Webアプリケーション開発者に寄り添う次世代WAFの実力を探る：人材不足はツールで補う

Webアプリケーションを狙うサイバー攻撃の高度化は、機械学習機能を組み込んだbotによる同時多発攻撃などとどまるところを知らない。従来のWAFでは防ぎ切れない攻撃にどのように立ち向かうべきなのか。

[PR／ITmedia]

PR

　Webアプリケーションへの攻撃は昔から絶えることなく発生してきた。デジタルトランスフォーメーション（DX）が進む中で、会員制サービスやECサイトを支えるWebアプリケーションが取り扱う情報は増え、その価値も高まっている。

　クロスサイトスクリプティング（XSS）やSQLインジェクションに代表されるWebアプリケーションへの攻撃は、情報漏えいやWebサイトの改ざんにつながる恐れがある。万が一の事態に陥れば、顧客に対する補償や復旧費用といった金銭的な被害が生じるだけでなく信頼失墜による事業への影響が非常に大きい。

フォーティネットジャパン　伊藤史亮氏

　「Webアプリケーションは誰でもアクセスできるサービスです。その上、以前と比べて数が増えています。そこを狙うサイバー攻撃も年々増加傾向にあります」と警鐘を鳴らすのは、フォーティネットジャパンの伊藤史亮氏（マーケティング本部　プロダクトマーケティングスペシャリスト）だ。

　Webアプリケーションを効率的かつ迅速に開発するためには、オープンソースソフトウェアやコンポーネント、ライブラリの活用が欠かせない。だが、その中に含まれていた脆弱（ぜいじゃく）性が影響を与えるケースもある。2021年12月に発覚した「Apache Log4j」の脆弱性は、世界中で稼働する多数のWebアプリケーションが対応を迫られることになった。

既存のWAFでは防ぎきれない攻撃が増加

　セキュリティ担当者だけでなくWebアプリケーションの開発や運用に携わるエンジニアもこうした状況は理解し、対策の必要性も感じている。問題は、それを解決できる人的リソースが圧倒的に足りないことだ。

　フォーティネットが発表した2021年アプリケーションセキュリティレポートによれば、Webアプリケーションの保護に際して企業が抱える最も大きな課題は「スキルを持つ人材の不足」だ。

サイバー脅威の防御を妨げる障壁について344人のうち46％が「スキルを持つ人材の不足」を挙げた（出典：フォーティネット提供資料）

　DevSecOpsやシフトレフトのように開発ライフサイクルにセキュリティを取り込み、始めから安全なWebアプリケーションを作ることも重要だ。だがソフトウェアである以上脆弱性をゼロにすることは不可能だ。手作業でWebアプリケーションを保護するのは難しく、ツールを導入してセキュリティ対策を自動化する必要がある。

　Webアプリケーションファイアウォール（WAF）は、主要な攻撃パターンをシグネチャとして定義し、それに合致するトラフィックをブロックすることで不正アクセスから保護する。開発スピードを保ちながらアプリケーションを保護する「最後の砦」的な役割を果たしてきた。

　残念ながら従来のWAFでは防ぎ切れない攻撃が増えている。botによる攻撃やAPIの脆弱性を狙った攻撃だ。特に前者は、攻撃コードの自動化で瞬時にさまざまな攻撃を実行したり同時に大量の攻撃を仕掛けたりする。

　「botに機械学習技術が組み込まれ、人間と同じような形で発見しづらい動きをするものが出てきています。不特定な動きをするため従来のWAFでは防げません」（伊藤史亮氏）

機械学習で高度な脅威防御を実現する次世代WAF「FortiWeb」

　Webアプリケーションへの高度化した攻撃に対する新たな解決策として注目されているのが次世代WAFだ。機械学習で攻撃パターンを学習し、シグネチャが提供されていない未知の攻撃コードでも挙動を分析してブロックする。

　運用の手間を省くという点でも次世代WAFの導入は効果的だ。従来型WAFの課題として正常なアクセスを攻撃と判断する「誤検知・過検知」が挙げられる。多発するアラートを減らすためにシグネチャをチューニングするが、それにはアプリケーションの仕様や挙動に対する理解が必要で、運用負荷を増大させる要因となっていた。次世代WAFはチューニングの自動化も期待できる。

フォーティネットジャパン　伊藤明子氏

　フォーティネットジャパンの伊藤明子氏（マーケティング本部　テクニカルマーケティングエンジニア）は「セキュリティ人材不足は依然として続いています。また、アプリケーションを開発するエンジニアにとって一番重要な業務は、会社の収益になるアプリケーションを作ることであり、セキュリティはその次となっているのが実情です」と話す。

