「WAFがリクエストをブロックした！」その時、あなたならどうしますか？安易にルールを無効化して「解決」としていませんか？

本セッションではAWS WAF による正常な通信のブロックをきっかけに「サービスの防御層を見直した」経験をもとにどのようにサービスをよりセキュアにすべきかを考えます。

実例を元にインフラ層での応急処置をした際に遭遇した落とし穴、とその危険性を解説し、API設計やアプリケーションの実装の各層でどう対応すればよかったか、それぞれのメリットとデメリットを比較し、なぜその選択をし、あるいはしなかったのかを紹介します。

マネージドWAFのルールの調整に関わるTIPSを共有しつつ、WAFからの「ブロック」というシグナルを自社のセキュリティを一段階引き上げるための「重要なシグナル」として活用するための思考方法とテクニックを共有します。