WAFの比較ポイント ~自社のニーズに合ったWAFを選択するヒント~
WAFを選択する前にチェックしておきたい、7つの比較ポイント
~よくあるスペック表からは見えない、後悔しないためのポイント~
クラウド型WAFの登場でWAF導入のハードルが低くなったとはいえ、導入後に運用面等で大きな問題が発覚した場合、すぐ別のWAFサービスや製品に変更するのはコスト/手間/社内評価などの面で大きな負担となります。安さだけで導入して失敗した、導入したら運用が大変だった、といった結果にならないよう、自社のニーズに合ったWAFを慎重にご検討ください。
特に近年増加している、クラウドインフラのオプションとして提供されるWAFについては、安価で導入手順も手軽な反面、運用フェーズで「こんなに管理の手間が掛かると思わなかった」「誤検知の扱いで想像以上に苦労することとなった」「運用を外注したら結局コストメリットが得られなかった」など、インフラオプション型WAFの実質的な運用コストや検知性能の限界を導入後に初めて知ったという声も多く聞かれます。
ここではScutumのお客様からいただいた経験談も踏まえ、ベンダーのスペック表からは見えにくい、WAF選びで落とし穴となりがちな7つのポイントをご紹介します。
WAFの比較ポイント①
「運用も含めたトータルのWAF関連費用を毎月一定の金額にできること」
コストを一定にするなら…
通常は、月額制のクラウド型WAFサービスが有利です。
アプライアンス型やソフトウェア型のように減価償却や資産管理を気にする必要がなく、償却前に機能やスペックが時代に合わなくなり投資が無駄になる心配もありません。ただし、WAF利用自体は安価な月額制のサービスでも、インフラ費用や年間保守費、誤検知や新たな脆弱性/攻撃手法に対応するための運用費など、基本費用と別に諸費用が必要となる場合もありますので、コスト比較の際は注意が必要です。
また、クラウドインフラの付加サービスとして提供されるWAFなど、海外ベンダーのサービスではドル建て決済となることが多く、長期間利用する中で為替の影響を大きく受けることとなります。円建てで予算を組んでいる場合は、国内WAFベンダーを利用する方がコストが安定し、予算管理も容易となります。
WAFの比較ポイント②
「予め定義した攻撃パターンだけを識別する"シグネチャ依存型"でないこと」
高い検知精度を求めるなら…
攻撃パターンを記述した「シグネチャ」による検知に依存せず、通信の多様な特徴を柔軟に組み合わせて多層的/総合的な検知を行う方式(ScutumのAI型エンジンによる検知など)が有効です。
シグネチャによるパターンマッチングに頼った検知方法は検知精度が低く、攻撃の見逃しや正常通信の誤検知が発生しやすくなります。正常通信の誤検知に対応する際にも該当シグネチャをOFFにするという調整しかできず、ちょっとした調整で大きく防御力が落ちやすいという深刻な弱点を抱えています。また、攻撃者が少し工夫するだけで回避(イベイジョン)が可能になる傾向が強く、少しレベルが高い攻撃になってしまうと防ぐことができません。
初期のWAFに多かったシグネチャ依存型ですが、現在知られている商用WAFの中にもこれに該当するものが多数存在します。シグネチャ依存型にはシンプルでわかりやすいという利点はありますが、昨今の複雑なアプリケーションを多様な攻撃パターンから守り、誤検知に悩まされず安定して運用できることを重視するなら、そのWAFがシグネチャのみに依存せず、より多層的/総合的な検知を行っているかをしっかりと見極めることが重要です。
WAFの検知ロジックの種類、メリットデメリット
シグネチャ依存型WAFの問題点
シグネチャ依存型WAFの特性については、技術ブログの下記エントリで技術的視点から詳細に解説しています
WAF Tech Blog 「シグネチャ依存型のWAFは避けよう」 2020/4/13
