WAFの「シグネチャ」とは?2つの防御方式を解説

 2017.05.15  Secure Enterprise編集部

大企業、中小企業、個人事業主、フリーランスなど、現在「Webサイト運営」は組織規模や業種に関わらず、全ての企業が一つ二つは運営しているのが一般的となりました。コンテンツマーケティングなどネット上でのビジネスが主流となったこともあり、Webサイトは経営上欠かせないフィールドの一つでもあります。

しかし、Webサイトが持つリスクについても十分に理解し、対策を取らなければならないのもまた事実です。

そのリスクとは、サイバー攻撃によってWebサイト改ざんや個人情報漏えいなど、重大なセキュリティ事件を起こしてしまうという可能性です。

今やカスタマーとのコミュニケーションやタッチポイントとして機能しているWebサイトですが、それゆえにマルウェア拡散の起点とされることが少なくありません。また、Webサーバ内に個人情報を保管することが多くなったことで、悪質なサイバー攻撃の標的になりやすいのです。

このため全てのWebサイト運営企業がサイバー攻撃に対する警戒を強め、多方からの攻撃へ対策を取る必要があります。そしてこうした対策を実現するのがWAF(ウェブアプリケーションファイアウォール)です。

WAFは従来のファイアウォール製品とは違い、システムレイヤーの上層部でありアプリケーション層の通信を制御します。従って不正なアクセスなどを監視及び防御し、Webサイトへのサイバー攻撃を効果的に防ぐことができるのです。

そんなWAFのセキュリティ性の要となるのが「シグネチャ」なのですが、今回はこのシグネチャについて解説していきます。

WAFのシグネチャとは?

一般的に「署名」という意味を持つシグネチャですが、情報セキュリティの世界ではマルウェアや不正アクセスなどサイバー攻撃の「攻撃パターンの定義」を意味します。また、攻撃パターンの定義をまとめたファイルを「シグネチャファイル」と呼び、WAFだけでなく様々なセキュリティ製品に利用されています。

シグネチャを利用したセキュリティ製品の中で最も身近なものが「アンチウイルス」です。アンチウイルスはセキュリティベンダーが作成及び配信するシグネチャファイルをもとにして、対象端末への侵入を試みるマルウェアを検知します。

また、シグネチャは定期的に更新されるものであり、未知のサイバー攻撃が誕生しても即座に対応できるよう、常にアップデート対応する必要があるのです。

ホワイトリスト方式とブラックリスト方式

WAFのシグネチャには2つの種類があります。「ホワイトリスト方式」と「ブラックリスト方式」という種類ですが、それぞれの特徴について解説します。

ホワイトリスト方式

ホワイトリスト方式とは、予め設定したパラメータ値に応じて通信を許可するという防御方式です。設定したパラメータ値から外れたアクセスは防御するため、未知の攻撃に対しても有効的な特徴があります。

一方ホワイトリスト方式ではURLやパラメータ毎に入力文字種別、最大値、最小値など細やかな設定が必要であり、運用が難しい防御方式でもあります。このためセキュリティ技術者が不足していたり、在籍していない企業ではアウトソーシングによる運用が必要になるケースが少なくありません。

設定までに時間がかかり、コストも多く発生するというデメリットもあります。

ブラックリスト方式

対してブラックリスト方式はシグネチャファイルによって予め定義された攻撃パターンを検知し、該当するアクセスをブロックします。ホワイトリスト方式とは逆のプロセスで行われる防御であり、既知のサイバー攻撃に対して有効的です。

また、シグネチャは基本的にベンダーがまとめたファイルを適用するため、企業側で細かいパラメータ設置を行う必要がなく、アップデート対応のみで常に最新のシグネチャを保つことができます。

従って運用面での負荷が少なく、キュリティ技術者が不足していたり在籍していない企業でも導入できるタイプの防御方式です。

 ただし、ホワイトリスト方式のように柔軟な構成ができないため、WAFのセキュリティ性はベンダー毎のシグネチャに大きく依存します。

組織環境に合わせて構築することが基本

数年前までの情報セキュリティでは、ブラックリスト方式よりもホワイトリスト方式の優位性が高いという見解が一般的でした。しかし、運用が難しいことから正常通信までブロックして機会損失を生んでしまったり、運用コストが大きく膨らんでしまうという懸念点があったのです。

そんな中ブラックリスト方式は着実に防御精度を上げていき、近年ではホワイトリスト方式並みのセキュリティ性を持つWAF製品も登場しています。

ただし、どちらの方が優位性が高いというのは一概に言えることではありません。大切なのは、組織環境に合わせてWAFを構築することです。

そのためにもまずは自社Webサイトに対して、どのようなサイバー攻撃が実行されているかを明確に把握する必要があります。未知の攻撃性を持つものが多かった場合、運用負荷とコストはかかりますがホワイトリスト方式が有効的です。

反対に既知の攻撃が多い場合、ブラックリスト方式によるシグネチャマッチングが有効的となります。2つの防御方式を持つWAF製品も提供されていますが、運用負荷を十分考慮した上での検討が必要です。

シマンテック クラウド型WAFのシグネチャ

ここで、シマンテック クラウド型WAFのシグネチャについて紹介します。

シマンテック クラウド型WAFではブラックリスト方式を採用しており、クラウドサービスとしての利便性を損なわないように設計されています。

まず運用負荷に関してはほとんど企業に掛かることはありません。シマンテックから配布されるシグネチャファイルは自動的にシステムに適用され、企業側でアップデート対応することも、シグネチャ定義を行うこともないのです。

そして最も重要なのがセキュリティ性です。シマンテック クラウド型WAFでは年間100回以上のシグネチャ更新により、未知の攻撃が発生した際も迅速に対処することができます。こうすることで、ブラックリスト方式のメリットを最大限に活かしつつ、高いセキュリティ性を維持することが可能なのです。

ブラックリスト方式を導入したい場合は?

ブラックリスト方式を採用しているWAFを導入したいと考える企業は多いでしょうが、前述の通りセキュリティ性がベンダーによって大きく左右されます。これはベンダーが発信する情報をもとにセキュリティ性を評価したり、試用することで把握することができます。

それと同時に重要なのがシグネチャの更新についてです。

セキュリティベンダーによってはブラックリスト方式でも企業が独自にパターンを定義していく必要があったり、更新ごとに費用がかかるといったケースも少なくありません。

従ってブラックリスト方式のWAF導入時には、セキュリティベンダーの対応に十分注意してください。

まとめ

年々必要性が増加し、着実に導入率を伸ばしているのがWAFです。従って、まだ導入していないという企業でも今後検討する可能性は大いにはあるでしょう。その際は、ホワイトリスト方式とブラックリスト方式、2つのシグネチャを比較し検討していきましょう。

メリットだけでなくデメリットにもしっかりと目を向け、自社環境に最適な防御方式を選んでいきましょう。

WAF賢い選び方ガイド

本ブログ記事は、セキュリティに関する一般的な内容を掲載しています。シマンテック クラウド型WAF製品はウェブの情報漏えい対策に有効なソリューションですが、すべてのサイバー攻撃に対応できるものではありません。シマンテック クラウド型WAF製品についてご不明な点がございましたら、こちらのお問い合わせフォームよりご連絡ください。

RECOMMEND関連記事


RECENT POST「導入検討」の最新記事


この記事が気に入ったらいいねしよう!
WAF賢い選び方ガイド