メニュー

WAFの注意点:WAFの基礎知識6

WAFの基礎知識

更新日:2020年7月16日(初回投稿)
著者:増井技術士事務所 代表 増井 敏克

前回は、WAFで守れる攻撃の例について説明しました。最終回となる今回は、実際にWAFを導入した後で、具体的にどのような運用や監視作業が発生するのか、その注意点を解説します。WAFは、導入すればそれで終わりではありません。攻撃手法は次々に変化するため、Webアプリケーションの仕様変更や機能追加も発生します。これらに合わせたチューニングが必要であり、サーバの負荷や出力されるログなども監視しなければなりません。

今すぐ、技術資料をダウンロードする!(ログイン)

1. 誤検知の発生

WAF の誤検知には、偽陽性と偽陰性があります。まず、この2つについて説明します。WAFを導入すると、攻撃を検知した場合に通信を遮断します。これが、実際の攻撃に対しての遮断であれば問題はありません。しかし、攻撃ではないのに遮断してしまう場合があります。つまり、一般の利用者が通常の使い方をしているにもかかわらず、誤検知が発生して遮断してしまうことがあるのです。これを、偽陽性(フォールス・ポジティブ)といいます。このような場合、利用者から問い合わせがあれば問題ありませんが、必ずしもそうとは限りません。重要な顧客が、この誤検知を不審に思わず、単にシステムが使えないという理由で離れてしまう可能性もあります。

逆に、攻撃者が攻撃を仕掛けたのに、WAFが問題のない通信と判断し、通過させてしまう場合もあります。これは、設定しているブラックリストやホワイトリストの内容に誤りがある、WAFの機能不足で必要なチェックができていない、などの原因が考えられます。管理者は防御しているつもりでも、実際にはその役目を果たしていないのです。これを、偽陰性(フォールス・ネガティブ)といいます(図1)。

このような誤検知が発生していないか、WAFのログなどをチェックし、速やかに対応する必要があります。また、定期的にブラックリストやホワイトリストの内容を見直し、適切な設定に修正しなければなりません。このとき、リストの見直しによって新たに偽陽性や偽陰性が発生しないように、検証パターンの検証手順や更新手順について整理しておきましょう。

図1:偽陽性と偽陰性

図1:偽陽性と偽陰性(引用:独立行政法人情報処理推進機構セキュリティセンター、Web Application Firewall(WAF)読本、2011年、P.28)https://www.ipa.go.jp/files/000017312.pdf

2. チューニングに必要な運用コスト

WAFを導入するときに忘れられがちなのが、運用にかかるコストです。一般的には、WAF製品の価格や動作検証にかかる人件費といった、導入時のコストに意識が向けられます。WAFの手法であるソフトウェア型、ネットワーク型、クラウド型など、その機能面に注目することもあるものの、いずれの場合でも、WAFを導入して終わりというわけではありません。

WAFの運用形態がブラックリスト方式かホワイトリスト方式かにかかわらず、そのリストのメンテナンスは必須です。新しい攻撃手法が登場した場合に限らず、Webアプリの仕様変更や機能追加などが発生するたびに、新たな見直しが必要になります。このとき、WAFの保守コストや運用コストを考える必要があるのです。特に、ログの確認やリストの更新といった運用にかかる人件費は、期間が長くなるほど大きくなります。

続きは、保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

3. サーバへの影響

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

    ピックアップ記事

    tags