WAFを運用する際の注意点
まずはWAF運用時の注意点として、どのようなものがあるのか、見ていきましょう。
WAFによる誤検知の発生
WebサイトやWebアプリケーションを利用する際、WAFの導入はセキュリティ上の重要な対策となります。ただし、セキュリティレベルを厳しく設定しすぎると、WAFが正常な通信を不正と判断して遮断してしまう「誤検知(偽陽性)」が発生する可能性があります。
誤検知が起きると、ユーザーがWebアプリケーションを正常に利用できなくなるなど、利便性が損なわれるおそれがあります。一方でセキュリティレベルを緩めすぎると、本来ブロックすべき不正アクセスを通過させてしまう「偽陰性」につながり、サイバー攻撃のリスクが高まります。そのため、WAFの運用においては、通信の傾向を確認しながら適切なチューニングを行い、誤検知・過検知を防ぐことが重要です。
例えば、AWS WAFのようなクラウド型のWAFでも、ルール設定によっては誤検知が起こることがあります。マネージドルールセットや自動ルールを活用している場合は、あらかじめどのような通信がブロックされるかを確認し、自社のWebアプリに適したルール構成にカスタマイズする必要があります。
運用コストの負担増大
セキュリティ製品であるWAFの利用には、初期コストだけでなく運用コストもかかります。その中でも特に特徴的な運用コストが、チューニングコストです。
利用形態にはよりますが、一般的に新しい脆弱性が発見され次第シグネチャの変更を行う必要があるため、そのたびにベンダーに依頼してチューニングを行うと、かなりの運用コストになることが予想できるでしょう。また、セキュリティ専門の担当者を雇うのであれば、相応の人件費がかかってきます。
利用が大規模になれば、およそ100万円以上の初期費用と年間数10万円以上の運用費用が必要となります。ブランディングなどを目的とするオウンドメディアなどの場合は費用対効果に見合わないといった課題が発生する可能性も否定できません。
Webサイト停止のリスク
また、WAFを運用する際はWebサイト停止のリスクに注意しなければなりません。というのも、新しい不正アクセスが発生し、ベンダーにシグネチャを依頼している間、Webサイト全体を停止もしくは閉鎖しなければいけない可能性があるのです。
特にWebから主な収益を得ている企業にとっては、このサービス停止期間は大きな機会損失となります。
例えば、DMZ上の1つのリバースプロキシ(Webブラウザの代わりにWebサーバにアクセスするサーバ)によりWebサーバを分割し、それぞれにWAFを導入する方法があります。WAFが別々に存在することで、トラブル時のリスク分散になります。
WAFの運用をスムーズに進めるコツ
ここまで、WAF運用上の注意点を紹介してきました。しかし、上のような注意点にどう対応すればいいのでしょうか。ここでは、WAFの運用をスムーズに進めるコツを紹介していきます。
導入前に保護対象・防御すべき攻撃を明らかにする
WAFのセキュリティレベル設定に際して、あらかじめWAFによって防御したい攻撃は何か、保護対象となるWebアプリケーションを洗い出した上でWAFの提供ベンターのサポートや外部の専門家に相談しましょう。またWAFの選定時には、このようなサポートが充実しているか確認することも大切です。
運用状況を可視化して、誤検知を防止する
導入後のセキュリティレベル設定は、あくまで初期の目安と考えましょう。運用を開始した後は、実際の通信状況を可視化し、ログをもとに検証と調整を繰り返すことで、誤検知のリスクを低減できます。
また、誤検知には「偽陽性」と「偽陰性」の2種類があります。偽陽性とは、正しい通信を不正と判断して遮断してしまうケースであり、ユーザーの利便性に影響します。一方、偽陰性とは、不正な通信を正常と誤判定してしまい、攻撃を許してしまうケースです。両者をバランスよく防ぐためには、検知ルールの見直しとチューニングが不可欠です。
クラウド型のWAFを導入する
クラウド型のWAFを導入することも、運用をスムーズに行う方法の一つといえるでしょう。クラウド型のWAFは、ベンダーが常に新しい攻撃を監視しシグネチャを更新しているため、月額の利用料を払うだけで、セキュリティ専門家を雇わなくともチューニング可能です。
また、クラウド型であれば対応がスピーディなため、Webサイトを停止しなければならないリスクは大幅に減少するでしょう。クラウド型の普及以降、運用の手間が格段に減り、WAFが一般的なセキュリティツールとして浸透しています。
特にAWS WAFのように、運用基盤をクラウドに置いたサービスでは、設定変更やログ確認を自社内で柔軟に行えるため、運用負担を抑えながら誤検知にも対応しやすいというメリットがあります。
以下の記事ではクラウド型のWAF製品を紹介し、特徴についてもさらに詳しく説明しているので、参考にしてください。
まとめ
WAFを活用する際の注意点と、運用のコツについて紹介してきました。誤検知を防ぐためのチューニングなど、WAFの運用は煩雑なように思えますが、クラウド型のWAFを利用することでその煩雑さを軽減することができます。
とはいえ、クラウド型のWAFの中にもばらつきがあるため、しっかりとひとつひとつの製品を確認して、自社に適したものを選定することが肝要でしょう。まずは資料請求を行い、製品についての理解を深めたうえで適切な運用につなげていきましょう。