　フォーティネットの次世代WAF「FortiWeb」には3つの特長がある。1つ目は設定がシンプルで使いやすいことだ。日本語のユーザーインタフェースで設定でき、シグネチャのチューニング作業も機械学習が肩代わりする。

　2つ目は未知を含めたさまざまな攻撃を検出し、高度な脅威防御を実現することだ。シグネチャに基づき「OWASP Top 10」に含まれるような既知のWebアプリケーションへの脅威を防御するだけでなく、機械学習によるアノマリ検知を組み合わせて未知の攻撃やAPIに対する攻撃から保護する。

　それを支えるのが、フォーティネットのリサーチ機関「FortiGuard Labs」が構築してきた脅威インテリジェンスだ。FortiGuard Labsは世界中のセンサーから情報を収集し、新たな脆弱性や攻撃手法、攻撃者の動向を把握して、FortiWebを含む同社製品に最新の情報を提供する。脅威インテリジェンスは、面でセキュリティを確保するというフォーティネットのコンセプト「セキュリティ・ファブリック」の中核的な役割を担う。

　FortiWebは脅威インテリジェンスを活用し、最新の攻撃からWebアプリケーションを保護する。例えばAPIのスキーマとデータ構造を解析した上で数学的モデルを構築し、悪意あるAPIリクエストをブロックすることもできる。他のフォーティネット製品と連携して特定のIPアドレスやURLに対する通信をブロックするよう設定したり、仮想サンドボックスで詳細な解析を実行したりといった対処も可能だ。

FortiWebによる機械学習の概要（出典：フォーティネット提供資料）

　3つ目の特長は、高度な防御機能を優れたコストパフォーマンスで提供することだ。伊藤明子氏は「フォーティネットの製品群は、CAPEX（設備投資）はもちろんOPEX（運用維持費）も低く抑えられます。ただし『ほどほどの機能をほどほどの価格で』というソリューションではなく、最新の脅威情報と機械学習を組み合わせて高度な防御を実現します」と語る。

　FortiWebは多様な形態で提供され、自社インフラの構成に合わせて柔軟に取り入れられることも強みだ。ハードウェアアプライアンスだけでなく、仮想環境や「Amazon Web Services」「Microsoft Azure」「Google Cloud」といった主要なパブリッククラウドで動作する仮想マシンやコンテナアプライアンス、「FortiWeb Cloud WAF as a Service」というSaaSもある。

　FortiWebは、金融機関やサービスプロバイダー、自治体など、さまざまな業界で規模の大小を問わず活用されている。

　NTTアドバンストテクノロジは、シグネチャのチューニングに掛かっていた運用負荷の軽減を目的にFortiWebを導入し、今では顧客とコミュニケーションを取るためのポータルサイトの保護に活用している。同社は、それまで見えていなかったbotからの攻撃を可視化し、保護できるようになったことも効果と捉えている。

人手不足でもセキュリティを確保し、本来の業務に専念できる環境を実現

　企業は、DX戦略の中でより良いWebアプリケーションを迅速に提供するためにアジャイルやCI/CDといった新しい開発スタイルを取り入れ始めている。短いサイクルで開発とテスト、デプロイ、リリースを繰り返すことで市場ニーズの変化に対応することが目的だ。このサイクルの中でセキュリティ対策が抜け落ちては多くの損害が生じ、ビジネスそのものが立ちゆかなくなる恐れがある。

　「セキュリティ対策でがんじがらめにすることで、開発プロセスを妨げては元も子もありません。アジャイル開発に適応したセキュリティ機能を強化し、スピード感を妨げることなくセキュリティ対策を実現していきたいと考えています」（伊藤史亮氏）

　フォーティネットは今後もFortiWebの機能強化を図り、WAF運用において重要なチューニングの負荷の軽減、視覚的な分析、可視化機能によって企業や組織のWebサービスのセキュリティ強化を支援していく。

　伊藤明子氏は「Webアプリケーション開発においては、どのようにセキュリティを考慮してコードを書くべきかを学ぼうとしても非常に多くの知識が求められ、すぐには進まないかもしれません。FortiWebをうまく使ってセキュリティを確保することで、本来の業務であるアプリケーション開発や本来のビジネスに専念できる環境を実現してほしいです」と期待を寄せる。