WAFの機能

WAFによる防御の基本は、シグネチャ検査です。検出パターン(シグネチャ)に基づき、HTTPリクエスト(リクエストライン、リクエストヘッダ、要求本文)およびHTTPレスポンス(ステータスコード、レスポンスヘッダ、応答本文)に含まれる各種データを検査して、攻撃を検出します。
シグネチャには、定義方法により、不正なパターンを定義する「ブラックリスト」と安全とみなすパターンを定義する「ホワイトリスト」の二種類があります。通常、単にシグネチャと呼ぶ場合はブラックリストを指すことが多く、製品が標準搭載するシグネチャを活用することで、利用者は一から防御ルールを作成する必要なく、全サイトに対して均一の防御ルールを適用することができます。

SiteGuardのシグネチャ検査

WAFによる検査のイメージ図

ブラックリストとホワイトリスト

WAFによる検査で用いられる検出パターンには、「ブラックリスト」と「ホワイトリスト」と呼ばれる二種類があり、それぞれ長所と短所があります。
ブラックリストは、攻撃のパターンを定義したものです。ブラックリストに一致した通信は「不正」と判定され、防御または監視の対象となります。ブラックリストの作成には専門的なノウハウが必要なため、一般的にWAF製品の開発元やWAFの運用サービスの提供元から提供されるブラックリストを利用することになります。
一方、ホワイトリストは正しいパターンや通信を許可したいパターンを定義したものです。ホワイトリストに一致しなかった通信を「不正」と判定し、防御または監視の対象となります。ホワイトリストは保護するウェブアプリケーションの作りに依存するため、一般的に利用者側で作成する必要があります。

ブラックリスト ホワイトリスト
概要 攻撃または不正と判断するパターンが定義されている(一致した場合に不正と判定) 正しいパターン、通信を許可したいパターンが定義されている(一致しなかった場合に不正と判定)
長所 パラメータを限定することなく、既知の攻撃を効率良く検出できる。ウェブアプリケーションの作りに依存しないため、比較的導入・運用負担が小さい。 (適切なホワイトリストが適用されているという前提のもと)未知の攻撃にも対応できる。
短所 誤検出が発生する可能性がある。 ページやパラメータ毎にパターンを定義する必要があり、運用負担が大きい。正しいパターンを定義できない、または困難な場合がある。

 

2000年代半ばのWAFといえばホワイトリストでしたが、現在ではブラックリストが主流になり、必要に応じてホワイトリストを併用し、それぞれの長所を活かす利用形態が増えています。

JP-Secureでは、ページやパラメータを限定せず効率的に使える特性を生かして、ブラックリストを基本としたWAFの活用を提案しています。誤検出の課題はありますが、ウェブアプリケーションすべてに対して同一のブラックリストを適用することで、均一な対策が適用可能となります。利用者の運用負荷という面でも、基本部分をブラックリストに任せることで、個別のチューニングを最小限にとどめることができ、現実的で無理のない運用を実現できます。

近年のWAFは、防御と運用性のバランスを図った初期設定や検出精度や性能の向上など、様々な工夫がなされているだけでなく、ウェブサイトの特性や運用方針に合わせて、いくつかの形態から選択できることができます。

WAFの種類

一口にWAFといっても、その形態にはいくつかの種類があります。ここでは、設置形態からみたWAFの種類を説明します。

なお、どの種類のWAFが良いといった記載はしていません。ウェブサイトの特性や環境、要件に合った製品・サービス選定の参考にしていただくため、それぞれの特徴を簡単に説明します。

ホスト型

ウェブサーバーにインストールするかたちで利用するWAFです。
ソフトウェアで提供され、ウェブサーバーのモジュールとして動作するタイプを指すことが一般的です。ウェブサーバーごとにWAFをインストールする必要があり、導入要件はウェブサーバーの環境に依存しますが、最もシンプルな構成であり、専用ハードウェアを必要とせず、ネットワーク構成に影響を与えないことが主な利点となります。以前はウェブサーバーの負荷が課題になることもありましたが、昨今のハードウェア性能の向上もあり、現在の影響は少なくなっています。

ゲートウェイ型

ウェブサーバーの前段で独立した機器として利用するWAFです。※
リバースプロキシのほか、インライン構成で設置されることが多いですが、アプライアンス機器の場合はネットワーク機器のミラーポートを使用することで、通信をミラーさせて検査のみを行う構成もあります。リバースプロキシは、サイトの成長に合わせて拡張しやすく、インライン構成は導入しやすい点が特長です。ソフトウェアもしくはアプライアンスがあり、アプライアンスの場合は仮想アプライアンスとして提供されることもあります。専用機としてのハードウェアの購入費やネットワークの構成変更が必要となります。

※後述のクラウド型もリバースプロキシでの形態がありますが、ここでは専用機として動作するWAFをゲートウェイ型に分類し、クラウド型とは分けて記述しています。

クラウド型

DNSの設定変更により、WAFサービス提供事業者のネットワークを経由するようにして検査・防御するWAFです。
前述のホスト型との組み合わせに近い形態として、ウェブサーバーにエージェントをインストールし、エージェントとサービス提供事業者のWAFがネットワーク経由で連携する形態もあります。
一般的にFQDNの数や通信量によってサービス料金が上がることや組織外の通信障害などの影響を受ける可能性があるといった課題がありますが、専用ハードウェアを用意したり、物理的なネットワークを変更する必要がなく、サービスの提供事業者にWAFの運用も任せることができるという利点があります。

 

JP-Secureでは、 Apache/IIS/Nginxのモジュールとして動作するホスト型のWAFとリバースプロキシとして動作するゲートウェイ型のWAF(ソフトウェア)を提供しています。(ソフトウェアWAF「SiteGuardシリーズ」の詳細はこちら
専門的な知識を必要とせず、シンプル・かんたん運用を実現したソフトウェアWAFで、国内の保護対象100万サイト超という実績があります。

このほか、レンタルサーバー等のサービスにWAFが組み込まれて提供されるなど、WAFには様々な提供形態があり、JP-Secure製品を組み込んだ各種サービスがパートナー各社様より提供されています。