WAFの基本的な攻撃検知・遮断機能
WAFの中核となる機能は、WebアプリケーションへのHTTPリクエストを検査し、攻撃パターンに一致する通信を検知・遮断することです。
シグネチャ検知と既知の攻撃への対応
シグネチャ検知は、既知の攻撃パターン(シグネチャ)のデータベースと受信したリクエストを照合して、SQLインジェクション・クロスサイトスクリプティング(XSS)・コマンドインジェクションなどの攻撃を検知する方式です。OWASP(Open Web Application Security Project)が公開するTop 10の脆弱性に対応したシグネチャを標準搭載している製品が多く、迅速に主要な攻撃を防御できます。
シグネチャ検知では、ベンダーが提供するシグネチャのアップデート頻度が防御力を左右します。ゼロデイ攻撃(パッチが公開される前の脆弱性を狙う攻撃)への対応には後述の仮想パッチ機能が有効です。既知の攻撃パターンを網羅したシグネチャを用いつつ、誤検知(正常なリクエストを攻撃と判断する)を防ぐためのシグネチャの粒度の細かさも選定時の確認ポイントです。
振る舞い検知と機械学習による異常検知
振る舞い検知は、通常のトラフィックのパターンから外れたリクエストを異常として検知する方式です。機械学習を活用した製品では、通常のアクセスパターンを学習し、異常なリクエストを動的に検出できます。シグネチャに登録されていない新しい攻撃手法(ゼロデイ攻撃)や、複数のリクエストに分割された複合攻撃の検知に効果を発揮します。
振る舞い検知の導入時は、通常のアクセスパターンを学習させる期間が必要なことと、新機能リリース後にアクセスパターンが変化した際の再学習が必要になる点を考慮する必要があります。振る舞い検知とシグネチャ検知を組み合わせることで、検知精度と誤検知率のバランスを取ることができます。
WAFのBot対策・APIセキュリティ機能
不正なBotによるアクセスやAPIへの攻撃への対策として、WAFには専用の機能が搭載されています。
Bot管理と不正アクセスの遮断
Webサービスへのアクセスのうち相当部分はBotによるものです。検索エンジンのクローラー(正規Bot)から、スクレイピング・クレデンシャルスタッフィング(漏えいしたID・パスワードを使った不正ログイン試行)・DDoS攻撃(大量アクセスでサービスを停止させる攻撃)まで、多くの不正なBotが存在します。WAFのBot管理機能は、リクエストの特性・JavaScriptの実行有無・TLSフィンガープリントなどを分析して、不正なBotを識別・遮断します。
Bot管理機能を評価する際は、正規Botへの影響(検索エンジンのクローラーを誤って遮断しないか)と不正Bot検出率のバランスが重要です。CAPTCHA(人間かBotかを判別する認証)との連携機能や、疑わしいBotに対してチャレンジを出して検証する機能があると、より正確なBot判別が可能になります。
APIセキュリティと通信内容の検査
REST API・GraphQL APIなどのAPIエンドポイントは、従来のWebページとは異なる形式でデータをやり取りするため、WAFによる検査でもAPIの通信形式(JSONやXML)への対応が必要です。APIセキュリティ機能を持つWAFは、APIリクエストのスキーマ(構造)を定義し、定義外のパラメータや異常な値を含むリクエストを検知できます。
マイクロサービスアーキテクチャやモバイルアプリのバックエンドAPIを持つシステムでは、APIセキュリティ機能が特に重要です。OpenAPI仕様(Swagger)からAPIスキーマを自動インポートする機能があると、APIの定義に基づいた防御ルールを効率的に設定できます。
仮想パッチとカスタムルール機能
既知の脆弱性への迅速な対応と、自社システム固有のリスクへの対処に有効な機能です。
仮想パッチによる脆弱性の即時対応
仮想パッチ(バーチャルパッチ)は、Webアプリケーション側のコード修正を行わずに、WAFのルールで特定の脆弱性への攻撃を遮断する機能です。ソフトウェアやライブラリの脆弱性が公開されてから修正プログラムの適用(パッチ適用)が完了するまでの期間は攻撃リスクが高まりますが、仮想パッチを使うことでWAF側で攻撃を遮断し、開発チームがパッチ適用の準備を進める時間を確保できます。
仮想パッチの有効性は、ベンダーが脆弱性情報を受け取ってからWAFルールを提供するまでのスピードに依存します。CVE(共通脆弱性識別子)ベースでルールが提供されていると、どの脆弱性に対応しているかを把握しやすく、運用担当者のセキュリティパッチ管理との連携が取りやすいです。
カスタムルールと独自の防御設定
標準のシグネチャでは対応できない自社固有の攻撃パターンや、特定のIPアドレスからのアクセスをブロックするニーズに対して、カスタムルールを作成できる機能が重要です。ルール作成のインターフェースが直感的で、セキュリティ専門知識がなくても基本的なルールを作成できる製品と、正規表現やプログラミング的な記法が必要な製品があります。
カスタムルールは、誤設定による正常なトラフィックの遮断リスクがあるため、テストモード(検知のみ行い遮断しないモード)で動作を確認してから有効化できる機能があると安全です。カスタムルールの数の上限と管理のしやすさ(バージョン管理・コメント機能等)も長期運用を見越した確認ポイントです。
機能比較で選ぶWAF製品
シグネチャ検知・Bot管理・APIセキュリティなど、幅広い機能を搭載したWAF製品を紹介します。自社に必要な防御範囲や運用体制に合うかを確認しながら比較しましょう。
BLUE Sphere
- WAF/DDoS防御/DNS監視/サイバー保険がオールインワン
- ドメイン無制限で複数サイトを1つの契約で守る!
