WAFにおけるシグネチャとは
WAF(Web Application Firewall)は、FW(ファイアウォール)やIPS(不正侵入防御)よりも上位のセキュリティ対策です。Webアプリケーションへの通信内容を検査し、悪意のある通信を検出します。
一方FWは、IPアドレスやポート番号を元にアクセス制限するものです。IPSは、OSやミドルウェアの脆弱性を狙った攻撃を防御します。
では、WAFにおける「シグネチャ」とは、どのようなものなのでしょうか。
不正な通信や攻撃を識別するためのルール
シグネチャとは、既知の不正な通信や攻撃パターンを識別するためのルール集であり、WAFを利用する上で重要な仕組みです。WAFは日々の通信を監視し、このシグネチャと照合することで、不審な通信やプログラムを検出・遮断します。
このように、特定のパターンと一致した通信をブロックする方式は「ブラックリスト型」と呼ばれ、多くのWAFで採用されています。一方で「ホワイトリスト型」は、ユーザーがあらかじめ許可した通信のみを通過させる仕組みで、未知の攻撃にも強いという特徴があります。
なお、WAFと同様にIPS(不正侵入防止システム)でも、既知の攻撃の検出や誤検知の回避を目的として、シグネチャやホワイトリストの考え方が活用されています。WAF・IPSいずれにおいても、適切なチューニングがセキュリティ精度を左右する重要なポイントです。
定期的にシグネチャの更新が必要
WAFのシグネチャは、あらゆる攻撃に備えて、穴の無いようにさまざまなルールが備わっています。そのため安全に通信するためには、自社にビッタリと合う穴を開けて通信させる必要があり、初期設定のままでは完璧なものにはなりません。初期設定のまま使い続けると、攻撃を誤検知する可能性があります。
誤検知を減らすには、自社に合った細かなチューニングが必要です。これにより、新種の攻撃にも備えることができます。チューニングには「自社で行う」方法と「ベンターに定期的なシグネチャの更新」を頼む方法がありますが、高度な技術が必要なので、現在は後者が主流です。
シグネチャの設定・チューニング方法
具体的にシグネチャの設定やチューニングは、どのように行えばよいのでしょうか。
自社で行う
シグネチャの設定やチューニングは、自社でやることも可能です。自社で行う場合は、WAFの導入時やシグネチャの新規追加時に、シグネチャの設定やチューニングを行います。
ホワイトリストを実施している場合は、追加開発ごとにWAFの設定が必要です。シグネチャの抜本的な見直しが必要なケースもあるので、開発環境にもWAFを導入しなくてはなりません。
また、誤検知が発生した場合は、該当のシグネチャを削除するのではなく、ベンダーやサービスプロバイダと相談し、慎重に対応する必要があります。
このように、シグネチャの設定やチューニングを自社で行うのは、専門知識や経験が必要とされ非常に困難です。知識不足のまま実施すると時間がかかったり、検知対象に漏れが出たりします。これではWAFの良さを発揮できないため、多くの企業がベンダーにチューニングを依頼しています。
ベンダーが行う
クラウドWAFなどは、ベンダー側でチューニングを行います。誤検知が発生しても、ユーザーが行うのはブロック機能のON・OFFくらいです。ベンダーは、以下の作業を代行してくれます。
- ■WAF導入後、一定期間ログを収集する
- ■検知ログを分析し、シグネチャの設定内容を提案したレポートを作成する
- ■レポートの内容をユーザーと共有し、ブロックする通信を決める
検知ログは万単位にのぼり、一般ユーザーが正常通信や不正通信、誤検知を見分けるのは困難です。専門知識がなければ見落としてしまうログも多く、シグネチャの設定やチューニングはベンダーに任せるのが無難です。
シグネチャ型WAFの課題
シグネチャ型WAFは、通信量×シグネチャ数に比例した量の処理を行うため、規模が大きくなるほど高スペックなハードウェアが必要です。高コストとなるため、資金に余裕のない企業には向きません。また、新種の攻撃に対しては、攻撃パターンが登録されておらず、シグネチャ型WAFでは防御できないという特徴もあります。
まとめると、シグネチャ型WAFの課題は以下のとおりです。
- ■シグネチャを更新すると、処理量も多くなりデータベースが肥大化する
- ■被害にあってからでないと、シグネチャを作成できない
- ■シグネチャを使用するため、定期的な更新が必要になる
シグネチャフリーWAFとは
上記のシグネチャ型WAFの課題を解決するために、最近は「シグネチャフリーWAF」という製品も登場しています。
シグネチャフリーWAFは、シグネチャを使用せず、攻撃の形態はもちろん攻撃の属性を解析して防御します。具体的なメリットは、以下のとおりです。
- ■シグネチャを使用しないため、定期的な更新が不要で誤検知がない
- ■定期的な更新がいらないため、処理量やデータベースを節約できる
- ■パターンとして登録されていない攻撃もブロックできる
まとめ
シグネチャは、不正な通信や攻撃を識別するためのルール集であり、不正な通信の検知に不可欠です。WAFと組み合わせることで、既知の脅威を未然に防げます。
ただし初期設定しただけでは誤検知する可能性があるので、定期的な更新が必要です。処理が重くなるなどデメリットも多く、シグネチャフリーWAFのような製品が今後の主流になるでしょう。
シグネチャについて理解して、WAFを適切に運用してください。
