Webアプリケーションファイアウォール（WAF）とは何ですか？

WAF はどのように機能しますか?

WAF は、潜在的に有害な HTTP/S トラフィックを検査、フィルタリング、ブロックすることでアプリケーションを保護します。一部の機能では、さらに強力に、未承認のデータがアプリケーションから流出するのを防ぎます。 WAF は、HTTP インタラクションの 4 つの重要なコンポーネントを分析することでこれを実現します。

• GET リクエスト: サーバーからデータを取得するために使用されます。
• POST リクエスト: 通常はサーバーの状態を変更するために、サーバーにデータを送信するために使用されます。
• PUT リクエスト: サーバー上のリソースを作成または更新するためのデータを送信するために使用されます。
• DELETE リクエスト: サーバーからデータの削除を要求するために使用されます。

全体として、これらのコンポーネントのいずれかが失敗状態に一致する場合、または HTML ヘッダーに疑わしいインジケーターが含まれている場合、接続は切断されます。

これは、リバース プロキシと呼ばれるサーバー アーキテクチャによって可能になります。リバース プロキシは、クライアント (デバイスや電子メール クライアントなど) と企業のアプリケーションの内部サーバーの間にインストールされます。クライアントが保護されたアプリケーションからデータを要求すると、WAF は要求自体とその周囲のコンテキストを分析します。そうすることで、元のリクエストがキャッシュされます。このキャッシュを使用してパフォーマンスを向上させる方法については、後ほど簡単に説明します。リクエストが安全であると検証されると、WAF は内部アプリケーションとの独自の接続を確立し、リクエストを通過させます。

WAF は、アプリケーションに出入りするすべてのトラフィックを検査し、ポリシーに従って安全なトラフィックと悪意のあるトラフィックを区別します。これらは、どこでどのような種類のトラフィックが許可されるかを指示するために設定された明示的なルールです。WAF は、ソフトウェア、ハードウェア、またはサービスとしてのソリューションとして利用できます。基盤となるアーキテクチャに関係なく、WAF ポリシーは 1 つまたは複数の Web アプリケーションの特定の要件に合わせて調整および調整する必要があります。 従来の WAF では、新しい脆弱性に対して効果を維持するためにこれらのルールを手動で更新する必要がありましたが、最新の WAF では機械学習を活用して更新を自動化します。

次世代WAF機能

AIを活用した誤検知削減

アプリケーションとユーザーのプロファイリングは、通常のアプリケーションとユーザーの動作からの逸脱を検出できますが、生成されたアラートが侵害の真の兆候であることを保証するものではありません。 このようにして誤検知が発生し、セキュリティ リソースが大幅に浪費されます。次世代 WAF は、別の分析レイヤーを実装することでこの問題に対処します。これにより、異常なリクエストの原因となっているデバイス、ユーザー、または API のより広範なコンテキストが確認されます。その後、CAPTCHA リクエストを送信するか、どの API キーが公開されて脆弱になっているかを正確に特定するかなど、より多様な応答が可能になります。

APIの識別と保護

アプリケーションとの間でデータを転送するのは、もはやユーザーとボットだけではありません。API は、データ エコシステムの大きな部分を占めるようになりました。WAF は包括的な API 検出と保護を提供する必要があります。次世代 WAFには、API の変更とコンプライアンス監視に関するカスタマイズ可能なルールとアラートを組み込むことで、API 保護が組み込まれています。

WAFで軽減される一般的な脅威

WAF の脅威軽減は、その基盤となるルールと AI エンジンに完全に依存します。正しく設定されていると仮定すると、最も一般的な脅威は次のとおりです。

インジェクション攻撃

SQL インジェクション攻撃は、アプリケーションの入力フィールド内の脆弱性を悪用して、データベース クエリに悪意のある SQL コードを挿入します。これにより、攻撃者はデータベースを操作して、データへの不正アクセス、レコードの変更または削除、管理操作の実行などを行う可能性があります。SQL はインジェクション攻撃に使用される唯一の言語ではありませんが、最も一般的な言語であることは間違いありません。

