WAFでの「シグネチャ」とは?課題や導入の際の注意点を理解しよう!|サイバーセキュリティ.com

WAFでの「シグネチャ」とは?課題や導入の際の注意点を理解しよう!



Webアプリケーションケーションの存在が重要視されていく現代で、重要な情報を保護するには従来よりも厳重なセキュリティ対策が必要不可欠です。

WAFシグネチャを組み合わせたシグネチャ型のWAFは、厳重なセキュリティ対策の代表例として有名です。情報セキュリティについて学ばれている皆さまのなかには、シグネチャ型WAFの扱いに悩まれている方もいるのではないでしょうか。

今回はWAFの機能や設定方法、導入の注意点について解説していきます。

WAFの導入を検討する際に役に立つ内容を詰め込んでいます。ぜひ最後までご覧ください。

WAFでの【シグネチャ】とは

シグネチャとは、サイバー攻撃やマルウェアなどの攻撃パターンや不正な通信などを定義したファイルです。

シグネチャを搭載したWAFは、サイバー攻撃やマルウェアなどの侵入を検出し、ネットワークからブロックしたり、ユーザーに警告したりする方法で対処します。

WAFとは

WAF(Web Application Firewall)とは、機密情報漏洩やサイト改ざんなどのWebアプリケーションの脆弱性を突いてくる攻撃を防ぐファイアウォールです。

以下の3点が、WAFの保護対象に挙げられます。

  • インターネットバンキング
  • ネットショッピング
  • オンラインゲーム

WAFの保護対象は、上記のような個人情報やクレジットカードの信用情報などのデータのやり取りが発生するWebアプリケーションです。

攻撃を識別するルール

シグネチャ型WAFの攻撃を識別するルールは、以下の2つです。

  • ブラックリスト型:「拒絶する通信」を定義して、「拒絶する通信」に一致する通信をブロックする
  • ホワイトリスト型:「承認する通信」を定義して、「承認する通信」以外の通信をブロックする

どちらの型にも、メリットとデメリットがあります。

防御対象のWebアプリケーションが増える度にホワイトリストも増えるため、運用コストが増大してしまうのが、ホワイトリスト型のデメリットです。しかし、「承認する通信」以外の通信をブロックするといった特徴はメリットになります。「承認する通信」以外の通信をブロックするため、既知のみではなく未知の攻撃にも対処可能になるからです。

一方でブラックリスト型は、最新の攻撃を検出できるように、定期的にシグネチャを更新しなければなりません。そのため、既知の攻撃には対処できますが、未知の攻撃には対処不可能です。しかし、複数のWebアプリケーションにブラックリストを適用できるため、少ない労力とコストで運用できるといったメリットもあります。

WAFでの【シグネチャ】は定期的に更新が必要

シグネチャは、設定内容を見直して定期的な更新を行わなければなりません。定期的な更新を怠ると、正常な通信を誤って検知してしまう誤検知の可能性が高まります。

シグネチャを定期的に更新した際には、誤検知を防げたり新種の攻撃にも対処できるようになったりします。

シグネチャの設定方法

シグネチャには、以下の2つの設定方法があります。

  • 自社で行う場合
  • ベンダーが行う場合

それぞれの設定方法を詳しく解説します。

自社で行う場合

新たなシグネチャを追加する際には、自社で設定が可能です。

ただしシグネチャの知識が不足した状態では、膨大な時間がかかったり、検知対象に漏れが出たりするリスクがあります。

ベンダーが行う場合

シグネチャは、ベンダーに依頼して設定してもらうのもよいでしょう。ベンダーは、以下の作業を行ってくれます。

  • WAFを導入したあとに、一定期間ログを収集する
  • 収集したログを解析して、最適な設定内容をまとめたレポートを作成する
  • レポートをユーザーに共有して、どのような通信を遮断するのか決める

攻撃を検知するログは1万以上存在しており、専門知識がなければ検知対象のログを見落としてしまいます。そのため、シグネチャの設定はベンダーに依頼する方が確実です。

シグネチャ型WAFの課題や導入の注意点

シグネチャ型WAFの課題は、以下が挙げられます。

  • 新たな攻撃が発見される度に、シグネチャを追加してアップデートしなければならない
  • 不要なシグネチャが増えていくと誤検知率が上昇する
  • 処理する通信が増えるほど必要になるシグネチャも増えるため、コストが高くなる

