PR

やってみなけりゃ分からない? WAFの「活用メリット」と「落とし穴」

2010年11月17日(水)
近藤 伸明

最近、Webサイトの脆弱(ぜいじゃく)性対策として、WAF(ウェブ・アプリケーション・ファイアウォール)を使用するケースがよく見られます。脆弱性に対して「素早く、安価に」対処する方法として、効果を発揮する場合があるからです。

しかし、メリットだけではありません。WAFを実際に導入する現場では、さまざまなトラブルに巻き込まれるケースも多くあります。

そこで今回は、実際にWAFの運用担当者となる方に向けて、導入してみなければ分からない、導入してみて初めて気付く、WAFの「メリット」と「落とし穴」を伝えます。

1. こんなケースで使われている

セキュリティ診断の結果、Webサイトに脆弱性が発見された場合、その対策の1つとしてWAFを利用します。WAFは、Webアプリケーションを修正して対策する方法に比べると、短期間で導入でき、すぐ効果が表れるという点で有用です。しかし、導入しただけでは、完全な対策とは言えません。

導入プロセスとしては、Webサイトのセキュリティ診断を実施した後、対策実施期間中の「暫定的措置」としてWAFを導入し、その間にWebアプリケーションの修正を実施する、という手順がよいでしょう。また、アプリケーション修正後にも継続して使用すれば、修正による対策とWAFによる対策の2重防御として機能します。

ユーザー企業の中には、少し不安な運用ではありますが、「Webサイトの規模が大きすぎるので、セキュリティ診断を行わず、診断費用の分も含めてWAFにつぎ込もう」と導入に踏み切ったケースもあります。Webサイトの次回リリース時にセキュリティを意識したWebアプリケーション開発を実施するまでの、長い「暫定対策期間」ということです。

2. WAFの費用は本体だけではない! 意外に大変なチューニング作業

ベンダーのWebサイトを見ると、「WAFは、ハードウエアの初期導入費用と、年間保守費用の、2種類の費用が必要」と書かれていることに気付きます。しかし、実は、これだけでは済みません。実際にWAFを導入した場合、初期導入費用や保守費用のほかに、「チューニング」と呼ぶ調整費用が必要になります。

HTMLだけの静的コンテンツであれば、チューニングすることなく設置しても、ほぼ問題なくコンテンツを表示できるでしょう。しかし、WAFを導入するサイトに動的コンテンツがある場合、WAFによって本来の正常な動作が阻害されるケースがあります。この結果、期待通りのコンテンツが表示されなくなります。これを「誤検知」と呼びます。

WAFの導入でセキュリティを確保しつつ、従来通りのWebコンテンツを表示できるように「誤検知」を起こさないように調整する作業が「チューニング」です。

チューニングは、意外と大変です。ユーザー企業の運用担当者が調整すると、大幅に時間がかかったり、必要な検知個所まで検知対象から外してしまったりと、せっかくのWAFの良さが生かせなくなる可能性があります。このため、チューニング作業は、WAFに詳しい人が担当するか、セキュリティ専門の業者に任せる方がよいでしょう。

つまり、WAF導入の初期費用には、本体価格だけではなく、初期導入やチューニング作業の費用も見込んでおくべきなのです。

3. チューニングという名前のサービス停止

WAFを初期導入する際には、通常なら1週間から1カ月、サイト規模が大きい場合には2カ月程度の調査期間を設けます。この調査期間の間は、WAFを、ログを取得するだけの状態で運用します。こうして、WAFの誤検知によるWebサイトの正常動作に影響がないかどうかを調べます。

調査の結果、誤検知が発生しそうな個所が分かります。この個所についてはWAFの設定を調整することで、正常な動作に影響しないようにします。この行為が「チューニング」です。

WAFメーカーによって若干の差異はありますが、WAFが攻撃コードと判断してログに記録した内容は、管理画面から確認できます。誤検知であった場合は、このログ確認画面から、チェックを外すなどの調整ができます。この機能は非常に便利です。誤検知だったかどうかを確認しながら、その場でWAFの設定内容を調整できるからです。

図1: WAFをチューニングする際の手順(クリックで拡大)


チューニングで気を付けなければならないポイントは、誤検知が発生したためにチェックを外した設定個所は、安全ではないということです。チェックを外すことによって、悪意ある攻撃が行われた際も、検知されることなく侵入を許してしまうことになります。誤検知を見つけたからといって、設定個所のチェックを数多く外してしまうと、せっかくWAFを導入したにも関わらず、外部からの攻撃をほとんど検知できなくなる可能性があります。

誤検知があった場合は、「なぜWAFは誤検知をしたのか」を確認してください。場合によっては、Webアプリケーションの実装側で対処したほうがよい場合もあります。WAFは、一般的なWebアプリケーションの実装方式を想定して設計されているため、凝った作りをしたWebアプリケーションの場合、誤検知が頻発する可能性があります。また、セキュリティを無視した実装がされている場合は、正常な動作が攻撃として検知される場合もあります。

株式会社神戸デジタル・ラボ

2003年神戸デジタル・ラボに入社。
2007年からWebセキュリティ診断業務を事業化し、現在に至る。
2008年4月に経済産業省から発表された「モデル取引・契約書(追補版)」のセキュリティガイドライン ワーキング・グループ委員として「Web アプリケーションセキュリティ」を担当。
2010年10月、CSS2010にてセキュリティ関連論文を発表するなど、診断業務のかたわらセキュリティ基盤研究開発業務に活躍中。

連載バックナンバー

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています