存 ③ルールのブラックボックス問題 ④運用における誤検知の是正 2.突発的強制参加イベント ⑤Zero Day ⑥DDoS

    目次（再掲） 3. 人材と ROI ⑦組織的リスクと属人化 ⑧希少人材の採用困難 ⑨教育難易度 ⑩ROI 証明の困難性 4.啓蒙そして民主化

21. 21 啓蒙そして民主化 ⚫ セキュリティには「難解、排他的」というイメージが付きまとう  セキュリティを「とっつきやすそう」「楽しそう」と思っている方は少ないイメージです  むしろ「大変なことになりそう」「責任が重大そう」「難しそう」というイメージです ⚫ セキュリティエンジニアは「GOD」でも「ヒーロー」でもない

     少数の英雄（SPOF）が生まれてしまう状況は、組織が不健康である証かもしれません ⚫ 私たちが目指すべきは、その逆です  セキュリティを初心者にも学びやすく、低コストで、開かれた「民主的な」分野にしたい  セキュリティに携わる人材の総数を増やしていきたい ⚫ そのための「啓蒙、教育、民主化」を  セキュリティの（心理的な）ハードルを下げ、間口を広げ、人を呼び入れませんか？  それが「この先の未来の辛さ」から我々を救い出してくれる手ではないでしょうか？
22. None