Webサイトのセキュリティ対策において存在を示し、重要性が高いツールがWAF(Web Application Firewall)です。
しかし、WAFの運用においては、誤検知の問題がしばしば話題になります。
そこで本稿では、WAF(シグネチャ型)をチューニングすることによって誤検知を抑止する際のポイントをご紹介します。
WAFとは何か
WAFは「Webアプリケーションの脆弱性を悪用した攻撃」からWebサイトを保護するセキュリティ製品です。シグネチャ型のWAFは、既知の攻撃パターンや不正な通信の特徴をまとめたシグネチャによって通信を解析・検査し、攻撃と判断した通信を遮断することで、Webサイトを保護します。
個人情報やその他の機密情報を扱う企業、IT化が進む現代において、WAFの利活用が進んでいます。
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
EG セキュアソリューションズが提供するソリューションである WAF(Web Application Firewall) の概要、WAFの選定・導⼊のポイントについて解説しています。
シリーズ累計150万サイト超を保護する「SiteGuardシリーズ」が選ばれる理由についても紹介しています。
WAFのチューニングとは何か
WAFは、誤検知や誤検出と呼ばれる判定ミスをすることがあります。ユーザーの正常な通信を遮断してしまう誤判定と、攻撃者による不正な通信を正常な通信として通過させてしまう誤判定です。IPAのWAF読本では、それぞれ偽陽性(false positive)、偽陰性(false negative)と表記されています。
誤検知によるWebサイトへの影響を低減するためには、Webサイトに合わせたWAFのチューニングをすることが必要です。
Webサイトには様々な特性があります。Web サイトの特性によって、通信の特性も異なるため、チューニングをしなければ誤った判断で通信が遮断されてしまう可能性があります。想定外の通信遮断はWebサイトの信頼性の低下にもつながるため、避けたいところです。
しかし、それはWAFが悪いのではなく、WAFを効果的に機能させるために、正しくチューニングできていないことが主な原因です。WAFのシグネチャには、攻撃コードそのものを検知するものもあれば、攻撃をするための調査など、直接的な攻撃ではないが攻撃に繋がるような通信を検知するものもあります。
攻撃には多種多様なパターンがあるため、それらのパターンをくまなく検知できるように、WAFが有するシグネチャ群にはたくさんのアプローチで攻撃を検知する仕組みが用いられています。ただ、それをそのまま利用してしまうとWAFを効果的に利用することができないことがあります。
誰かにとっては便利な機能やアプリケーションでも、また違う誰かにとっては不要な機能、アプリケーションだったりします。それと同じように、WAF も保護する対象に合わせて、適切なセキュリティポリシーのカスタマイズ=チューニングが望ましいといえます。
※WAFは、複数の検知ロジックを組み合わせたり、AIを活用するなど、検査の精度や技術が向上しています。そのため、必ずしもチューニングが必要であったり、WAFの運用が困難であるということではありません。
WAFの試験運用
WAFを導入する際には、チューニングのための試験運用の期間を設けることが望ましいです。試験運用では、通信の遮断は行わず、ログのみを取得するだけの状態で運用します。こうして、WAFの誤検知によるWebサイトの正常動作に影響がないかどうかを調べます。
試験運用の期間を設けることによって、実際に本番運用を開始してから起きる誤検知を事前に防ぐことにもなります。
調査期間のログから、誤検知が発生している個所が分かります。この個所についてはWAFの設定を調整することで、正常な動作に影響しないようにします。
チューニングで気を付けなければならないポイントは、誤検知によってチェックを外した(検査外とした)箇所は、安全ではなくなるということです。誤検知を見つけたからといって、チェックを数多く外してしまうと、WAFを導入したにも関わらず、攻撃を検知できなくなる可能性があります。これではWAF導入の効果がありません。
誤検知があった場合は、「なぜWAFが誤検知をしたのか」を確認し、特定の条件且つ特定のシグネチャのみチェックを外すというように、条件を絞ってチューニングすることが推奨されます。場合によっては、Webアプリケーション側の実装で対処したほうがよい場合もあります。
※以前は、WAFの導入には「試験で数ヶ月はかかる」と言われた時代もありました。昨今は、WAFの技術や機能が向上していることもあって、1~2週間程度、場合によっては数日で、本格的な導入に至るケースも珍しくなくなっています。
クラウド型WAFの活用
WAFにはいくつかの種類が存在しますが、クラウド型WAFを活用することで、WAFの導入や運用をスピーディかつ効率的に行うことができます。
クラウド型WAFのイメージ(DNS切替型)
WAFの運用では、前述の誤検知の課題になることがありますが、クラウド型WAFの場合、WAFサービスを提供する事業者がマネージドサービスとしてチューニング作業を代行するのが一般的です。利用者としては、誤検知があったとしても事業者へ連絡することで、チューニングを代行してもらうことができるので、WAFの運用負荷を大きく低減できるのがメリットです。
また、SaaSとして提供されるため、新たに機器を設置したり、製品をインストールする必要がないこともクラウド型WAFのメリットです。
しかし、単に手放しで良いということではなく、チューニングを含めたサービス品質が優れているか、製品・サービスの実績が豊富であるかなど、Webサイトの安心と安全を任せられるか、サービスを提供する事業者選びが大切となります。
クラウド型WAF(SiteGuard Cloud Edition)の詳細はこちら
まとめ
本稿では、WAFのチューニングについてご紹介してきました。WAFは導入するだけで終わりではなく、適切なチューニングをすることがポイントです。そして、このWAFのチューニングに必要になるのが、導入前の試験運用です。試験運用の期間を設けてチューニングを行うことによって、本番運用を開始してから起きる問題を未然に抑止することになります。
WAFを導入する際、どこに注力してWebセキュリティを高めるのか、それを明確にしておくことも大切です。
EGセキュアソリューションズが提供する「SiteGuardシリーズ」は、15年以上の信頼と150万サイト以上の導入実績、高品質なサポートサービスで、お客様のWAFの導入と運用をサポートしています。
WAFのチューニングについても、以下のようなサービスで課題解決をお手伝いいたします。
- 専任エンジニアが最適なチューニングをご支援する導入サービスをご用意(ソフトウェア型)
- マネージドサービスとして提供する「SiteGuard Cloud Edition」をラインナップ(クラウド型)
WAFの導入をご検討の際には、ぜひEGセキュアソリューションズにご相談ください。
1分でわかる!
SiteGuardシリーズ
Webを取り巻く脅威からWebサイトを保護するセキュリティ対策WAF!
本資料では、導入実績150万サイト以上のWAF「SiteGuardシリーズ」の特長について1分でわかる内容になっています。
