「WAFを入れれば安心」に黄色信号！ 誤検知や精度の低さに苦労するかも？ 今知りたい“本当に使えるWAF”の選び方

[PR／ITmedia]

PR

　昨今、ランサムウェア感染やクラウドサービスの設定ミスといった情報セキュリティ事故に関する報道を頻発に目にするようになった。同じく頻発しているのが、社外向けに公開しているWebサイトやWebアプリケーションへのサイバー攻撃や不正アクセスだ。Webサービスの脆弱性を突いた攻撃で、顧客の個人情報やクレジットカード情報などが数万件単位で流出するケースもある。これは決して無視できるものではなく、これまで以上に入念な対策が必要だ。

　Webアプリケーションの脆弱性対策としては、脆弱性診断やセキュアコーディングなどがある。後者は、SQLインジェクションやクロスサイトスクリプティング（Web上に悪意あるスクリプトを埋め込む攻撃手法）の取っ掛かりになる脆弱性を生まないよう、開発段階で情報セキュリティ対策を意識しながら作業することで安全なサービスを提供する対策手法だ。

　こうしたアプローチは重要だが「脆弱性がないWebアプリケーション」は存在しないといっても過言ではない。加えて近年は、Webアプリケーションを構成するコンポーネントやプラットフォームが複雑化し、各要素に脆弱性が潜んでいる危険もある。このため、リリース当初は安全を担保できても、運用するうちにリスクが高まる可能性も捨てきれない。

　「脆弱性はない」はない、しかし対策も難しい――そんな課題を解決する手段として認知されはじめたのがWebアプリケーションファイアウォール（WAF）だ。外部からWebアプリケーションへの通信を精査して、悪意ある攻撃や不正操作につながる恐れを検知したら通信を遮断する。

　WAFはいわば、Webアプリケーションを守る「最後の砦」としての役割を果たす。しかし古くからセキュリティに携わってきた人の中には「WAFは精度が心配かも」と否定的なイメージを抱く人も少なくない。

セキュアスカイ・テクノロジーの大木元さん（代表取締役）

　果たして、WAFは本当に役立つソリューションなのか。今回は、国産のクラウド型WAFとして草分け的なサービスを生み出し、そこから十数年に渡ってWebアプリケーションとWAFの変遷を見守ってきたセキュアスカイ・テクノロジー（SST）の大木元さん（代表取締役）に、WAFの効能と今後求められるポイントを尋ねた。

WAFの常識を変えた――クラウド型の登場に至る変化の流れ

　いまWAFといえばクラウド型が一般的だ。しかし、かつてアプライアンス型WAFが主流だったころに比べて、提供形態と周辺環境、寄せられる期待の3つの側面で大きく変化してきたと大木さんは説明した。

クラウド型WAFに至るまでの提供形態の変化

　まず提供形態の変化を、周辺環境と絡めて振り返る。2000年代に登場したWAFは、当時オンプレミスが前提のIT環境を踏まえてハードウェアアプライアンス型で提供するベンダーが大半だった。これはファイアウォール（FW）やUTMといったセキュリティソリューションと同様だ。それが10年代には仮想化基盤の上で動作するソフトウェア型の提供が始まり、その後クラウドサービスの普及に伴って、いわばWAFの常識を変えるクラウド型WAF「Scutum」が登場した。

　提供形態の変化に伴い、WAF導入のコストは大幅に低下した。それ自体は歓迎すべきことだ。しかし、いまやクラウドサービス事業者やCDN事業者が提供するオプション機能の1つになっている場合も多く、専用のWAFに比べると不正アクセスの検知や攻撃の遮断といった性能に不安が残る場合が多いと大木さんは指摘する。

原理的には攻撃を受ける可能性が0％に？　しかし当時、完璧は実現できなかった

　WAFが登場して以来、常にユーザーからの期待を背負ってきた。WAFの登場当時は、FWでは止められないWebアプリケーションへの攻撃をブロックできる新たなソリューションとして注目を集め、先進的な企業がWAFの導入を進めた。

　しかし当時のWAFは「適切な通信」を事前に定義して、合致するものだけを許可するホワイトリスト方式だった。防御の効果を高めるためにホワイトリストの設定を推奨する製品が多く、原理的にはこの方式なら攻撃を受ける可能性が0％になる。しかし、実際にはあらゆる入力フォームがあるWebサイトで設定を完璧にするのは困難だ。

　ところがその完璧さを追い求めるあまり、WAF自体が運用の難しいサービスになっていた印象があると大木さんは振り返る。その結果、市場では「WAFはアプライアンス型で高価な上に、運用が煩雑だ」という印象が付いてしまう。ここからWAFの幻滅期はしばらく続いた。WAFの設定をうまくできず、WAFを導入したものの素通し状態で使っているといった例もあったと大木さんは話す。

脱ホワイトリスト方式　ブラックリスト方式の精度向上とAI活用を選んだScutum

　こうしたユーザーの声に耳を傾けながら、SSTが市場に投入したのがクラウド型WAF「Scutum」だ。ホワイトリストの設定の手間がWAF導入の大きな課題だった当時、ホワイトリスト方式は使わず、悪意ある通信や不正な通信を「シグネチャ」として定義してブロックするブラックリスト方式の精度を上げることに注力した。いわばWAFが攻撃を覚える形式にすることで、導入するWebアプリケーションに依存した設定をする必要がなくなり、「WAFは難しい」というイメージを打ち壊したかったと大木さんは語る。その後ブラックリスト型はWAFの主流になっていく。

