いま知りたいWAF特集 第1回 WAFの歴史 | ScanNetSecurity
2024.07.27(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

いま知りたいWAF特集 第1回 WAFの歴史

Webサイトに対する攻撃の防御手段としてWAF(Web Application Firewall)が注目されている。以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。

特集
「ホワイトリストは使えないだろうな、と思っていたら、やはり衰退に向かっていった」 HASHコンサルティング株式会社 代表取締役 徳丸浩氏
最近、Apache Struts2やWordPressなどのCMSに対する攻撃、Webサイトのパスワードリスト攻撃などWebサイトに対する攻撃は増える一方だ。その攻撃に対する有効な防御手段としてWAF(Web Application Firewall)が注目され、導入している企業も多くなってきている。そこで以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。

※本記事は有料版メールマガジンに全文を掲載しました

──これまでのWAFの進化について教えていただけますか

2003年くらいからWAFを扱っていたので、そのあたりから振り返りますと、以前はSQLのキーワード…WHEREとかUNIONとか… キーワードと、シングルクオートのような記号の単純な組み合わせを見て防御していました。

○○が割とそういう感じのシグネチャとまでいえないようなブラックリストを使っていまして、今もちょっとその名残を持っていますけど、例えばフランス語だとあの、アポストロフィor('or)という語尾の単語が結構あって、それだけで誤検知してしまうということがありましたし、検知漏れもかなりあって、あまり使い物にならなかったというのがあります。

それでもあまり文字を入れないような、金額とか、A-001とかそういうコードが主体のサイトだったら使えたかもしれないのですが、今のようなSNSとかブログとか、さまざまな文字列を入れるようなサイトだと使い物にならないです。これらが第1世代ですね。

他に今は売られてないWAFですけども、脆弱性スキャナと連動して、脆弱性があったところだけ防御設定するようなものもありました。私はすばらしいなと思って代理店にまでなったんですけど… スキャナの性能も悪くて検知も弱いし、これも結局いまいちでした。

──ブラックリストだけではまだうまくいかなったんですね

第2世代で、ホワイトリストというのが出てきました。ホワイトリストが出てきた背景は今言ったような理由に加えて、おそらくIPSと差別化をするためです。当時必ずIPSとどこが違うんですか?と聞かれたんですよ。

そこでWAFはIPSのようなシグネチャブラックリストではなくて、ホワイトリストによりそのアプリケーションが許したものだけを通す、そういう素晴らしいものなんですという、宣伝をして売り出したんです。

でも、ホワイトリストの設定がめんどうくさいなあということで、学習機能なるものが現れました。これが第3、あるいは2.5世代くらいのWAFということになります。

で、私はホワイトリストに関してはずっと懐疑的に見ておりまして、設定がそもそも面倒くさいですし、ホワイトリストでは誤入力と攻撃が区別できないということもあります。郵便番号11aとうっかり入れてしまったことと攻撃は、ホワイトリストでは区別が付かない、それはどちらも入力できない文字列、文字データであって区別できません。

──確かにただ間違えただけなのに攻撃と勘違いされるのは怖いです

いずれにせよ、変な文字入れちゃったら、WAFから「それは許されていません!」みたいな、その恐ろしいメッセージが出てくる、それはちょっとユーザビリティが下がるよね、というがありました。

また、学習機能はなかなか難しいよね、というのもあります。学習機能も、別の某社とかは大変力を入れてやったようですけど、よくある学習機能の問題は、誤入力してしまうと誤入力を学習しちゃいますので、学習設定中に誤入力ができないことなんですね。

いろいろ閾値を設けたりしていろいろ工夫はしたようですけど、本番運用では普通に利用者は間違えるし、攻撃もすでに来ている可能性があるので、学習できません。そうなると本番前に正しい値だけを入れるような学習期間を設けないといけない、でもそれは漏れも生ずるし、いわゆるテストの最中はやっぱり膨大に異常系が、むしろ異常系の方がテストの場合多いような感じなので、それは学習には使えない、ということで、結局いろいろ問題がありました。

これらのことからホワイトリストは使えないだろうな、と思っていたら、やはり衰退に向かっていった、というのが2008~2009年くらいの状況じゃないですかね。

そして結局あんまり売れなかったんですよね。当時のWAFというのは、値段が高いせいもありましたが、まあ、一声500万円くらいしましたかね、当時のWAFは、それからまた設定とかいって、まあトータルで1,000万円近い案件になって。

安い製品は大手さん扱わないですよね、まあ彼らの値頃感としてはよかったんですけど、ユーザーさんにとって500万、箱だけで500万、設定したら1,000万、そういう買い物だったわけですよ。で、当然のように売れなかったというの、考えまして、2008年でしたかね、ブログにこれからはブラックリストが主流じゃないかという話を書きました。

──そしてまたブラックリストが再び主流に

ちょうどその頃から、○△と□□がシグネチャ主流のWAFということで出てきて、その後、ホワイトリストを宣伝してた△▽とか×○も実はシグネチャは結構ちゃんとしてるんだというのがわかってですね、こっちで売っていけばいいのにと思ってたら、いつの間にかどこもホワイトリストって言わなくなってしまったと。

私ちょっと怒ってましてですね、ケジメを君たち付けないの? ホワイトリストは間違っておりました、って誰も言わないですよね。フェイドアウト、なかったことにしようと。でも、まあ予言が当たるとまあうれしいので、でも元通りになったなあという感じで。それが現在ですね。

で、現在の主要なWAFはもうシグネチャということになっています。今のWAFは結構シグネチャの数も多くてですね、複雑なシグネチャが入ってるんです。これはWAF側のハードウェア性能が上がったというのが背景にあると思います。

昔はたくさんの複雑なシグネチャを処理するほどの能力がなくて、単純化しないといけなかったという事情もあったんだと思うんですね。で、最近はご存じのようにCPUパワーが割と安い方の資源ですので、CPU資源をふんだんに使っても大丈夫、並列処理とかもできるでしょうから。

ですから、現在はシグネチャのよさを競うということになっているのではないかと思います。シグネチャの善し悪しってなかなか比較が難しいんですけどね。

(聞き手・文:山本洋介山)

※本記事は有料版メールマガジンに全文を掲載しました
《》

関連リンク

編集部おすすめの記事

特集

Webアプリケーションファイアウォール(WAF)

特集 アクセスランキング

  1. 今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

    今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

  2. 能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

    能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

  3. アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

    アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

  4. Scan社長インタビュー 第1回「NRIセキュア 柿木 彰 社長就任から200日間」前編

  5. 【無料ツールで作るセキュアな環境(67)】〜 zebedee 5〜(執筆:office)

  6. 日本プルーフポイント増田幸美のセキュリティ情報プレゼンテーション必勝ノウハウ

  7. 作っているのはWebアプリではない ~ S4プロジェクト チーフデザイナー かめもときえインタビュー

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×