Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クラウド型WAFのインフラと カスタマーイメージ

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for panoramaafro panoramaafro
May 04, 2023
Business
0
390

クラウド型WAFのインフラと カスタマーイメージ

Avatar for panoramaafro

panoramaafro

May 04, 2023
Tweet

Other Decks in Business

See All in Business
AIを"組織の武器"にする方法
Avatar for Ryo Tamoto tamoryo
0
120
メドピアグループ紹介資料
Avatar for MedPeer Inc. Recruit medpeer_recruit
10
150k
株式会社アシュアード 新卒向け紹介資料
Avatar for Assured Inc. assuredjp
0
190
クリヤマジャパン㈱採用資料
Avatar for クリヤマホールディングス㈱採用担当 uemura2024
0
6.5k
2025年度ICT職専門研修(海外派遣研修)報告書 No.1
Avatar for 東京都デジタル人材確保・育成 tokyo_metropolitan_gov_digital_hr
0
350
受託開発からtoCプロダクトへ 〜変わったこと・変わらないこと〜 #事業を動かすエンジニア
Avatar for LayerX layerx
PRO
2
420
Team Topologies as the 'infrastructure for agency' with humans and AI
Avatar for Matthew Skelton matthewskelton
PRO
0
490
特定領域から複数領域へ、そのとき何を求められるのか?縦と横、2つの影響力:統合型を目指す大規模な開発組織での実践
Avatar for keitatomozawa keitatomozawa
3
530
セーフィー株式会社(Safie Inc.) 会社紹介資料
Avatar for Safie safie_recruit
7
430k
気がついたら自分がボトルネックになってた -1人でプロダクトをみることになった編-
Avatar for koinunopochi koinunopochi
0
310
AI推進における「勝手に広がる仕組み」の」作り方
Avatar for 能登拓弥 notty
11
4.8k
AIエージェント時代のハーネスエンジニアリングとは
Avatar for ため tame
4
2.5k

Featured

See All Featured
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
Avatar for Katarina Dahlin katarinadahlin
PRO
1
3.5k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.1k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
128
17k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
14k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
408
66k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.4k
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
190
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.2k
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
290
The #1 spot is gone: here's how to win anyway
Avatar for Tamara Novitovic tamaranovitovic
2
1k
A better future with KSS
Avatar for Kyle Neath kneath
240
18k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
720

Transcript

  1. クラウド型WAFのインフラと カスタマーイメージ ※本来フロントエンド  インフラエンジニアではないためざっくり パノラマアフロ(神田 庸平) 現職:WAFテクニカルサポート

  2. WAFってどんなイメージ? どうやって作る・・? ↓WAFインフラのイメージから、大体どんな動きをしているのかを把握してみましょう! ↓

  3. WAF構築するうえで最初にやるタスクを考えてみる ※概要のため、以降は省略してます WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする どのくらい 費用かかる?

    WAFが何かを調べてみる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレ/クラウド ・インフラストラクチャ 構成イメージを書く コストイメージを考える

  4. ・Web Application Firewallの略名 ・Webアプリケーション層( L7)の攻撃を防御 ・最近は攻撃が多様化している ・攻撃を受けてから対処ではなく前段で止める 参照文献:https://it-trend.jp/waf/article/162-0008 WAFってなに? 誰が使う?

    何を使って 実現する? 構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える WAFとはなんぞや

  5. カスタマー(WAF利用企業)のイメージは? ・外部公開されているサイトやアプリの運営とサーバ管理  └不特定多数のアクセスがある ・自社サイト/アプリがどのような攻撃を受けているか不明  └セキュリティエンジニアがいない /もしくは手が回らない ・セキュリティ対策のため  └ISMSの実現/PCI DSSの準拠,Pマークなど ⇒情報セキュリティ対策としてWAFを検討

    カスタマーをイメージすると構 築しやすい WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える

  6. WAFの種類は? ▪オンプレミス型WAF デメリット:アプライアンス型の場合、手前に機器をおくことになりコストが高い デメリット:ホスト型の場合、コストは安いがサーバ処理に負荷がかかる ▪クラウド型WAF メリット:低コスト・短期間で導入が可能 メリット:サーバに負荷がかからない &自社アプリケーションに影響しない デメリット:NW等にトラブルがあると、後段のサーバアクセスに影響(冗長化や DNS切替を検討)

    →クラウド型のWAFがメリットが大きく、選ばれやすいため ここではクラウド型の WAFとして説明をしていきます ①手前にリバプロを置くパターン ②AWS WAFのパターン WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える

  7. 構成
 イメージ
 WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする どのくらい費 用かかる?

    WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える 対象のサーバに 転送 WAFのOSSを利用 modsecurity,NAXSIな ど

  8. 攻撃
 イメージ 
 攻撃と判定した場合はブ ロック ブロックした履歴等を 参照 WAFってなに? 誰が使う? 何を使って 実現する?

    構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える

  9. コスト
 イメージ 
 ルール更新の 運用コスト インフラ・運用の管 理コスト WAFってなに? 誰が使う? 何を使って 実現する?

    構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える

  10. AWSWAFだと
 コストは?
 ルール更新の運用コスト は同様にかかる WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする

    どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える ルール数やリクエスト で課金 ※コストは変動が大きいので 注意したほうがいい

  11. ・インフラ構成としては比較的単純なもの。
  だけど、WAFを自社のみでやろうとすると結構大変。
 
 ・サイトやアプリ構成によってWAFルールを変えていく必要がある
 ・セキュリティエンジニアを雇うコストがかかる
 ・情報セキュリティチェックシートの対策は面倒
 
 ・ちなみに、AIでも攻撃の対応はまだまだ難しいところでした。
     ※最新の攻撃に対応できない/攻撃と判断するまでが遅い/事前に止めれない
 


    ⇒まだ自社でWAFを導入されていない場合、SaaS型のWAFを検討してみたり
  もしくはセキュリティエンジニアを確保して、クラウド型WAF構築を検討してみてもいいかも。
 まとめ

  12. ご清聴ありがとうございました