WAF Tech Blog 「WAFにおけるシグネチャの功罪」 2020/6/10
WAF Tech Blog 「2020年になってもシグネチャ依存型のWAFが多いのはなぜか?」 2021/1/13
WAFの比較ポイント③
「最新の脆弱性や攻撃手法にすぐ対応できること」
安心して長期利用するなら…
WAFを利用する上で、新しい脆弱性や攻撃手法にいち早く対応し続けていることは大きな安心感に繋がります。
数年にわたって何度も新たな注意喚起が行われたApache Struts2 の一連の脆弱性、公表直後に一斉に攻撃が行われ、実際に多数の被害を出したWordPressの脆弱性、Javaを利用したサービスやプラットフォームで幅広く影響が出て社会問題となったApache Log4jの脆弱性(Log4shell)など、近年の脆弱性対応にはかつてない程のスピードが要求されています。少なくとも、IPAやJPCERT/CCから広く注意喚起が行われるような主要な脆弱性は、基本的に日を跨ぐことなく、いかに短時間で対応できるかが重要です。
WAFサービスにおいても、最新の脆弱性や攻撃手法にどの程度素早く対応し続けているか、また、対応状況を速やかにサポート情報等で利用者に案内できているか、その実績を具体的に確認しておくことが必要です。
ITmediaニュースの参考記事 (2022年3月)
WAFの比較ポイント④
「外部のセキュリティ専門家が日常的にWAFの運用をやってくれること」
自社にWebセキュリティ専門家がいないなら…
WAF専任者を置けない多くの企業では、運用がすべて含まれた状態で提供されるクラウド型WAFサービスを利用するか、別途外部のWAF運用事業者に外注する方法が一般的です。
WAFの運用は、一般的なシステムのメンテナンスとは大きく異なります。WAFシステム本体のアップデート、稼動監視、障害時対応、ログ管理、各種レポートといった業務は一般的なシステム運用と共通の要素も多いですが、WAF運用では次のようなWebセキュリティ視点での緊急性の高い対応が不規則に発生し、各対応の工数も予測できません。
・検知ロジック(シグネチャ等)やポリシーの更新
・誤検知対応
・新たな脆弱性などの調査、対応優先度検討
また、専門的なWebセキュリティの知見がないと、公開情報だけではそもそも何が適切な対応かの判断が難しい上、設定を一つ間違えると大きなインシデントに直結するという怖さも常に付きまといます。
そのため、WAF専門家を内部で確保できないほとんどの企業では、外部のWAF運用事業者にこうした運用を委託するか、またはクラウド型WAFサービスなど、運用も最初から全てWAFベンダーが対応してくれるフルマネージドサービスを利用することとなります。特に、運用会社や運用担当者個人によるレベル差の影響を受けにくく、調査能力が高く、対応漏れも発生しにくいメジャーなクラウド型WAFサービスを利用することが、コスト面も含めて最も有効な選択肢と考えられます。
WAFの比較ポイント⑤
「誤検知発生時にスムーズかつ安全に対応してもらえること」
発生した誤検知の影響を最小限に抑えたいなら…
正常通信を攻撃と誤認してしまう『誤検知』が発生したときの対応フローが明確で、専門家による迅速な調査や、セキュリティを低下させない柔軟な誤検知調整方法が用意されていれば、誤検知による悪影響を大幅に軽減できます。
WAF選択に当たっては、最初から特別なチューニング無しで検知精度が高いWAFを導入することが何よりも重要ですが、検知精度の高いWAFでも誤検知が出てしまうことはあります。正常通信が止められる状態で何日も放置されたり、誤検知の原因となった検知機能を自分たちで単にOFFにするのでは、ビジネスが長期間阻害されたり、WAFを入れているのに本来止めたかった実際の攻撃に対して脆弱な状態となったりするため、広範囲に混乱を招き、大きな責任問題にもなりかねません。
誤検知が発生した際に想定外の苦労をしないためには、
