AI型WAFエンジンの特長と効果
独自開発のAI型WAFエンジンにより、旧タイプのWAFで見られるシグネチャに頼った検知方法から完全に脱却。Webセキュリティ専門家の総合的な判断に近い検知性能を実現しました。
誤検知の大幅軽減、ゼロデイ防御など
シグネチャ依存型WAFと根本的に異なる高度な防御
Scutumは、専門知識のない担当者の方でも本当に手放しで利用していたける「実用的な」「検知精度の高い」WAFを目指してスタートしました。クラウド型というスタイルを取ったことで、ご担当者がシグネチャの更新や調整を行う苦労は元々ありませんでしたが、私たちWebセキュリティのプロが運営する場合でも、従来のWAFのシグネチャ依存のままでは検知精度に限界がありました。
多くのWAFベンダーがシグネチャによる初期の検知スタイルを継続する中、Scutumでは検知モデルを根本から変えることでこの限界を克服してきました。
データサイエンス(AI技術)は、医療診断への応用などからも分かるように、コンピュータに高精度な「分類」や「識別」を可能にさせるものであり、通信の内容を攻撃か正常かに分類するWAFに非常にマッチする分野です。Scutumでは2013年以降、『ベイジアンネットワーク』をはじめとするデータサイエンス技術を活用した独自開発のAI型WAFエンジンをベースに検知を行っています。
その結果、従来WAFの弱点とされ、大きな手間の掛かる作業となっていた誤検知調整の大半が不要となり、幅広い攻撃を検知しながらも正常通信を止めることが極めて少ないWAFを実現することができました。
※1 サイトあたりの誤検知対応頻度
2011 年:4.6 件
2022 年: 0.003 件未満
※本コンテンツ内で「誤検知」と表記した箇所は、正常通信を止めてしまう「偽陽性の誤検知」を意味しています。
ベイジアンネットワークの導入 2013~
個々の攻撃の特徴を、シグネチャという形ではなくベイジアンネットワークのノードとして階層的に組み込み、多面的・統計的に判断を行うことで、専門家の総合的な判断に近い検知プロセスを実現できるようになり、検知精度の大幅向上に繋がっています。シグネチャの組み合わせだけでは検知できないような様々な攻撃バリエーションも検知できるようになり、汎用的な防御が可能になりました。このため、新たな脆弱性や攻撃パターンが公表された時点で、Scutumでは既に汎用的に対応ができていることも多くなっています(ゼロデイ防御の実現)。
※ベイジアンネットワーク:AIの一分野である確率的グラフィカルモデルの一種。複雑な因果関係を確率的に推論するための手法。
技術詳細をブログで詳しく解説
ベイジアンネットワークとは何か、ウェブ侵入検知でベイジアンネットワークをどう使うか? 導入の経緯などを Scutum 開発者がブログで解説しています。
人工知能学会 合同研究会でScutum開発者が招待講演
Scutumは、確率的グラフィカルモデル技術の産業活用事例として関連学会からも注目をいただいています。2016年開催の人工知能学会 合同研究会でScutum開発者である佐藤 匡(金床)が招待講演を行いました。
【講演名】ウェブアプリケーションファイアウォール(WAF)サービスにおけるベイジアンネットワーク実用事例
アノマリ検知の導入 2017~
機械学習を用いた異常検知アルゴリズムが、サイトごとの正常通信傾向やブラウザごとの特徴などを自動的に抽出し、対象となる通信の異常度を判定します。
※アノマリ検知:正常な行動の傾向を元に、統計的に異常な行動を判定する検知手法。低レイヤーを主対象とするIDS/IPSなどと比べ、Webアプリケーションの通信でのアノマリ検知は特徴量の選択が難しい。
※機械学習:Scutumでは、正常通信/攻撃を含む膨大な通信データを学習させ(教師無し機械学習)、異常度の評価を行っています。
※対象サイトの通信量が少ない場合は、サイトごとの異常検知が十分に機能しない可能性があります。
また2021年8月には、アノマリ検知機能に独自開発の「Thinning」手法を追加することで、検知精度のさらなる向上を実現しました。
プレスリリース 「クラウド型WAF「Scutum」の異常検知性能が約17%UP〜独自開発の『Thinning(シニング)』手法による攻撃検知率向上と誤検知低減〜」 2021/8/24
技術詳細をブログで詳しく解説
機械学習を用いた異常検知アルゴリズムがいかに有用か、現実的なレベルでどのように役に立つかについて、データ/ソースコードを含めた実例を技術ブログでご紹介しています。
「Thinning」手法については、こちらのエントリで解説しています。
ベイジアンネットワークとアノマリ検知の組み合わせでシグネチャ依存の問題から脱却
