【すぐ分かるセキュリティ用語】シグネチャーとWAF

Webセキュリティについて関心をお持ちの方なら、メディアでよくWAFという単語を目にするはずです。
しかし、WAFとは何なのか、どういう点がWebセキュリティに役立つのか正確にご存知ですか？
❛我が社のWebサイトにもセキュリティサービスの導入が必要だと思うんだけど、上司にどう説明すればいいんだろう？❜
❛WAFの意味は分かるけど、仕組みまでは分からない。❜
こういった疑問・悩みをお持ちの方の為に、このページではシグネチャー(Signature)の概念、WAFの進化段階、SignatureとWAFの関係について分かりやすくご説明いたします。

Signatureとは、Web攻撃を職別するルール(Rule)であり、WAFが作動する際に照会を行う事で攻撃を検知または防御します。
その時、正常的な通信を不正アクセスに誤って検知してしまう事を誤検知、不正アクセスを正確に検知する事を正検知といいます。

₋第１世代：ブラックリスト/ホワイトリスト
リスト照会型検知法。Webサイトとブラウザが交換するデータの中から作成しておいたリストにある「禁止/許可文字列」があるか検知する方法です。
危険なモノだけリスト化したのを「ブラックリスト」、安全なモノだけリスト化したのを「ホワイトリスト」といい、
このようなリストは社内セキュリティ担当者が全て作成しなければいけません。
これは、パーティを開催する際、パーティを主催者が直接作成した招待者名簿を基盤に確認過程を実施して、
招待者名簿に載っている人のみ入場を許可したり（ホワイトリスト）、招待状名簿を別当作成せずに危険な人物名簿のみ作成してその人のみ入場を不可とする事（ブラックリスト）だといえます。

₋第2世代：Signature基盤のパターンマッチング
現在大半のWAFベンダーが適用しているWAFの検知方法であり、リストを照会する面で検知方法は以前と同じですが、チェックリストの作成方法に差があります。
今まで作成されたブラックリスト/ホワイトリストの内容をデータベース化して、その内容をWAFベンダーが定期的に更新する方法です。
以前は社内担当者が直接作成しなければいけなかったのですが、とても手間がかかって多くの知識が必要でした。
このような問題を解決する為に出来た方法であり、これによって社内担当者の負担が軽減しました。
これは、パーティの主催者の負担を減らす為、パーティ運営代行業者を雇い、業者の方で招待者名簿を作成して入場者を判断する事であります。
招待名簿は毎回更新されて更新する程人数が増加します。

₋第3世代：論理分析エンジンによるルールベースの検知方法
リスト照会検知はSignatureを更新続ける事でデータベースが肥大化する事と、攻撃を受けてからSignatureを作成出来るという問題点があります。
この問題を解決する為に新しく開発された方法が「ルールベース」という新しい検知方法です。
約30個のルールとIP Block機能がWeb攻撃を類型別に分析及び検知して多様な形のWeb攻撃からサーバを安全に保護します。
Signatureを使用しない為（Signature₋Free)、検知の為に行う定期的なアップデートが不必要であり、
今までなかった・変形性の攻撃を受けても適切に対処出来る利点を持っています。
これは、身分確認において各分野の専門家が身分確認を行い、全てにおいて問題がないという判断を貰った場合のみパーティに入場出来ることです。
事前に参加者名簿を作成しなくても、今まで参加した人の類型を分析して入場確認が出来る方法になります。

現在主に使用されている第2世代検知方法を含む今までの検知方法は、既に定義された攻撃に対してのみ防御出来ました。
また、定義されていない攻撃を防御する為には攻撃を受けたからでなければなからかったです。
しかし、これからは単純に攻撃の形態だけを判別するのではなく、攻撃の属性まで判断して防御する検知方式が増えるはずです。
このような方式をSignature-Free(Signatureを使用しない)WAFといいます。

クラウドブリックはロジックベース(ルールベース)検知エンジンで動作して悪意的なWebトラフィックを全て遮断します。
これによって知られていない変形性のWeb攻撃にもより適切に対応出来ます。
IT技術の発展と共にサイバー攻撃もより巧妙で多様になっています。
従って、企業の経済的損失やイメージ損失を事前に防止する為には、Webセキュリティについて把握してより良いセキュリティサービスを適用する事が重要になります。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーシップ情報はこちら