【1】WAFベンダー側の工程を含めた対応の流れがあらかじめ明確であること
【2】高い知見を持つWAF専門家による調査を迅速に開始できること
【3】単にシグネチャをOFFにしたり対象URLの検知を除外したりするのではなく、他の検知機能や防御能力に影響を及ぼさないようなきめ細かい調整方法が用意されていること
…などを導入前に確認しておくことが重要です。
※ここで「誤検知」とは、正常通信を攻撃と誤認してしまう『偽陽性の誤検知』を指します。
ITmediaニュースの参考記事 (2022年5月)
WAFの比較ポイント⑥
「質の高いサポートを、運用面・機能面・技術面を問わず幅広い範囲で容易に受けられること」
多くのサイトを運用していたり、Web開発の追加更新が頻繁に発生するなら…
一次サポートの段階から専門性の高いチームによる多角的な支援を得ることで、疑問解消、トラブル解決までの時間と人的コストを大幅に軽減できます。
安定した運用が可能でトラブルが少ないWAFであっても、導入するサイト数が増えるにつれて、また、Webシステムやアプリケーションの変更頻度が高くなるにつれて、問い合わせやサポート依頼を行う機会は徐々に増加します。
WAF機能自体のトラブルや障害だけでなく、それ以外に多様なインフラ環境ごとの特性、他のゲートウェイサービスやネットワーク機器との組み合わせ、ミドルウェア、サーバ証明書、暗号スイートなど、問題の切り分け段階で高度な知見が要求される分野もあります。これらに関連したWAFのサポートが必要な場合、ベンダーのレベルによって解決までの工程と満足度が大きく異なることに注意が必要です。また、WAF運用(シグネチャ更新など)を提供していてWAFの機能面に詳しい事業者であっても、これらの複合的な問題への対応能力が高いとは限らず、ベンダーとの調整で苦戦するケースも多いようです。
WAFに関する質の高いサポートを安定して受けるためには、障害時の24/365対応があるか、メールや問い合わせフォーム以外の連絡方法があるか、といった基本事項に加えて、
【1】一次サポートの段階から、WAFの運用面/機能面/技術面を問わず、専門的なノウハウを幅広く有するチームが対応していること
≪参考≫
-セキュリティ以外の多様な商材を扱っているベンダーの一次窓口では問題の切り分けが難しい場合も
-WAF運用委託先とWAFベンダーの関係が密接でないため十分な情報が得られないことも
-アップデート時などの連携不足から生じるトラブルも
【3】技術面のエスカレーションも含めて国内で対応が完結し、時差や言語によるロスが生じないこと
…などを導入前に確認しておくと安心です。
WAFの比較ポイント⑦
「クラウドインフラのオプションとして提供されるWAFの限界を知っておくこと」
「導入時の手軽さ」より「導入後に安心して利用できること」を優先するなら…
クラウドオプション型WAFの強みと弱みをあらかじめ知ることで、フルサービスの専用WAFとの効果的な使い分けが可能となり、導入後の想定外の苦労を避けられます。
近年、クラウドインフラ事業者(IaaS/CDNなど)のオプションとして提供されるWAFが普及しつつあります。利用しているクラウド環境のサーバへの導入が簡単で、WAF機能自体が低コストで利用でき、ノウハウを持つ運用事業者も多いなど、様々なメリットがある「インフラオプション型」のWAFですが、現状ではいくつかの大きな限界があるものが多いため、それを理解した上で自社のWAFとしての向き不向きを判断していただくことをお勧めします。
【1】WAF監視箇所の抜け漏れの存在
