・Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-
・Cyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless-
■ 背景
これまでマネージドルールではHTTPヘッダに関して、特定のヘッダ項目名を指定してシグネチャを作成して対応しておりました。
しかし、2021年12月に報告されたApache Log4jの脆弱性(CVE-2021-44228)の様に「Log4jを利用してHTTPリクエストの内容をログに記録していると脆弱」となる例もあり、網羅的な対応のためにはHTTPヘッダの全ヘッダ項目を指定し、シグネチャを作成する必要がありました。
一方、HTTPヘッダには標準的なヘッダ項目名だけではなく、カスタマイズされたヘッダ項目名もあることから、当時のAWS WAFの仕様では全てのパターンに対応するには限界がありました。
■ リリース詳細
2022年4月、AWS WAFで複数のアップデートがかかり、WebリクエストのCookieと全てのヘッダも検査が可能となりました。
当社はHTTPヘッダの全ヘッダ項目を検査するシグネチャを追加し、より検知精度の高い対応が可能となりました。
■ Cyber Security Cloud Managed Rules for AWS WAF とは?
『Cyber Security Cloud Managed Rules for AWS WAF』は当社が独自に作成する厳選されたAWS WAF用のルールセットです。
マネージドルールは OWASP Top 10 Web アプリケーションの脅威リストに含まれる脆弱性を軽減させる包括的なルールセットで、WebアプリケーションやAPIなどを簡易的にサイバー攻撃の脅威から保護することができます。さらに世界有数のサイバー脅威インテリジェンス情報を持つサイバーセキュリティクラウドのサイバー脅威情報監視チーム“Cyhorus(サイホルス)”が最新の脅威にもいち早く対応し、セキュアな環境を素早く構築することが可能です。
また、マネージドルールはグローバルなオンラインプラットフォーム、AWS Marketplace経由のみで販売が完結するため、日本国内から世界中のユーザに届けることが可能です。なお、2022年3月末時点では累計70以上の国と地域に展開しており、グローバル全体でのユーザ数は2,588以上となっております。
【株式会社サイバーセキュリティクラウドについて】
会社名:株式会社サイバーセキュリティクラウド
所在地:〒141-0021 東京都品川区上大崎3-1-1 JR東急目黒ビル13階
代表者:代表取締役社長 兼 CEO 小池敏弘
設立 :2010年8月
URL :https://www.cscloud.co.jp/