チューニングに悩まされるWAF担当者
WAF(Web Application Firewall)の導入/運用担当者が、「できれば避けたい」と考える作業の一つがシグネチャのチューニングだろう。
シグネチャとは、遮断対象となる通信のパターンをまとめた定義ファイルのこと。ブラックリスト方式のWAFは、Webアプリケーションへのアクセスを求める通信の内容をチェックし、シグネチャに記載されたパターンが検出された際に通信を遮断するというのが基本的な動作となる。
チューニングは、このシグネチャのカスタマイズ作業を指す。シグネチャに記載する遮断すべき通信パターンを増やすとセキュリティが向上するが、その分、本来は許可すべきアクセスを遮断してしまう、いわゆる誤検知の確率も高くなる。
そこで誤検知を減らすために、自社Webサイトでは除外すべきでないパターンをシグネチャから削除したり、パターンを変更したりするのがチューニングという作業になる。不正な通信を見逃すことなく、誤検知を減らす。稼動状況を見ながら調整を続けるため、相応の時間と手間が必要だ。
このチューニングをAIにより自動化する新サービスが12月12日、サイバーセキュリティクラウドより国内で初めてリリースされた。
 |
|
サイバーセキュリティクラウド 大野 暉氏 |
最適シグネチャ配信を支える2つの技術
「WafCharm」と名付けられた新サービスでは、同社が提供するWebセキュリティサービス「攻撃遮断くん」を契約する4000サイト、数千億件のアクセスデータをAIに学習させている。必要情報を入力して契約サイトを指定すると、学習済みAIが特徴を解析して最適なシグネチャを自動で配信する仕組みだ。
 |
|
WafCharm |
WafCharmは、「検知状況分類処理」と「サイト構造類推処理」の2つの技術が柱になっている。前者は「Webアプリケーションへの攻撃状況が類似するサイトの状況からシグネチャを推薦する技術」(サイバーセキュリティクラウド 最高技術責任者 渡辺 洋司氏)で、後者は「Webアプリケーションの構造をアクセス情報から類推する技術」(渡辺氏)になる。
通常のWAF運用ではWebサイトの構造を知る管理者が、それに合わせて必要なルールを選択することになるが、WafCharmでは、前述の2つの技術によって、サイト構造の情報を与えなくても最適なシグネチャをレコメンドすることができる。こちらは現在、特許出願中だ。
 |
|
「検知状況分類処理」と「サイト構造類推処理」の2つの特許出願中技術により実現している |
 |
|
運用を続けるうちにサイトの特徴を分析し、最適なシグネチャを配信する |
そのほか、サイバーセキュリティクラウドでは現在のところ、リサーチャーによる脆弱性調査なども行っており、未知の攻撃に対してはそちらで対応している。人手とAIのハイブリッドでWafCharmの性能を担保しているかたちだ。
AWS WAFの活用シーンを広げる
WafCharmは当面、AWS(Amazon Web Services) WAFを対象としたサービスとして提供される。
AWS WAFは、2015年10月に発表されたサービス。SQLインジェクション(SQLi)やクロスサイトスクリプティング(XSS)などの主な攻撃に対してはシグネチャが標準で用意されているが、その他についてはユーザー側でルールを記述して運用する必要があった。
利便性を向上するべく今年11月には、セキュリティベンダーがMarketplaceでルールセットを提供できるManaged Ruleを発表。現在5社によって、目的別のルールセット11個が提供されている。ただし、「ユーザー側からは内部に定義されたルールを確認することができず、誤検知のチューニングなどができない」(渡辺氏)という。
 |
|
サイバーセキュリティクラウド 最高技術責任者 渡辺 洋司氏 |
WafCharmは、こうした問題を解消する役割を担うという。
「シグネチャは自動でチューニングされるうえ、適用されるルールや、検知/誤検知の理由を管理画面によって把握することが可能。ルールを個別に削除することもできる」(渡辺氏)
AWS WAFの完全自社運用に比べるとカスタマイズ性に劣るが、専門スキルがなくても誤検知を減らせるというメリットがある。サイバーセキュリティクラウドでは、AWS WAFの活用シーンを広げるサービスとして打ち出していく方針だ。
 |
|
WafCharmは、AWS WAFの自社運用とAWS WAF Managed Ruleの間を埋めるサービスと期待される |
 |
|
AWS WAF Managed Ruleとの比較 |
料金体系と今後の展開
WafCharmの料金プランは、「Entry」「Business」「Enterprise」の3種類が提供される。
Entryプランは、50万ログまで、週に8時間×5日間のEmailサポートという内容で月額50ドル/5000円。Enterpriseは、1億ログまで、週に24時間×7日間のEmail/電話サポートで、月額900ドル/9万円となっている。さらにその上位プランとして、応相談のPremiumプランも用意されている。
 |
|
料金体系 |
サイバーセキュリティクラウドでは、2018年中に全世界で1万ユーザーという目標を掲げている。また、将来的には、アプライアンスへの組み込みや、他クラウドでの提供も進めていく意向だ。
