第 12日目は、SOC サービス開発エンジニア 岸川雄輝の記事です。WAF のログ分析を高度化するために行っているレスポンスシグネチャの取り組みについて紹介します。

---

WAF(Web Application Firewall)が世の中に登場してから早 15年以上が経過しましたが、Web であらゆるものがつながる昨今、Web アプリケーションのセキュリティ対策はますます重要なものになっています。本記事では、そんな WAF を現代の Web ネットワークの中のセキュリティ対策として、どのように高度化させていこうとしているのか、その取組みについてご紹介します。

ご経験がある方もいらっしゃると思いますが、WAF をはじめとしたセキュリティ機器をデフォルトのポリシー設定で導入すると、膨大な量のアラートを検知し続けるため、大量のログの中から “真に対応すべきアラート” を見つけ出すことが非常に困難になります。

本来、正しいセキュリティ運用は、セキュリティ機器が検知したアラートを一つ一つ精査して、Web アプリケーションに影響がある場合は対策を検討することが必要になります。ところが、デフォルトポリシーで導入したセキュリティ機器はアラートを大量に検知し続けるため、WAF を運用する現場では膨大なアラートと日々向き合うことになり、検知したアラートを精査する対応に追われてしまいます。その結果、本来重要なプロセスであるセキュリティ対応まで手がまわらない状況に陥ることがあります。

そこで、SOC が提供する WAF の分析サービスでは、上記のような “真に対応すべきアラート” が大量のログに埋もれてしまわないように、以下に示す2つの工夫をしています。

  1. 導入後の初期段階におけるポリシーチューニング
  2. レスポンスログを分析対象に含めることによる分析の高度化

1 の “運用初期段階におけるポリシーチューニング” は、ログ分析を効率的に実施する上で非常に重要なプロセスです。ポリシーチューニングを実施することにより、多くの場合で検知するログ量を約 70% から 90% 削減することが可能であるため、WAF の導入初期段階においては、必須のプロセスと言えます。ポリシーチューニングについては、明日のテーマとして取り上げて詳細をご説明します。

ここでは 2 の “レスポンスログの分析” について説明します。WAF の基本的な動作は、クライアントから Web アプリケーション方向へのリクエスト通信を検知する仕様です。WAF の分析高度化の取組みでは、WAF 1台で、リクエストとレスポンスの両方を対策した上で、“真に対応すべきアラート” を効率よくかつ正確に抽出するための取り組みです。

WAF は Web アプリケーションの手前に設置されるため、クライアントから Web アプリケーションへのリクエスト通信を Web アプリケーションに到達する前に検知します。

クライアント → WAF → Web アプリケーション

  ※Web アプリケーション到達前に検知

到達前に検知するということは、WAF は Web アプリケーションの構成情報(OS、ミドルウェア、アプリケーションの種別やバージョン情報)に依存することなく、WAF が保有するシグネチャやルールにマッチすることで検知します。

運用初期段階でポリシーチューニングを実施すると、正常通信を誤って攻撃として検知してしまう大量の誤検知や利用していないアプリケーションに関係する不要な検知を削減することができますが、SQL インジェクションや、クロスサイトスクリプティング、コマンドインジェクションなどの攻撃系シグネチャは、対策を取っていたとしても無効にしづらいものです。その結果、リクエスト通信に含まれる攻撃コードが Web アプリケーションに影響がなかったとしても WAF は検知してしまうため、SOC アナリストは、検知した通信の詳細を 1件 1件分析し Web アプリケーションへの影響有無を確認するので、分析稼働が膨大になります。このような膨大な検知ログから効率よくかつ正確に “真に対応すべきアラート” を検出することを実現するために、“Web アプリケーションのレスポンスログの活用” と “レスポンスシグネチャの作成”、これらの開発に取り組んでいます。

レスポンスログには、リクエストに対する Web アプリケーションの反応が記録されています。そのため、Web アプリケーションへのリクエスト通信の中に攻撃コードが含まれていた場合、Web アプリケーションが攻撃コードに反応したのか、反応しなかったのかを SOC アナリストが分析の過程で確認することができます。

  • 攻撃コードに反応していた場合、通知対象
  • 攻撃コードに反応していなかった場合、通知対象外

このように、分析の精度を向上させるために、情報量を増やし(レスポンスログの取得)、さらに効率よく検出するために、レスポンスシグネチャの作成を行い、“真に対応すべきアラート” を効率よく正確に検出する分析の高度化に日夜取り組んでいます。