ロジック解析エンジン型とシグネチャ型WAFの比較 後編(ペンタセキュリティシステムズ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

ロジック解析エンジン型とシグネチャ型WAFの比較 後編(ペンタセキュリティシステムズ)

調査・レポート・白書 調査・ホワイトペーパー

前編に続きロジック解析エンジン型とシグネチャ型WAFの比較をおこないます。

●シグネチャ型WAFの検出方法
現在はさまざまなWAFが市販化されており、それぞれが固有のアーキテクチャで作られています。しかし多くの装置が共有している方式として、パケット単位の処理があります。ネットワークにつながる装置ですので、パケット処理をして当たり前なのですが、ここでのパケット単位の処理はシグネチャとの比較検知の方法です。

図-2に示すようにシグネチャ型製品の多くは、装置が受け取ったパケットのペイロードをDPI (Deep Packet Inspection) と呼ばれる手法により処理します。簡単に言うとパケット数×シグネチャ数の処理が必要になります(実際にはもう少し高度な方法を取っています)。そのため、通信量とシグネチャ数はパフォーマンスに決定的な影響を与え、高いスペックのハードウェアを用意しなければなりません。

また、シグネチャ方式ではこの処理をしてもシグネチャの登録がなされていないと機能することができません。そもそもシグネチャ方式はもぐらたたき的な要素が多く、新種の攻撃パターンが無いと、シグネチャ作成がほとんど行われませんので、犯罪が発生しない限り防衛対策も取れないのです。
データの取り扱いはトランスポーテーション層のPDU単位で行われ、「アプリケーションファイアウォール」という名前がついていますが、アプリケーション層まで持ち上げられずに処理されているのが現実でした。

当社ではこれら問題を様々な角度から考え、根本から解決するために新たにアプリケーション層の解析型エンジンを搭載したWAFを開発することを結論づけました。こうして、アプリケーション層でセキュリティの監査を行う機能を開発し、ブラックリスト型のシグネチャ機能と組み合わせ、今までに存在しなかったWAPPLES (ワップル) と命名されたWAFの開発に着手したのです。

当社の開発したWAPPLESシリーズは図-5で示したようにアプリケーション層で処理を行い、「シグネチャ」だけでなく、「コマンド」や「目的」そして「文法」を解析することで、アプリケーションへのDDOS的な攻撃への耐性をも身につけました。そしてこの解析エンジンは、日本やアメリカを含む世界4ケ国で特許を取得しています。



●ロジック解析エンジン型
ロジック解析エンジン型とは何でしょうか。その答えは文字通り「解析」そのものにあります。従来のトランスポート層での監査処理を、アプリケーション層での処理として追加したところから始まります。解析をその方法によって、表-1に示す3つのカテゴリに分け、従来型WAFで行われていたパケットそしてPDU単位での監査に加えてアプリケーション層での解析を行うことで、従来のWAFとは異なる検出方法のWAFを作り出しました。

これら3つの解析方法はそれぞれ、図-3に示すアーキテクチャの中でWebサービス解析とCOCEP(Contents Classification and Evaluation Processing) と呼ばれる2つのエンジンに機能を集約しました。



●ロジック解析エンジン型の特徴
解析型のエンジンにすることで生まれたメリットをいくつかを紹介します。

・日々のシグネチャ更新作業の軽減。ブラックリスト及びホワイトリスト型シグネチャ機能を実装しており、適時利用しますが、主に解析エンジンによる監査処理を行います

・プログラミングしないWAFにより、従来型ファイアウォールと同様の運用管理が可能 。解析型ではプログラミングされた解析ロジックのオン・オフ操作をすることで設定するため、個別のシグネチャ管理やシグネチャによる分類管理が不要になります

・誤検知の軽減。ビット単位やキャラクタの設定ミス等による誤検知が軽減できます。―経年劣化の抑制 。ロジックベースで解析を行うWAPPLESはシグネチャ的な積み上げがほとんど無く、シグネチャの追加等によるパフォーマンス劣化が発生しにくい傾向にあります