メジャーなクラウドサービスであっても、WAFはあくまでもオプション的な立ち位置にあることが多く、機能面でそれほど力が入れられていません。限られたHTTPヘッダしかチェックしていない、あるいはHTTPボディ部の冒頭一部しかチェックしていない場合があるなど、専用のWAFに比べると不正アクセスの検知や攻撃の遮断といった基本性能に不安が残るのが実状です。このような「WAFの仕様自体が原因となっている弱点」は外部事業者のシグネチャ更新サービスを使うなどして上手く運用しようとしても仕組み上カバーすることはできません。少しレベルの高い攻撃者はこれらの抜け漏れを把握しているため、すべての検知ロジックをかいくぐって攻撃を成功させることが出来てしまいます。
【2】検知精度そのものの限界
多くのクラウドオプション型WAFでは、前述の「シグネチャ依存型」の検知方式を採用していますが、この方式は攻撃の見逃しや正常通信の誤検知が発生しやすくなります。非常に単純な攻撃についてはシグネチャだけで対応することができますが、近年では攻撃者が難読化などのテクニックを使うことは当たり前になってきており、シグネチャ依存型WAFでは十分な防御性能を提供することは難しくなりました。
【3】運用の手間が実は大きく、思ったほどコストを軽減できないという誤算
クラウドインフラ事業者との責任分担上、WAFの運用はユーザの自己責任での対応となりますが、通常のクラウドインフラ上のシステム保守とはだいぶ勝手が異なり、Webセキュリティの専門家がいないと社内での運用は非常に難しいと言えるでしょう。結局は運用者が大きな負担と責任を負いながら無理に運用を続けるか、または運用を委託して外注コストを負担し続けるかの選択となり、人的コストを含めたWAF関連コストが結果的にほとんど圧縮できないといったケースもよく見られます。
【4】攻撃者に研究されやすく狙われやすいという弱点
世界的にメジャーなクラウドサービスのオプション型WAFは、攻撃者も広くその機能や性能を知っていることから、そのサービスに存在する攻撃の糸口が見つかるとごく短時間で一斉に世界的に攻撃が広がる恐れがあります。
例えば、
・WAF機能やシグネチャ自体に脆弱性が見つかったとき
・「難読化」など、防御をすり抜ける攻撃方法が見つかったとき
・そのWAFの仕様上、ある通信パターンが防御できないと分かったとき
…などがこれに当たります。
ITmediaニュースの参考記事 (2022年9月)
『「WAFを入れれば安心」に黄色信号! 誤検知や精度の低さに苦労するかも? 今知りたい“本当に使えるWAF”の選び方』
クラウドオプション型WAFの特性については、技術ブログの下記エントリで詳細に解説しています。
WAF Tech Blog 「大手クラウドのオプション型のWAFの弱点」 2020/8/7
WAFの回避/難読化については、技術ブログの下記エントリで詳細に解説しています。
自社のニーズに合ったWAFの選択を
WAFの選択肢は近年徐々に増加しており、ベンダーによってアプローチは異なるものの、私たちScutumもクラウド型WAFのパイオニアとしてこうした市場の広がりを歓迎しています。
この間、Scutumでは10数年にわたって当サイトやサポートサイト、Scutum技術ブログ、Scutum活用ブログ等を通じて「利用して初めて分かるWAFのリアル」を意識してお伝えしてきました。しかし、WAFベンダーの公開情報の多くはいまだに機能や星取表的なスペックが中心で、導入後に初めて気づくミスマッチも多いなど、導入から長期運用に至るユーザ視点の具体的な利用イメージを業界として事前に十分提供できているとは言えません。
WAFの選択に当たっては、自社のニーズから考えて譲れない条件についてはベンダーにしっかり確認し、検知性能や運用の実態まで比較いただいた上で、自社の方針、対象サイトとの相性、他システムとの連携、予算、サービスレベル、認証取得等の各種要件と合わせて適切なWAFを最終的に選択していただければ幸いです。
Scutumの関連情報に関する詳細はこちらで公開しています。
Scutumサポートサイト
Scutum活用ブログ
Scutum技術ブログ(Scutum開発者自身がScutumの技術的背景を解説)