- 三井住友海上火災保険「サイバープロテクター」が無償で付帯!
BLUE Sphereは、Webアプリケーションへの攻撃を包括的に防御するWAFです。防御・保険・サポートまでをワンストップで提供します。
Cloudbric WAF+
- 特許取得のロジック&AIエンジンを搭載、高い攻撃検知力
- WAF/DDoS攻撃遮断/API保護/ボット対策/Malicious IP遮断
- 24時間365日監視体制と専門家にお任せのマネージドサービス付帯
Cloudbric WAF+は、AIを活用した高精度な攻撃検知機能を持つクラウド型WAFです。WAAPとしてDDoS攻撃遮断やAPI保護、ボット対策機能を搭載。
Cloud Application Protection Services
- 包括的なWAAPソリューションをクラウド上で提供
- 独自の自動化ポリシー生成技術
- OWASPトップ10の脅威に対して完全な保護を実現
Cloud Application Protection Servicesは、クラウド上のWebアプリケーションを多層的に保護するサービスです。API保護やボット管理、DDoS対策まで総合的に提供します。
ImpervaWAF (株式会社Imperva Japan)
- Gartner® Magic Quadrant™で8年連続リーダー
- 誤検知ほぼゼロで、正確な脅威を検知。
- SaaS、アプライアンスなど柔軟な導入が可能
ITトレンドでは、最新の製品・サービスを多数比較・掲載しています。まず資料を取り寄せて機能や特徴をさまざまな製品を比較してみてください。忙しい業務時間内でも、各社に問い合わせる手間なく、たった1回の入力(約60秒)でWAFの一括資料請求が可能です。浮いた時間で、じっくりと製品を比較検討し進めましょう。
WAFの機能に関するFAQ
WAFの機能選定についてよくある質問と回答をまとめました。
- ■Q1:シグネチャ検知と振る舞い検知はどちらが優れていますか?
- どちらか一方ではなく、両方を組み合わせた製品が最も効果的です。シグネチャは既知攻撃への確実な対処に、振る舞い検知は未知の攻撃への対処に強みがあります。両方の機能を持つ製品を選ぶことをお勧めします。
- ■Q2:APIを多く使うサービスの場合、どの機能を重視すべきですか?
- APIセキュリティ機能(JSONやXMLの検査対応)を重視してください。OpenAPI仕様からのスキーマインポート対応の有無も確認することをお勧めします。
- ■Q3:仮想パッチはどのような場面で有効ですか?
- 脆弱性が公表されてから本番環境のコードにパッチを当てるまでの「空白期間」に最も有効です。フレームワークやCMSの緊急脆弱性が公表された際に、すぐにWAFで防御できます。
まとめ
WAFの機能はシグネチャ検知・振る舞い検知・Bot管理・APIセキュリティ・仮想パッチ・カスタムルールなど多岐にわたります。自社のWebアプリケーションの構成(SPA・APIファースト・CMS等)と攻撃リスクに合わせた機能を重視することが重要です。各製品の機能範囲はベンダーによって異なるため、資料請求で具体的な機能一覧を確認してから比較検討することをお勧めします。