　さらにクラウド上で提供するためサブスクリプション化できたため、既存のアプライアンス型より2〜3桁抑えた価格での提供を実現した。この結果、それまで大手企業しか導入できなかったWAFを中堅〜中小企業にも広げ、さらにクラウド環境への対応も可能にした。

通信が正常か攻撃かをAIで分類　背景にScutumエンジニアの運用経験があった

　先手を打ってWAF業界をリードしてきたScutumでは、ブラックリスト型の精度を高めるために早くからAIを活用した。正規表現によるシグネチャベースの検知も有効だが、誤検知や過検知を大幅に減らすことはできない。それを補うために、データ解析手法の一種で複数の因果関係を推論できる「ベイジアンネットワーク」を基にしたAI技術を使い、通信内容を多面的に評価して攻撃と正常通信を分類する機能を追加した。

　これにはユーザーに高精度なWAFを提供するという目的の他、Scutumの運用側の事情もあった。顧客が増えるに連れて、シグネチャを追加するScutumのエンジニアの負担が増加していた。このままでは対応し切れないと判断し、AIを使って正常な通信と攻撃を判別する方向にかじを切ったと大木さんは説明する。

　Scutumの取り組みのポイントは、通信の特徴を様々な角度から捉えて正常通信か攻撃かを分類するためにAIを活用していることだ。例えるなら「バットを持っているから武器だ」と判定するのではなく、他の特徴も考慮して「バットを持っているが野球のユニフォームを着ているから攻撃者ではなさそう」という具合に正常な通信と攻撃を分類することで精度を担保している。こうしたAI活用の取り組みはこちらの記事で詳しく解説している。

　こうした考え方にたどり着いた背景には、Scutumの開発陣がWAF運用の経験者だったことが大きい。「24時間見張っていなければならないのは大変だ、というところからScutumが誕生しました。運用担当者の負担を減らせるよう、正常通信と攻撃を分類する／見分けるというシンプルな思想をリリース当初からずっと貫いています」（大木さん）

「自社を守ってくれるWAF」をどう見極める？　ポイントは運用をプロに頼めるか

　このように、WAFは「運用が難しい」というイメージを払拭しつつ、IT環境とニーズの変化に合わせて進化する実用的な情報セキュリティ対策のソリューションになった。

　例えセキュアコーディングや脆弱性診断が普及しても、新たな脆弱性への対応が難しいことはLog4jやStruts2といった前例を思い出せば分かる（詳しくはこちらの記事を参照）。「WebアプリケーションやWeb関連技術の発展スピードはとても速くて、セキュリティ対策が追い付けない部分があります。そのギャップを補うものとして、今後もWAFは価値を提供できるでしょう」（大木さん）

　ではユーザーは、有効な情報セキュリティ対策として機能し、かつ運用コストが少ないWAFをどう選べばいいのか。

　大木さんは、シグネチャ方式だけで機能するWAFは心もとないと言う。それらは「管理画面でシグネチャをON／OFFできるので誤検知対応を簡単にできる」とアピールする場合が多い。シグネチャをOFFにするなど防御の一部を諦めれば運用は簡単になるが、それでは攻撃を素通りさせてしまう。適切に運用できるスキルを持つ担当者がいればある程度は生かせるが、そうでなければ避けたほうがいい。

　一番分かりやすい評価ポイントは、シグネチャに加えてどのような方法で自社のWebアプリケーションやWebサイトを守ってくれるかを確認することだ。その点、SSTのScutumは現実的な選択肢になる。Scutumは検知ロジックのチューニングや新たな脆弱性対策をエンジニアとAIが担当してくれる。つまり運用面をプロにアウトソーシングできるため、少ない負担で大きな安心を得られる。

　またWAF選定時に注意すべきポイントについて、Scutumの開発を手掛けた「金床」ことビットフォレストの佐藤匡さん（取締役）は技術面からアドバイスした。「見落としがちですが、WAFで大切なのは『通信内容のうち、どの部分をチェックしているか』という点です。HTTPリクエストのある部分は確認するが、残りは見ないという仕様のWAFだと、攻撃者は『WAFが見ない部分』に攻撃を仕掛けます。するとシグネチャの中身や分類精度といった内容以前の問題になってしまい、攻撃者はあらゆるジャンルの攻撃を自由に仕掛けられます。WAFを導入する際はベンダーに、HTTPヘッダを漏れなくチェックしてくれるか、HTTPボディについて『最初の方を少し見るだけ』ではなくきちんと全体をカバーするか、こうした点を確認するのがいいでしょう」（佐藤さん）

　裏を返せば、Scutumはこうしたポイントを押さえているといえる。その根底にあるのは「ユーザーが触らずに情報セキュリティ対策できるWAF」というコンセプトだ。「SSTは、Scutumを導入しやすく使いやすく、通信の細部までしっかりとチェックして高い検出率を維持しながら誤検知を起こさない方向へと正当に進化し、導入企業が本当の意味でWAFのメリットを享受できるようにします」（大木さん）

　ここまで記事で取り上げてきたように、WAFは「手軽にWebアプリケーションを守る」というユーザーの要望を実現すべく進化してきた。そして今後も不正アクセスや脆弱性などに正しく対応し続けるためには、WAFベンダーが精度の底上げや性能の向上を追求する必要がある。そしてユーザーは、自社を“本当に守ってくれるWAF”を見極めることが大切だ。両者が適切に取り組んだ先に、WAFで手軽に守れるWebアプリケーションの姿が見えてくるだろう。