WAF は、リクエストがアプリケーションに到達してデータベースと対話する前に、SQL キーワードやユーザー入力内の予期しない文字をスキャンできるため、この脅威を排除します。

認証とセッション管理の不備

これは、ユーザー ID およびアクセス制御プロセス全体にわたる一連のセキュリティ リスクについて説明します。ハッシュ化されていない形式で保存された認証情報が十分に保護されていない、攻撃者がトークンを盗んで再利用できる安全でないセッション ID、またはセッションが適切に終了していないなどの可能性があります。

WAF は、リクエストのレート制限 (したがって、クレデンシャル スタッフィング リクエストのブロック) から、ログインの詳細と一般的に盗まれるパスワードとの相互参照まで、さまざまなルールを通じてこれらすべてを防止できます。その他のルールでは、ログアウトまたはタイムアウト後にセッションが無効になり、同じトークンによる以降のリクエストがブロックされるようにすることができます。

クロスサイトスクリプティング(XSS)

XSS と呼ばれることが多いこれらの攻撃は、脆弱なサイトやアプリに対して設定して自動化するのが最も簡単な攻撃の 1 つです。WAF は、入力フィールドに厳格なルールを適用して、ほとんどの XSS 攻撃でよく見られる 、またはスクリプト要素を防止できます。パターン認識により、WAF は特定のタグの外側にある攻撃の兆候を識別することもできます。

既知の脆弱性のあるアプリコンポーネント

今日のアプリ エコシステムでは、ダウンストリーム アプリ コンポーネントによってデータ漏洩が発生することは非常に一般的です。WAF は、定期的に更新される脅威インテリジェンスデータベースを使用している限り、既知の脆弱性を持つコンポーネントが環境内に存在するかどうかを検出できます。

WAF実装のベストプラクティス

WAF ルールは、ファイアウォールの機能を制御する基本的な構成要素です。しかし、これらは WAF 管理で重点を置くべき唯一の点ではありません。

アプリケーションの脅威を理解する

各アプリケーションには、その機能、ユーザー ベース、露出レベルによって影響を受ける固有の脅威プロファイルがあります。まず、アプリケーションに対する最も一般的かつ重大な脅威を特定します。たとえば、eコマース プラットフォームは、顧客の詳細を収めた大規模なデータベースを保有しているため、SQL インジェクション攻撃の標的になる可能性が高くなります。一方、API プロバイダーは、パラメータ改ざんの脆弱性をより注意深く監視する必要があるかもしれません。

トラフィックパターンを分析する

アプリケーションの一般的なトラフィック動作を調査して、正当なアクティビティと悪意のあるアクティビティを区別します。この分析により、特定の脅威に効果的に対処するための正確なルールを定義できます。WAF が AI を搭載している場合、通常のトラフィックとアプリケーションの動作のベースラインが自動的に確立されます。

管理ルールグループを活用する

ほとんどの WAF プロバイダーは、事前構成されたルールセットを備えたツールを出荷していますが、マネージド ルール グループも提供されているかどうかを確認してください。これらは、プロバイダーによって継続的に維持される定義済みのルールセットです。これらのルール グループは、OWASP Top 10 を含む幅広い脅威に対処すると同時に、かなりの管理リソースを解放します。

スケーラビリティとパフォーマンスを優先する

一度起動したら、WAF の構成とパフォーマンスを定期的に評価することが重要です。MTTR など、セキュリティ チームの成功を示す KPI に注目するとともに、アプリケーションのレイテンシの長期的な変化も監視します。

定期的なチェックアップにより、組織やユーザー ベースが変化した場合でも、WAF がアプリケーションの成長とユーザー エクスペリエンスをサポートしていることを確認できます。