WAFにおける「シグネチャ」とは？初心者にわかりやすく解説！

WAFにおける「シグネチャ」とは？

WAF（Web Application Firewall）は、FW（ファイアウォール）やIPS（不正侵入防御）よりも上位のセキュリティ対策です。Webアプリケーションへの通信内容を検査し、悪意のある通信を検出します。

一方FWは、IPアドレスやポート番号を元にアクセス制限するものです。IPSは、OSやミドルウェアの脆弱性を狙った攻撃を防御します。

では、WAFにおける「シグネチャ」とは、どのようなものなのでしょうか。

不正な通信や攻撃を識別するためのルール

シグネチャとは、既知の不正な通信や攻撃パターンを識別するためのルール集です。WAFを使用する上で非常に重要なルール集です。

WAFは、日々の通信を記録し、シグネチャをもとに不正な通信やプログラムを検出します。シグネチャとマッチングすることで、既知の脅威を防いでいるのです。これはブラックリストと呼ばれる防御手法で、多くのWAFで採用されています。

ちなみにもう一つの防御手法として、ホワイトリストがあります。ホワイトリストでは、アクセスを許可する通信をユーザー側が設定し、許可されていない場合は通過できません。

定期的にシグネチャの更新が必要

WAFのシグネチャは、あらゆる攻撃に備えて、穴の無いようにさまざまなルールが備わっています。そのため安全に通信するためには、自社にビッタリと合う穴を開けて通信させる必要があり、初期設定のままでは完璧なものにはなりません。初期設定のまま使い続けると、攻撃を誤検知する可能性があります。

誤検知を減らすには、自社に合った細かなチューニングが必要です。これにより、新種の攻撃にも備えることができます。チューニングには「自社で行う」方法と「ベンターに定期的なシグネチャの更新」を頼む方法がありますが、高度な技術が必要なので、現在は後者が主流です。

シグネチャの設定・チューニング方法は？

具体的にシグネチャの設定やチューニングは、どのように行えばよいのでしょうか。

自社で行う

シグネチャの設定やチューニングは、自社でやることも可能です。自社で行う場合は、WAFの導入時やシグネチャの新規追加時に、シグネチャの設定やチューニングを行います。

ホワイトリストを実施している場合は、追加開発ごとにWAFの設定が必要です。シグネチャの抜本的な見直しが必要なケースもあるので、開発環境にもWAFを導入しなくてはなりません。

また、誤検知が発生した場合は、該当のシグネチャを削除するのではなく、ベンダーやサービスプロバイダと相談し、慎重に対応する必要があります。

このように、シグネチャの設定やチューニングを自社で行うのは、専門知識や経験が必要とされ非常に困難です。知識不足のまま実施すると時間がかかったり、検知対象に漏れが出たりします。これではWAFの良さを発揮できないため、多くの企業がベンダーにチューニングを依頼しています。

ベンダーが行う

クラウドWAFなどは、ベンダー側でチューニングを行います。誤検知が発生しても、ユーザーが行うのはブロック機能のON・OFFくらいです。ベンダーは、以下の作業を代行してくれます。

• ■WAF導入後、一定期間ログを収集する
• ■検知ログを分析し、シグネチャの設定内容を提案したレポートを作成する
• ■レポートの内容をユーザーと共有し、ブロックする通信を決める

検知ログは万単位にのぼり、一般ユーザーが正常通信や不正通信、誤検知を見分けるのは困難です。専門知識がなければ見落としてしまうログも多く、シグネチャの設定やチューニングはベンダーに任せるのが無難です。

シグネチャ型WAFの課題は？

シグネチャ型WAFは、通信量×シグネチャ数に比例した量の処理を行うため、規模が大きくなるほど高スペックなハードウェアが必要です。高コストとなるため、資金に余裕のない企業には向きません。また、新種の攻撃に対しては、攻撃パターンが登録されておらず、シグネチャ型WAFでは防御できないという特徴もあります。

まとめると、シグネチャ型WAFの課題は以下のとおりです。

• ■シグネチャを更新すると、処理量も多くなりデータベースが肥大化する
• ■被害にあってからでないと、シグネチャを作成できない
• ■シグネチャを使用するため、定期的な更新が必要になる

課題を解決！「シグネチャフリーWAF」とは

上記のシグネチャ型WAFの課題を解決するために、最近は「シグネチャフリーWAF」という製品も登場しています。

シグネチャフリーWAFは、シグネチャを使用せず、攻撃の形態はもちろん攻撃の属性を解析して防御します。具体的なメリットは、以下のとおりです。

• ■シグネチャを使用しないため、定期的な更新が不要で誤検知がない
• ■定期的な更新がいらないため、処理量やデータベースを節約できる
• ■パターンとして登録されていない攻撃もブロックできる

シグネチャについて理解し、WAFを適切に運用しましょう

シグネチャは、不正な通信や攻撃を識別するためのルール集であり、不正な通信の検知に不可欠です。WAFと組み合わせることで、既知の脅威を未然に防げます。

ただし初期設定しただけでは誤検知する可能性があるので、定期的な更新が必要です。処理が重くなるなどデメリットも多く、シグネチャフリーWAFのような製品が今後の主流になるでしょう。

シグネチャについて理解して、WAFを適切に運用してください。