上記の課題について、もう少し詳しく掘り下げます。

新種の攻撃が相次いで発見された場合には、その都度シグネチャを追加しなければなりません。シグネチャを追加するには、頻繁なアップデートを行う必要があります。アップデートに伴いサーバーのリソースを占領してしまうのが、シグネチャ型WAFの課題です。

また不要なシグネチャが増えていくと、誤検知率が上昇する課題も抱えています。定義されるシグネチャの増加に伴い、正常な通信まで遮断してしまうリスクが増します。

さらには、シグネチャ型WAFの処理する量によってコストが高くなってしまうので、気を付けましょう。コストが高くなる理由は、処理する通信量が増えるほど、高いスペックのハードウェアが求められるからです。

シグネチャ型WAFの課題の解決方法

シグネチャ型WAFが抱えている課題と解決方法を紹介します。

WAFは新たな攻撃が見つかった際に、シグネチャを追加してアップデートしなければならない課題があります。未知の攻撃に対処するには、ホワイトリスト型のシグネチャが搭載されているWAFを導入するとよいでしょう。ホワイトリスト型は、「承認する通信」以外の通信をすべてブロックできるからです。

シグネチャが誤検知する課題に対しては、セキュリティ専門のベンダーに事後対応を依頼するとよいでしょう。また運用サービスが付属しているクラウド型WAFを導入したり、WAFの運用を外部の企業に委託したりするのも有効です。

処理量が増えるほどコストが高くなる課題は、根本的な解決が困難です。そのため攻撃後の被害額と運用コストを比較し、ある程度妥協する必要があります。

よくある質問

最後にシグネチャ型WAFに関する、よくある質問を2つ紹介します。

  • シグネチャ型WAF以外の種類を教えてください。
  • シグネチャ型WAFの導入で得られる効果を教えてください。

それぞれの質問に対して、1つずつ答えていきます。

Q1. シグネチャ型WAF以外の種類を教えてください。

WAFは、シグネチャ型以外にも以下の3種の型が存在しています。

WAFの種類 概要 メリット デメリット
アプライアンス型 WAFが搭載されている専用機器を、社内に設置する型 社内環境に適応したWAFの導入が可能

保護対象のサーバーが多い場合のコストパフォーマンスに優れている

社内にWAFの設置場所を確保する必要があり、コストが高くなる
ソフトウェア型 WAFの機能を持ったソフトウェアを、サーバーにインストールする型 専用機器が不要 保護対象のサーバーが増えるほど、コストが高くなる
クラウド型 クラウドサービスとして提供されている型 コストが非常に安く、容易に導入できる 細かい設定ができなく、高性能ではない製品もある

シグネチャ型以外のWAFの導入を検討する際には、メリットだけでなくデメリットにも注目して、自社に適した製品を選びましょう。

Q2. シグネチャ型WAFの導入で得られる効果を教えてください。

シグネチャ型WAFの導入で、以下の効果を得られます。

  • 脆弱性の改修や修正パッチが提供されるなどの根本的な解決が行われるまでの時間を稼ぐ
  • 脆弱性対策の見落としや、ばらつきを防ぎ運用負荷を軽減する
  • 被害の拡大を防いだり、侵入してきたログを分析したりして、攻撃後のWebアプリケーションの迅速な復旧に迅速に対処する

特に「攻撃後のWebアプリケーションの復旧に迅速に対処する」といった効果は、セキュリティ対策として非常に魅力的です。

シグネチャ型WAFを導入していない状態だと、攻撃後に対策が完了するまでWebアプリケーションを使用できません。使用可能になるまでのダウンタイムは、大きな機会損失につながるでしょう。

まとめ

シグネチャ型WAFは、Webアプリケーションの脆弱性を突いてくる攻撃を防ぐファイアウォールです。
シグネチャ型WAFの攻撃を識別するルールには、ブラックリスト型とホワイトリスト型の2種類が存在しています。それぞれのメリットとデメリットを理解して、自社に合った型を選ぶ必要があります。

またWAFはシグネチャの定期的な更新が必要であり、設定内容を見直して改良しなければなりません。
しっかりと課題について理解して、最適なWAFを導入しましょう。


SNSでもご購読できます。