WAF導入のポイント!WAFのチューニングに必要なものとは

 2022.05.17  EGセキュアソリューションズ

Webサイトのセキュリティ対策において存在を示し、重要性が増しているのがWAF(Web Application Firewall)です。

しかし、WAFの活用では、誤検知の問題がしばしば話題になります。

そこで本稿では、WAFをチューニングすることによって誤検知を抑止する際のポイントをご紹介します。

WAFとは何か

WAFは「Webアプリケーションの脆弱性を悪用した攻撃」からWebサイトを保護するセキュリティ製品です。WAFによって通信を解析・検査し、攻撃と判断した通信を遮断することで、Webサイトを保護します。

個人情報やその他の機密情報を扱う企業、IT化が進む現代において、WAFの利活用が進んでいます。

WAF-1

信頼の純国産ソフトウェア型WAF SiteGuardシリーズ製品概要
「SiteGuardシリーズ」ソフトウェアライセンス価格表

WAFのチューニングとは何か

WAFは、誤検知や誤検出と呼ばれる判定ミスをすることがあります。ユーザーの正常な通信を遮断してしまう誤判定と、攻撃者による不正な通信を正常な通信として通過させてしまう誤判定です。IPAのWAF読本では、それぞれ偽陽性(false positive)、偽陰性(false negative)と表記されています。

誤検知によるWebサイトへの影響を低減するためには、Webサイトに合わせたWAFのチューニングをすることが必要です。

Webサイトには様々な特性があります。Web サイトの特性によって、通信の特性も異なるため、チューニングをしなければ誤った判断で通信が遮断されてしまう可能性があります。想定外の通信遮断はWebサイトの信頼性の低下にもつながるため、避けたいところでしょう。

しかし、それはWAFが悪いのではなく、WAFを効果的に機能させるために、正しくチューニングできていないことが主な原因です。WAFのシグネチャには、攻撃コードそのものを検知させるものもあれば、攻撃で利用される文字列や攻撃をするための調査など、直接的な攻撃ではないが攻撃に繋がるような通信を検知させるものもあります。

攻撃には多種多様なパターンがあるため、それらのパターンをくまなく検知できるように、WAFが有するシグネチャ群にはたくさんのアプローチで攻撃を検知する仕組みが用いられています。ただ、それをそのまま利用してしまうとWAFを効果的に利用することができないことがあります。

誰かにとっては便利な機能やアプリケーションでも、また違う誰かにとっては不要な機能、アプリケーションだったりします。それと同じように、WAF も保護する対象に合わせて、適切なセキュリティポリシーのカスタマイズ=チューニングが望ましいといえます。

※近年のWAFは、複数の検知ロジックを組み合わせたり、AIを活用するなど、検査の精度や技術が向上しています。そのため、必ずしもチューニングが必要であったり、WAFの運用が困難であるということではありません。

WAFの試験運用

WAFを導入する際には、チューニングのための試験運用の期間を設けることが望ましいです。試験運用の間は、通信の遮断は行わず、ログのみを取得するだけの状態で運用します。こうして、WAFの誤検知によるWebサイトの正常動作に影響がないかどうかを調べます。

試験運用の期間を設けることによって、実際に運用を開始してから起きる誤検知を事前に防ぐことにもなります。

調査期間のログから、誤検知が発生している個所が分かります。この個所についてはWAFの設定を調整することで、正常な動作に影響しないようにします。

チューニングで気を付けなければならないポイントは、誤検知によってチェックを外した(検査外とした)箇所は、安全ではなくなるということです。誤検知を見つけたからといって、チェックを数多く外してしまうと、WAFを導入したにも関わらず、攻撃を検知できなくなる可能性があります。これではWAF導入の効果がありません。

誤検知があった場合は、「なぜWAFが誤検知をしたのか」を確認し、特定の条件且つ特定のシグネチャのみチェックを外すのように、条件を絞ってチューニングすることが推奨されます。場合によっては、Webアプリケーション側の実装で対処したほうがよい場合もあります。

※10年以上前、WAFの導入には「試験で数ヶ月はかかる」と言われた時代もありました。昨今は、WAFの技術や機能が向上していることもあって、1~2週間程度、場合によっては数日で、本格的な導入に至るケースも珍しくなくなっています。

まとめ

本稿では、WAFのチューニングについてご紹介してきました。WAFは導入するだけで終わりではなく、適切なチューニングをすることがポイントです。そして、導入する前には試験運用の期間を設けることによって、運用を開始してから起きる問題を防ぐことにもなります。WAFを導入する際、どこに注力してWebセキュリティを高めるのか、それを明確にしておくことも大切です。

EGセキュアソリューションズが提供する「SiteGuardシリーズ」は、14年の実績と直感的なインターフェース、高品質なサポートサービスで、お客様のWAFの導入と運用をサポートしています。

本稿でご紹介したWAFのチューニングについても、専任エンジニアが最適なチューニングをご支援する導入サービスをご用意しています。WAFの導入をご検討の際には、ぜひご相談ください。


RECENT POST「WAF」の最新記事


WAF

証明書はどうするの?WAFによるSSL通信の検査

WAF

ModSecurityのCore Rule SetからみるWAFのルールとは

WAF

ModSecurityとは?オープンソースWAFのメリット・デメリットを解説

WAF

DDoS攻撃はいかに防御すべきか!?WAF導入による対策の有効性

WAF導入のポイント!WAFのチューニングに必要なものとは
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
導入事例
RECENT POST 最新記事
ブログ無料購読
RANKING人気記事ランキング