WAFのホワイトリスト方式とブラックリスト方式の違い

 2016.12.21 Secure Enterpriseポータル

WAF(Web Application Firewall)導入において、ホワイトリスト方式を採用するかブラックリスト方式を採用するか、あるいは併用して運用するかの選択に悩む企業は多いでしょう。

どちらの防御方式も一長一短あり、結局のところどちらを採用すればいいのか非常に悩ましい問題です。

まず結論から述べると、やはり現在のセキュリティ環境や頻発しているサイバー攻撃の傾向などを把握した上で、自社にとって最適な防御方式を選択することがベストだと言えます。

今回はWAFのホワイトリスト方式とブラックリスト方式、正しい選択をするヒントを皆さんに理解していただくため、改めて2つの防御方式の違いについて解説します。

また、シマンテックが提供する「シマンテック クラウド型WAF」の防御方式についても合わせてご紹介します。

ホワイトリスト方式とブラックリスト方式の違い

ホワイトリスト方式は“ポジティブモデル”とも呼ばれ、管理者が明示的に設定した通信のみを許可する防御方式であり、許可されていない通信を全てブロックします。

言い換えるとHTTP/HTTPS通信において“正しいパターン(値)”を定義し、WAFが全ての通信を精査した上で、パターンに一致する通信のみを許可するのです。

WAFをWebサーバごとにインストールするソフトウェア型では、基本的にアプリケーション毎にホワイトリストを調整する必要があります。

一方ブラックリスト方式は“ネガティブモデル”とも呼ばれ、シグネチャ(複数の不正通信/攻撃パターンを定義したファイル)を基準にHTTP/HTTPS通信を精査し、パターンに合致した不正通信をブロックする防御方式です。

つまり、正しいパターン(値)と合致した通信のみを許可するホワイトリストとは逆の防御プロセスを持ちます。

シグネチャのチューニングに関してはWAF製品によって特徴が異なり、ベンダーが定期的に配信する場合もあれば、社内で対応しなければならない場合もあります。

それぞれのメリットデメリット

まずホワイトリスト方式のメリットですが、正しいパターン(値)に合致した通信のみを許可するという特徴から、未知の脅威に対しても有効的な防御方式です。

例えるならば、検問所において偽証困難なパスを持つ者のみ通過させるようなものですので、悪質な意図を持つ者は効率的にはじき出されます。

デメリットとしては、正しいパターン(値)を定義することが難しいという点です。第一に社内で「何が正しくて何が不正なのか?」を定義しなければならず、定義後も定期的な見直しで正しいパターン(値)を常に調整する必要があります。

対してブラックリスト方式のメリットは、既に定義された不正通信パターン(値)を適用するため、既知の脅威に対し有効的かつ運用を効率化できるという点です。

特にベンダーからシグネチャ更新が行われる場合は、アップデート対応のみでWebサイト/Webサービスのセキュリティ性を維持できます。

デメリットとしては、既存の不正通信パターン(値)と合致した通信をブロックするため、未知の脅威に対応できない可能性がるという点です。

また、ベンダーによってはシグネチャ更新を提供していないことがあるので、その場合社内でシグネチャチューニングを行わなければなりません。

ホワイトリスト方式はやはり運用負荷がネックか

ホワイトリスト方式を採用する上で十分考慮しなければならないのが、やはり“運用負荷の増加”です。

前述のようにパターン定義自体が簡単な作業ではないので、トータル的に考えると日々の運用負荷はやはり増加してしまいます。

また、専門知識を有したセキュリティ担当者の確保も必要です。

従って運用負荷だけでなく運用コストまで増加するケースがほとんどなので、WAF導入前に運用負荷/コストを総合的に把握しておくことが重要になります。

ホワイトペーパー:ウェブサイトの脆弱性管理にかかるコストと手間を低減する方法

ブラックリスト方式はシグネチャの信頼性が重要

予め定義された不正通信パターン(値)を検知するブラックリスト方式では、シグネチャの信頼性がやはり重要になります。

信頼性の低いシグネチャを採用してしまうと、その分セキュリティ性が低下してしまうので、製品選定を慎重に行う必要があります。

また、シグネチャチューニングの対応可否について、予めベンダーに確認しておくことも重要です。

ホワイトリスト方式とブラックリスト方式の特徴やメリットデメリットなどを以下にまとめたので、導入検討時の参考にしてください。

ホワイトリスト方式とブラックリスト方式 比較表

「シマンテック クラウド型WAF」は柔軟性の高いブラックリスト方式を採用

ここで「シマンテック クラウド型WAF」が採用する防御方式について紹介します。

「シマンテック クラウド型WAF」では、クラウド型が持つ“運用管理の効率化”というメリットを損なわないよう、ブラックリスト方式による防御を採用しているWAF製品です。

また、シグネチャの更新は常に自動で行われため、管理者は運用に関わることなくWebサイト/Webサービスをあらゆるサイバー攻撃から保護し、専門のセキュリティ技術者も不要です。

肝心のセキュリティ性に関してですが、「シマンテック クラウド型WAF」は“年間100回以上”のシグネチャ更新により、常に高いセキュリティ性を維持できます。

従って未知の脅威が発生した場合も迅速にシグネチャをアップデートし、皆さんのWebサイト/Webサービスを多角面から保護するWAF製品です。

まとめ

いかがでしょうか?ホワイトリスト方式とブラックリスト方式の違いを改めて理解することで、どちらを採用すべきかが自ずと見えてくるのではないかと思います。

繰り返しになりますが、大切なのは自社のセキュリティ環境などを総合的に把握した上で、どちらのメリットがより大きいかを検討することです。

ただ一つ言えることは、運用管理にリソースをあまり割けれないという企業は、やはり運用負荷の低いブラックリスト方式並びにクラウド型WAFの導入がおすすめです。

日々のセキュリティ運用を効率化し本来業務に集中しつつ、高いセキュリティ性を確保することができます。

「シマンテック クラウド型WAF」ならば、多忙な管理者に代わって専門家がログ情報の精査なども行っているので、WAF導入においてぜひご検討ください。