・解析ロジックのあり方
解析処理は図-5に示すようなツリー構造を生み出し、追加されたロジックは条件分岐後利用されることが無く、シグネチャデータベースの成長によるパフォーマンスの劣化を防止します。また、アプリケーション層での解析を行うため、文字列としてだけでは無く、コマンド自体の定義を元に解析した結果を処理することが可能になります。



●ロジック解析エンジン型WAFの導入
このようにシグネチャ型からロジック解析エンジン型へ変わることで、WAFとしてのあり方が大きく変わりました。そしてこのロジック解析エンジン型WAFであるWAPPLESを実際に導入していただくための方法も当社では3種類の提供形態を用意しています。

・アプライアンス型
ハードウェアとソフトウェアを組込み、一体型にして提供致します。運用はサーバの前にブリッジ的に導入する「Inlineモード」と、DNSを設定して全てのトラフィックが一度WAPPLESを経由する「Proxyモード」の双方に対応しています。

オン・プレミス的な環境でパフォーマンスの向上、冗長化の切替速度短縮要件を満たせるところが特徴です。

・仮想アプライアンス(ソフトウェア)型
「アプリケーション+OS」をパッケージングしたソフトウェアを提供しており、各種仮想化環境で仮想マシンとして、利用することが可能です。当社からはソフトウェアのみの提供となり、仮想化環境は別途用意する必要があります。運用は「Proxyモード」で通常導入されます。

・クラウドサービス型
株式会社インターネットイニシアティブ(IIJ)のVMサービス上に仮想アプライアンスを実装したクラウド型WAFサービスです。初期費用を必要とせず、必要なときに必要な分だけをサービスとして使うことで、資産化せずに簡単にWAF機能を利用することができます。WAFとしての機能や環境は当社がIIJと協力して稼働させますので、利用者は設定とログ管理に集中することが可能です。



●最後に
WAPPLESが実現するロジック解析エンジン型WAFと従来型WAFを紹介してまいりました。最後に一つお願い申し上げます。どのようなセキュリティ機器も導入しただけでは完結しません。むしろ始まりであると言えます。製品の設定や死活管理はもちろんですが、ログの解析や、インシデント発生時の対応等を事前定義しておくことが重要です。是非、日頃の運用と事前の準備を整えておいてください。 引続き安全で快適なシステムの運用管理をしていただければと思います。
《ペンタセキュリティシステムズ株式会社 代表取締役社長 桜田仁隆》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

調査・レポート・白書 カテゴリの人気記事 MONTHLY ランキング

  1. 「情報漏えいを起こした企業とは取引しない」反面、自身の意識は低い(ジェムアルト)

    「情報漏えいを起こした企業とは取引しない」反面、自身の意識は低い(ジェムアルト)

  2. 2016年の個人情報漏えい調査、件数の減少は小規模漏えいの非公表化か(JNSA)

    2016年の個人情報漏えい調査、件数の減少は小規模漏えいの非公表化か(JNSA)

  3. 最多脆弱性ブラウザはChrome、最もパッチが適用されていないブラウザは(フレクセラ)

    最多脆弱性ブラウザはChrome、最もパッチが適用されていないブラウザは(フレクセラ)

  4. ネットワークセキュリティ市場は堅調に拡大、不正アクセス監視やSSOに注目(富士キメラ総研)

  5. 公共の場所の監視カメラ調達などに活用、ネットワークカメラのセキュリティ対策基準公開(IPA)

  6. 2016年の個人情報漏えい、「紛失・置き忘れ」原因が大きく後退(JNSA)

  7. 総務省自治体強靱化でインターネット分離市場大幅増、2020年にはさらに倍増予測(ITR)

  8. サプライチェーン攻撃、ハイエンドモバイルマルウェア、破壊型攻撃--2018年予測(カスペルスキー)

  9. ランサムウェアの被害件数は前年から約3.5倍、検出台数は約9.8倍に(トレンドマイクロ)

  10. IoT機器まで対象を拡大するマイニングツール--四半期レポート(トレンドマイクロ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×