いま知りたいWAF特集第4回現在のWAFの課題

最近、Apache Struts2やWordPressなどのCMSに対する攻撃、Webサイトのパスワードリスト攻撃などWebサイトに対する攻撃は増える一方だ。その攻撃に対する有効な防御手段としてWAF(Web Application Firewall)が注目され、導入している企業も多くなってきている。そこで以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。

※本記事は有料版メールマガジンに全文を掲載しました

──WAFのこれからの課題はなんでしょう

現実問題として、お客さんは強固に守るということをとても重要視されます。WAFベンダーもそれは気にするわけですが、現実の運用で問題なのは、防御性能もさることながら、過剰検知というか誤検知ですね、正常系をブロックしてしまう、これがとても問題です。

１つでもそういうものがあると、結構おおごとなわけなんですよね、利用者が使おうと思ったのになんか変なエラーメッセージが出てきて使えないという状況は。それがまさに買おうと思った瞬間だったら、ビジネス機会を損失しているわけで、大変なことになります。

「攻撃が」とか「不正が」とかメッセージが表示されて…　何が不正なんだよと。それはビジネス機会も下がるし、顧客の評判も下がっちゃうわけですよね。だからそのメッセージは非常によくない、ということで、むしろしっかり守り切るというよりは、誤検知を減らすということがもともと大事だったのです。

──最近の誤検知対策とは

誤検知を減らすためにいろいろ工夫やチューニングをするわけですけど、それでも誤検知が出てくる場合はあります。シグネチャの進歩の方向性として、誤検知を減らすために、シグネチャで引っかかったものをさらに精査をして、例えばSQLインジェクションとしての攻撃性が本当にあるかどうかまで見ていくようなものが一部で出てきていますね。

▼▲さんとかそうじゃなかったですかね。あと、◎◎もそんなこといってましたけど、◎◎が中でやってるのか、どこかベンダーとかのOEMなのかそれはちょっとわかりませんけれども、それはおそらく有効で、こういったいろんな工夫をして誤検知を減らしていくってのが、重要な進歩、進化の方向だろうと思います。

ですから、過剰検知を減らしつつ有効な防御をするというのと、それから、その今守れない脅威や将来の未知の脅威に対して防御していくというのが未来のWAFの姿でないかなと思います。

──未来の脅威に対してはまだ対応し切れてない

そうですね、WAFでできるのかっていう問題もありますけどね。WAFだけではどうしようもないものもあります。でも、まあパスワードリスト攻撃なんかはWAFで対処できるのかなあと思ったら、一応対応してきたので、商売になれば何か考えるのかなと言う気がしないでもないですね、そのへんよくわかりませんけど。

──その他のWAFの課題は

WAFの課題には、例えば、複雑なネットワーク構成に対してどうやってWAFそのものを導入していくのかということがあります。高価格のWAFはたいていロードバランサー機能を持っているので、ロードバランサーを置き換えて入れるみたいな方法もありますが、そうはいっても、今のロードバランサーを使いたいみたいなニーズもきっとあります。

さまざまな環境に対して入れるということや、SaaS型のWAFを導入するということも考えられます。導入すればシグネチャのアップデートも自動化することもできますし、そうすると、本当に手間をかけずに運用することができます。だからどんどん使ってほしいなあというのは、まあありますね。

──WAFの導入のお話が出ましたが、WAFを導入することで攻撃からどのくらい守れるのですか

WAFは相当防御性能は高くなってきてますが、ボロボロのサイトにWAFだけ入れたらすごく安全になるかというとそうではなく、すべてを守り切れるものではありません。導入側もWAFで守れるものと守れないものを区別をして、そのへんはしっかり認識して導入しないといけないですよね。

──WEBアプリ側の対策も必要ということでしょうか

必要ですね。で、有名な脆弱性では、普通のクロスサイトスクリプティングはかなり守れるのですが、DOM Based XSSについては守れないので、それは大きな課題ですね、WAFでは原理的に守りづらく、XSSフィルタ機能でも守れないので、ブラウザも含めたWebトータルの課題です。原理的に守れないわけではないと思うのですが、現実的には守れないケースが多いです。

幸いにしてまだそんなに攻撃がバンバン来てるわけではなさそうなのですが、オレオレ詐欺をたとえにして言うと、オレオレ詐欺の手口が微妙に変わってきて、名称まで変わってきてるのは、やはり対策が進んできたからだと思うんですね。

たとえば、おばあちゃんを銀行の窓口まで行かせてATMの操作を電話で指示してたのが、銀行側で見張りだしてできなくなったので、取りに行くじゃないですか。すごくリスクが高いんで、あんなのいやだろうなと思うんですけど、そうやっても取りに行ってるわけで、それは防御側の対策が進むと手口が微妙に変わる、まあ、原理は変わんないんだけど、ディテールが変わると、いうのがあって。

──インターネットにも当てはまると

インターネットの攻撃もそういうところがありますよね。例えばパスワードリスト攻撃なんかそうですよね。直接攻撃していたのを、弱いところにSQLインジェクションかけて、その結果を強いところにあてはめるようになりました。

そう考えていくと、今クロスサイトスクリプティングの攻撃ってあんまりないみたいですけども、いろんな手口が対策されてくると、残った有望な攻撃手段としてやっぱりクロスサイトスクリプティングは、攻撃が面倒くさいので今はあんまり使われてないですけど、でも、今後もないかというと決してそんなことはないだろうし、そうすると今のうちから防御も考えておかないといけないわけです。

──いずれにせよWEBアプリの方でもちゃんと対策が必要だと

そうなんですよね。ただWAFの運用するお客さんはなかなか両方ってのはなくて、WAF入れたら全部守れるんでしょ、みたいな質問をされるお客様が、先日もWAFベンダーのセミナーの基調講演したんですけど、全部守れるんですか？　みたいな質問がきてましたけど、いや、それは…　みたいな。

──WAFがあれば防いでくれると思ってしまいますよね

それは売り側としても気をつけなければいけないですね。それでよく、どっちみちアプリ側で対策しなきゃいけないんだったらWAFいらないんじゃないの？　と、聞かれることもありますがそうでもないです。やはりアプリの対策漏れっていうのはあり得ます。そういうことを考えつつ、上手に使えばいいと思うんですが、そのために、WAFが安くならないと、念のため入れる、みたいな使い方が難しいんで、まあ、だからちょうど値段も下がってきて、導入もしやすくなって、ということでWAFの導入がどんどん進んでるというのはそういうことじゃないかなと思いますよね。

もちろん守れない攻撃もありますけど、何が守れないかは割とはっきりしているんで、それは個別に対処すればよいということで、どんどんWAFの導入が進んで、さらにお求めやすい価格になればいいんじゃないかと思います。

（聞き手・文：山本洋介山）

※本記事は有料版メールマガジンに全文を掲載しました