やってみなけりゃ分からない? WAFの「活用メリット」と「落とし穴」

2010年11月17日(水)
近藤 伸明

最近、Webサイトの脆弱(ぜいじゃく)性対策として、WAF(ウェブ・アプリケーション・ファイアウォール)を使用するケースがよく見られます。脆弱性に対して「素早く、安価に」対処する方法として、効果を発揮する場合があるからです。

しかし、メリットだけではありません。WAFを実際に導入する現場では、さまざまなトラブルに巻き込まれるケースも多くあります。

そこで今回は、実際にWAFの運用担当者となる方に向けて、導入してみなければ分からない、導入してみて初めて気付く、WAFの「メリット」と「落とし穴」を伝えます。

1. こんなケースで使われている

セキュリティ診断の結果、Webサイトに脆弱性が発見された場合、その対策の1つとしてWAFを利用します。WAFは、Webアプリケーションを修正して対策する方法に比べると、短期間で導入でき、すぐ効果が表れるという点で有用です。しかし、導入しただけでは、完全な対策とは言えません。

導入プロセスとしては、Webサイトのセキュリティ診断を実施した後、対策実施期間中の「暫定的措置」としてWAFを導入し、その間にWebアプリケーションの修正を実施する、という手順がよいでしょう。また、アプリケーション修正後にも継続して使用すれば、修正による対策とWAFによる対策の2重防御として機能します。

ユーザー企業の中には、少し不安な運用ではありますが、「Webサイトの規模が大きすぎるので、セキュリティ診断を行わず、診断費用の分も含めてWAFにつぎ込もう」と導入に踏み切ったケースもあります。Webサイトの次回リリース時にセキュリティを意識したWebアプリケーション開発を実施するまでの、長い「暫定対策期間」ということです。

2. WAFの費用は本体だけではない! 意外に大変なチューニング作業

ベンダーのWebサイトを見ると、「WAFは、ハードウエアの初期導入費用と、年間保守費用の、2種類の費用が必要」と書かれていることに気付きます。しかし、実は、これだけでは済みません。実際にWAFを導入した場合、初期導入費用や保守費用のほかに、「チューニング」と呼ぶ調整費用が必要になります。

HTMLだけの静的コンテンツであれば、チューニングすることなく設置しても、ほぼ問題なくコンテンツを表示できるでしょう。しかし、WAFを導入するサイトに動的コンテンツがある場合、WAFによって本来の正常な動作が阻害されるケースがあります。この結果、期待通りのコンテンツが表示されなくなります。これを「誤検知」と呼びます。

WAFの導入でセキュリティを確保しつつ、従来通りのWebコンテンツを表示できるように「誤検知」を起こさないように調整する作業が「チューニング」です。

チューニングは、意外と大変です。ユーザー企業の運用担当者が調整すると、大幅に時間がかかったり、必要な検知個所まで検知対象から外してしまったりと、せっかくのWAFの良さが生かせなくなる可能性があります。このため、チューニング作業は、WAFに詳しい人が担当するか、セキュリティ専門の業者に任せる方がよいでしょう。

つまり、WAF導入の初期費用には、本体価格だけではなく、初期導入やチューニング作業の費用も見込んでおくべきなのです。

3. チューニングという名前のサービス停止

WAFを初期導入する際には、通常なら1週間から1カ月、サイト規模が大きい場合には2カ月程度の調査期間を設けます。この調査期間の間は、WAFを、ログを取得するだけの状態で運用します。こうして、WAFの誤検知によるWebサイトの正常動作に影響がないかどうかを調べます。

調査の結果、誤検知が発生しそうな個所が分かります。この個所についてはWAFの設定を調整することで、正常な動作に影響しないようにします。この行為が「チューニング」です。

WAFメーカーによって若干の差異はありますが、WAFが攻撃コードと判断してログに記録した内容は、管理画面から確認できます。誤検知であった場合は、このログ確認画面から、チェックを外すなどの調整ができます。この機能は非常に便利です。誤検知だったかどうかを確認しながら、その場でWAFの設定内容を調整できるからです。

図1: WAFをチューニングする際の手順(クリックで拡大)


チューニングで気を付けなければならないポイントは、誤検知が発生したためにチェックを外した設定個所は、安全ではないということです。チェックを外すことによって、悪意ある攻撃が行われた際も、検知されることなく侵入を許してしまうことになります。誤検知を見つけたからといって、設定個所のチェックを数多く外してしまうと、せっかくWAFを導入したにも関わらず、外部からの攻撃をほとんど検知できなくなる可能性があります。

誤検知があった場合は、「なぜWAFは誤検知をしたのか」を確認してください。場合によっては、Webアプリケーションの実装側で対処したほうがよい場合もあります。WAFは、一般的なWebアプリケーションの実装方式を想定して設計されているため、凝った作りをしたWebアプリケーションの場合、誤検知が頻発する可能性があります。また、セキュリティを無視した実装がされている場合は、正常な動作が攻撃として検知される場合もあります。

株式会社神戸デジタル・ラボ

2003年神戸デジタル・ラボに入社。
2007年からWebセキュリティ診断業務を事業化し、現在に至る。
2008年4月に経済産業省から発表された「モデル取引・契約書(追補版)」のセキュリティガイドライン ワーキング・グループ委員として「Web アプリケーションセキュリティ」を担当。
2010年10月、CSS2010にてセキュリティ関連論文を発表するなど、診断業務のかたわらセキュリティ基盤研究開発業務に活躍中。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています