“シグネチャ頼り”はなぜ危険？　4つのステップで考える「WAF」導入の勘所

要約

　Webアプリケーションのセキュリティコントロールは、抑止／防御／検知／対応という、4つのステップで捉えることができる。このうち、インシデント発生前となる「抑止」と「防御」のフェーズではできるだけ人が介在せずに自動化することが有効であるが、インシデント発生後の「検知」と「対応」においては、有識者の見解と人の介在が不可欠となる。

　しかし、“シグネチャのみ”に依存した従来型のセキュリティでは、そうした柔軟な対応は難しい。そもそもシグネチャによる対策は、インジェクション攻撃やクロスサイトスクリプティングといった、大きな被害につながる「既知の脅威」に対しては効果があるが、ゼロデイ攻撃など「未知の脅威」には無力で、誤検知の要因になる。また大量生成される検知ログの精査に時間がかかり、WAFの有効活用を妨げている面もある。

　そうした状況を踏まえ、WAFの運用においてはどのようなポリシー設定が有効となるだろうか。本コンテンツでは、シグネチャのみに依存した従来の脅威検知が持つ課題を浮き彫りにしながら、Webアプリケーションのセキュリティ対策で留意すべきポイントについて解説する。