Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WafCharm導入で激変!プロダクトの未来を守るためのTips
Search
coconala_engineer
December 19, 2024
Technology
0
66
WafCharm導入で激変!プロダクトの未来を守るためのTips
12/19(木)開催のWafCharm Nightの登壇資料。
https://www.cscloud.co.jp/news/event/202411187679/
coconala_engineer
December 19, 2024
Tweet
Share
More Decks by coconala_engineer
See All by coconala_engineer
生成AI時代を勝ち抜くエンジニア組織マネジメント
coconala_engineer
0
18
AI時代を生き抜く 新卒エンジニアの生きる道
coconala_engineer
1
71
SwiftTestingによる_モダンなiOSテスト手法とBDD.pdf
coconala_engineer
0
270
SRE × マネジメントレイヤーが挑戦した組織・会社のオブザーバビリティ改革 ― ビジネス価値と信頼性を両立するリアルな挑戦
coconala_engineer
0
860
SIEMを利活用した信頼性向上プロセスと実践
coconala_engineer
0
46
Cursorを使って 新機能開発してみて 感じたこと
coconala_engineer
0
160
社内にAIレビューツール導入してみた
coconala_engineer
0
160
犯人はE2Eテスト? 並列実行で開発チームを救え!
coconala_engineer
0
68
サービスを止めるな! DDoS攻撃へのスマートな備えと最前線の事例
coconala_engineer
2
370
Other Decks in Technology
See All in Technology
Fashion×AI「似合う」を届けるためのWEARのAI戦略
zozotech
PRO
2
440
品質のための共通認識
kakehashi
PRO
3
260
「Managed Instances」と「durable functions」で広がるAWS Lambdaのユースケース
lamaglama39
0
320
エンジニアとPMのドメイン知識の溝をなくす、 AIネイティブな開発プロセス
applism118
4
1.3k
ログ管理の新たな可能性?CloudWatchの新機能をご紹介
ikumi_ono
1
720
学習データって増やせばいいんですか?
ftakahashi
2
330
WordPress は終わったのか ~今のWordPress の制作手法ってなにがあんねん?~ / Is WordPress Over? How We Build with WordPress Today
tbshiki
1
760
生成AI時代におけるグローバル戦略思考
taka_aki
0
180
モダンデータスタック (MDS) の話とデータ分析が起こすビジネス変革
sutotakeshi
0
490
Reinforcement Fine-tuning 基礎〜実践まで
ch6noota
0
180
Debugging Edge AI on Zephyr and Lessons Learned
iotengineer22
0
200
20251209_WAKECareer_生成AIを活用した設計・開発プロセス
syobochim
7
1.5k
Featured
See All Featured
Being A Developer After 40
akosma
91
590k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
8.3k
The Invisible Side of Design
smashingmag
302
51k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
390
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
Fireside Chat
paigeccino
41
3.7k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
The Cost Of JavaScript in 2023
addyosmani
55
9.3k
Docker and Python
trallard
47
3.7k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
What's in a price? How to price your products and services
michaelherold
246
13k
Rails Girls Zürich Keynote
gr2m
95
14k
Transcript
Copyright coconala Inc. All Rights Reserved. WafCharm導入で激変! プロダクトの未来を守るための Tips 株式会社ココナラ
川崎 雄太 2024/12/19 WafCharm Night
Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎 雄太 Yuta
Kawasaki @yuta_k0911 株式会社ココナラ Head of Information 🆕 株式会社ココナラテック 執行役員 情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM SRE NEXT 2025のコアスタッフ
Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容
Copyright coconala Inc. All Rights Reserved. 4 Agenda ココナラのセキュリティ課題と駆け込み対応 WafCharmとの出会いと取り組んだこと
振り返りと今後の取り組み 2 1 3
Copyright coconala Inc. All Rights Reserved. ココナラのセキュリティ課題と駆け込み対応 Chapter 01 5
Copyright coconala Inc. All Rights Reserved. 上場前にどんな状況だったか? 6 課題の把握が弱く、どの順番で何をすればよいか?が不明確 セキュリティに関して、後手後手の状