アノマリ検知をベイジアンネットワークによる検知と組み合わせることで、カスタマイズ無しで各サイトごとに最適化した防御が可能となり、正常通信の誤検知が非常に少ないWAFとなりました(Scutum全体の誤検知対応頻度が初期と比べ1/50以下に減少)。正常通信を処理する間に攻撃検知精度が向上するのがScutumの特長です。
シグネチャ依存型WAFの問題点
WAFの基本的な機能は、Webサイト/Webアプリケーションへの通信について「正常な通信と攻撃を分類する」ことです。この分類を効率的に行うため、これまでWAFは、Webセキュリティの専門家が両者の分類を行う際の判断をシステムに再現させ、自動化しようとしてきました。初期のWAFで主に利用されたのは「シグネチャ」と呼ばれる手段でした。これは、ある攻撃を解析してその特徴となる文字列やパターンを定義したもので、これらを組み合わせて条件に一致する通信 (GET/POSTリクエスト)を攻撃と判定するものです。
しかしシグネチャやその組み合わせ(ルールセット)のみによって攻撃を検知しようとするWAF、すなわち『シグネチャ依存型WAF』では、この「分類」の性能がそもそも不十分なため、少しだけ表現や手法の異なる攻撃バリエーションをまるごと見逃したり、人が総合的に見ると正常通信なのに通信内容の一部がたまたまシグネチャに合致してブロックされてしまう「誤検知」が頻発しがちです。また攻撃によっては仕組み上、一般的なシグネチャでは止められないタイプのものも多数存在します。
シグネチャ依存型WAFの特性については、技術ブログの下記エントリで詳細に解説しています。
WAF Tech Blog「シグネチャ依存型のWAFは避けよう」2020/4/13
- ・WAFの仕事の本質は「攻撃を止めること」ではない
- ・シグネチャは正常通信と攻撃を「分類」することが苦手
- ・なぜシグネチャ依存型のWAFを導入すると苦労するのか?
など、Scutum開発チームがシグネチャ依存の問題点について説明します。
WAF Tech Blog「WAF におけるシグネチャの功罪」2020/6/10
- ・シグネチャの分類性能が低いため正常通信を止めてしまう
- ・正常通信を通すためにシグネチャをOFFにすると攻撃が止まらないWAFになる
- ・シグネチャによる防御は攻撃パターンを少し変えるだけで簡単に回避されがち
- ・担当者自身の判断と責任でシグネチャをOFFにしてしまってよいのか
など、シグネチャ依存型 WAF の弱点をより詳細に説明し、一方でメリットについても挙げています。
「誤検知」問題の深刻さ
WAF の検知性能が低く正常通信を止めてしまうと、そのサイトが提供していたビジネスに一時的な悪影響が出るだけでな く、WAF 担当者は状況の確認、影響の調査、関連部署や関連事業者への連絡等の一次対応を速やかに行う必要がありま す。その上で今後の誤検知再発を防ぐための対策を検討・実施し、結果の確認や報告まで行わなければならないなど、誤検 知が頻発する WAF では運用面の人的コストが社内で膨らんでいきます。このコスト負担はベンダーの提供する情報からは 読み取れません。
しかも、シグネチャ依存型WAFで誤検知が発生した場合の対策は、通常、正常通信を止めてしまったシグネチャを無効にする方法となります。この結果、そのシグネチャが本来想定していた危険な攻撃が止められなくなり、今度は誤検知ではなく、WAFを入れているのに本当の攻撃の発生におびえなければならないという悪循環に陥ります。また、「自分の責任でそのシグネチャをOFFにして本当に大丈夫なのか?」というプレッシャーは、企業のセキュリティに関わる業務をされている方なら皆さん理解できるものではないでしょうか。
誤検知が少なく、手間のかからない 本物のWAFを目指し続けるScutum
データサイエンスの導入はScutumの検知性能の大幅アップをもたらしましたが、Scutumが目指す「実用的な」「検知精度の高い」WAFを実現するための一つの道具でしかありません。同じ道具を使うとしても、特徴の選択や重み付けに当たって必要なWebセキュリティエキスパートとしての高度な知見と研究、10年以上にわたる実際の攻撃データの蓄積と分析がなければ、検知精度の向上には大きな限界があり、またその精度を正確に評価することもできなかったでしょう。また、新たな脆弱性に即時対応する場合など、従来のシグネチャによる防御を柔軟に組み合わせることもあります。
手軽でありながら手間なくしっかりと防御できる本物のWAF。Webセキュリティの専門家が常に傍にいて自社のサイトを見守ってくれるようなWAF。Scutumはデータサイエンスをはじめとする様々な武器を駆使して、これからも私たちが考えるWAFのあり方を追求していきます。