WAFにおける「シグネチャ」とは?
WAF(Web Application Firewall)は、FW(ファイアウォール)やIPS(不正侵入防御)よりも上位のセキュリティ対策です。Webアプリケーションへの通信内容を検査し、悪意のある通信を検出します。
一方FWは、IPアドレスやポート番号を元にアクセス制限するものです。IPSは、OSやミドルウェアの脆弱性を狙った攻撃を防御します。
では、WAFにおける「シグネチャ」とは、どのようなものなのでしょうか。
不正な通信や攻撃を識別するためのルール
シグネチャとは、既知の不正な通信や攻撃パターンを識別するためのルール集です。WAFを使用する上で非常に重要なルール集です。
WAFは、日々の通信を記録し、シグネチャをもとに不正な通信やプログラムを検出します。シグネチャとマッチングすることで、既知の脅威を防いでいるのです。これはブラックリストと呼ばれる防御手法で、多くのWAFで採用されています。
ちなみにもう一つの防御手法として、ホワイトリストがあります。ホワイトリストでは、アクセスを許可する通信をユーザー側が設定し、許可されていない場合は通過できません。
定期的にシグネチャの更新が必要
WAFのシグネチャは、あらゆる攻撃に備えて、穴の無いようにさまざまなルールが備わっています。そのため安全に通信するためには、自社にビッタリと合う穴を開けて通信させる必要があり、初期設定のままでは完璧なものにはなりません。初期設定のまま使い続けると、攻撃を誤検知する可能性があります。
誤検知を減らすには、自社に合った細かなチューニングが必要です。これにより、新種の攻撃にも備えることができます。チューニングには「自社で行う」方法と「ベンターに定期的なシグネチャの更新」を頼む方法がありますが、高度な技術が必要なので、現在は後者が主流です。
シグネチャの設定・チューニング方法は?
具体的にシグネチャの設定やチューニングは、どのように行えばよいのでしょうか。
自社で行う
シグネチャの設定やチューニングは、自社でやることも可能です。自社で行う場合は、WAFの導入時やシグネチャの新規追加時に、シグネチャの設定やチューニングを行います。
ホワイトリストを実施している場合は、追加開発ごとにWAFの設定が必要です。シグネチャの抜本的な見直しが必要なケースもあるので、開発環境にもWAFを導入しなくてはなりません。
また、誤検知が発生した場合は、該当のシグネチャを削除するのではなく、ベンダーやサービスプロバイダと相談し、慎重に対応する必要があります。
このように、シグネチャの設定やチューニングを自社で行うのは、専門知識や経験が必要とされ非常に困難です。知識不足のまま実施すると時間がかかったり、検知対象に漏れが出たりします。これではWAFの良さを発揮できないため、多くの企業がベンダーにチューニングを依頼しています。
ベンダーが行う
クラウドWAFなどは、ベンダー側でチューニングを行います。誤検知が発生しても、ユーザーが行うのはブロック機能のON・OFFくらいです。ベンダーは、以下の作業を代行してくれます。
- ■WAF導入後、一定期間ログを収集する
- ■検知ログを分析し、シグネチャの設定内容を提案したレポートを作成する
- ■レポートの内容をユーザーと共有し、ブロックする通信を決める
検知ログは万単位にのぼり、一般ユーザーが正常通信や不正通信、誤検知を見分けるのは困難です。専門知識がなければ見落としてしまうログも多く、シグネチャの設定やチューニングはベンダーに任せるのが無難です。
シグネチャ型WAFの課題は?
シグネチャ型WAFは、通信量×シグネチャ数に比例した量の処理を行うため、規模が大きくなるほど高スペックなハードウェアが必要です。高コストとなるため、資金に余裕のない企業には向きません。また、新種の攻撃に対しては、攻撃パターンが登録されておらず、シグネチャ型WAFでは防御できないという特徴もあります。
まとめると、シグネチャ型WAFの課題は以下のとおりです。
- ■シグネチャを更新すると、処理量も多くなりデータベースが肥大化する
- ■被害にあってからでないと、シグネチャを作成できない
- ■シグネチャを使用するため、定期的な更新が必要になる
課題を解決!「シグネチャフリーWAF」とは
上記のシグネチャ型WAFの課題を解決するために、最近は「シグネチャフリーWAF」という製品も登場しています。
シグネチャフリーWAFは、シグネチャを使用せず、攻撃の形態はもちろん攻撃の属性を解析して防御します。具体的なメリットは、以下のとおりです。
- ■シグネチャを使用しないため、定期的な更新が不要で誤検知がない
- ■定期的な更新がいらないため、処理量やデータベースを節約できる
- ■パターンとして登録されていない攻撃もブロックできる
シグネチャについて理解し、WAFを適切に運用しましょう
シグネチャは、不正な通信や攻撃を識別するためのルール集であり、不正な通信の検知に不可欠です。WAFと組み合わせることで、既知の脅威を未然に防げます。
ただし初期設定しただけでは誤検知する可能性があるので、定期的な更新が必要です。処理が重くなるなどデメリットも多く、シグネチャフリーWAFのような製品が今後の主流になるでしょう。
シグネチャについて理解して、WAFを適切に運用してください。