況だった。 • そもそも「何が課題か?」を正 しく認識できていない。 • リアクティブ的に発生する課題に 対しての対応はしているが、もぐ らたたきでしかない。 • セキュリティの全体感を捉えて、 体系立てた課題対応を推進 する役割がない。
Copyright coconala Inc. All Rights Reserved. 上場前はどういう体制でセキュリティと向き合っていたか? 7 セキュリティエンジニアは不在、兼務で何とか対応 CSIRTを立ち上げたのは上場から半
年経過したあと。 それまではセキュリティ専門組織 はなく、セキュリティエンジニアも 不在で、インフラ・SREエンジニアが 手の空いたときに対応。 プロダクトのグロースを優先するの で、もぐらたたきで手一杯。
Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関するセキュリティコンサルのアセスメント 8 何ができていて、何ができていないか?の現在地を把握 セキュリティだけでなく、内部統制・
監査の観点を含めて、現時点で どうなのか? をアセスメントしても らった。(後述しますが、自社でも アセスメントは定期的に行っていま す) アセスメント結果を元にまずは何 から取り組むべきか? を明確化 して、対策を推進した。
Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関する自社内のアセスメント( 2021年時点) 9 脅威の対策度合いを細分化し、対策度合いを数値化
対策度合いを数値で表 し、数値が小さい=優 先度高と定義。 例えば、この時点では 「DDoS攻撃」や「脆 弱性攻撃」の対策が 弱みとなっており、対 策優先度を明確化。
Copyright coconala Inc. All Rights Reserved. セキュリティ対策推進に向けた経営層の説得 10 対策費用とインシデント発生時の影響を定量で比較 セキュリティ強化を進めていくた
めには、経営層の理解が不可 欠。 「インシデント発生時の対応 費」 > 「セキュリティ対策 費」という構図を経営層に理解 してもらい、体制構築やソリュー ション導入の予算を獲得した。
Copyright coconala Inc. All Rights Reserved. セキュリティエンジニア採用と体制構築 11 セキュリティ専任者採用と組織化で役割分担を明確化 システムプラットフォーム
グループ 情報システム グループ インフラ・ SREチーム (6名) CSIRTチーム (2名) CITチーム (4名) - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューショ ン導入 - アクセス権限精緻化 - 新デバイス / OS検証 ・導入 - アクセス権限精緻化
Copyright coconala Inc. All Rights Reserved. WafCharmとの出会いと取り組んだこと Chapter 02 12
Copyright coconala Inc. All Rights Reserved. もともとココナラにジョインしたタイミングで WafCharmの契約はしていたが、なぜか 運用が止まっていた 🤔
かなり昔に誤検知と思われる 振る舞いがあって、止めていた模様… ※今は安心して使えます!! 13
Copyright coconala Inc. All Rights Reserved. WAF運用をするための工数は取れず、セ キュリティエンジニアもいなかったので、 WafCharmの利活用による セキュリティ強化
を目指した。 14
Copyright coconala Inc. All Rights Reserved. セキュリティ運用の一部を WafCharmに移管する 15 運用工数削減と効率的・効果的なセキュリティ運用の実現
WafCharm導入効果は以下の 通り。 ・月30時間程度の運用工 数削減(WAFルール運用、ブ ラックリスト更新を代行しても らった) ・月20万件以上の攻撃を WafCharmとマネージド ルールにて遮断
Copyright coconala Inc. All Rights Reserved. WafCharm・マネージドルール・ルールをうまく使い分ける 16 「餅は餅屋」として、適材適所の対応をする WafCharmにルールの運用を
してもらい、そこにマネージド ルールを併用 することで、防 御力をあげる。 SIEMで検知した異常は ルールを自前で更新 し、運 用する。 この3段構えで攻撃対策を実 現している。
Copyright coconala Inc. All Rights Reserved. 振り返りと今後の取り組み Chapter 03 17
Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関する自社内のアセスメント( 2024年8月末時点) 18 2021年と比較して、弱みだったところを改善した
「DDoS攻撃」や「脆弱 性攻撃」の対策が弱み として認識していたが、 WafCharmの導入 などを進めること で、改善を行うこと ができた! 🎉 さらなる改善をこれか らも進めていく。
Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 19 放置すると陳腐化するので、放置しないことが大切 攻撃や脅威は日々進化している。
一度、セキュリティ対策をして終わりでは なく、継続したリファクタリングを行う必要 がある。 ・ソリューションは「導入する」よりも 「導入後の運用」が大事 ・「リアクティブ」な対応だけでなく、 「プロアクティブ」な仕掛けが重要
Copyright coconala Inc. All Rights Reserved. レポート機能の出力結果から傾向分析を行う 20 攻撃の内容、傾向を把握することが 1歩目
毎月どのような攻撃が、どの 国、どのIPアドレスから来てい たか?を可視化してくれる。 Excelでのダウンロードも可能 なので、内容を深堀りし、デー タドリブンに次のアプロー チを決めて推進することが できる。
Fin
coconala_engineer
zozotech
kakehashi
.jpg){kind=avatar}
lamaglama39
applism118
ikumi_ono
ftakahashi
tbshiki
taka_aki
sutotakeshi
ch6noota
iotengineer22
syobochim
akosma
aleyda
smashingmag
tammyeverts
morganepeng
paigeccino
marcelosomers
addyosmani
trallard
chriscoyier
michaelherold
gr2m
