WAFのシグネチャとは？仕組みや更新方法も含めてわかりやすく解説！

WAFのシグネチャとは？

WAF（Web Application Firewall）とは、Webアプリケーションへの不正アクセスやサイバー攻撃を検知し、遮断するセキュリティサービスです。

不正アクセスや攻撃を検知するために、悪意のあるアクセスのパターンをルールとして事前に定義する必要があります。そのルールのことを「シグネチャ」と呼びます。

シグネチャはWAFの要！

WAFのシグネチャとは、不正アクセスやサイバー攻撃に使われる「特徴的なパターン」をまとめた定義ファイルのことです。WAFはシグネチャによって悪意のあるアクセスを識別し、ブロックします。

WAFは、Webアプリケーションへのアクセスをこのシグネチャと照合し、マッチングさせます。そして、シグネチャと合致したアクセスに対して、遮断や許可などのアクションを行います。

どのアクセスを通過させ、どのアクセスをブロックするかは、WAFのシグネチャによるので、シグネチャはWAFの要と言っても過言ではありません。

WAFシグネチャの仕組み

検知の仕組みによってWAFのシグネチャは大きくホワイトリスト型とブラックリスト型の2種類に分かれます。ここでは、それぞれの仕組みについて解説します。

ホワイトリスト型

ホワイトリスト型のWAFシグネチャとは、許可するアクセスのパターンを定義したものです。シグネチャと合致するアクセスのみを、Webアプリケーションへの通過を許可します。一方ホワイトリストに合致しないアクセスはすべて拒否します。

ホワイトリスト型の特徴から、「明示的に許可されていないアクセスは、すべて危険である」と見なすため、未知の攻撃を防ぐのに非常に有効とされています。

しかし、不特定多数の人がアクセスするようなサービスサイトやECサイトにおいては、ホワイトリスト型のシグネチャを使うと、正常アクセスまで拒否してしまう可能性があります。

そのため、ホワイトリスト型のWAFはアクセスパターンが限定されている社内システムなどに適しています。

ブラックリスト型

主流となるブラックリスト型のWAF。そのシグネチャは、既知の攻撃パターンを定義したものとなります。シグネチャに一致したアクセスを攻撃の可能性があると見なし遮断します。

ブラックリスト型のWAFは、既知の攻撃の検知・遮断に非常に有効です。SQLインジェクションやクロスサイトスクリプティング（XSS）といった代表的な攻撃をはじめ、Webアプリケーションの脆弱性を突く攻撃をブラックリスト型WAFによって防御できます。

既知の攻撃には有効な一方、登録されていない新たな攻撃を防ぐことはできません。新しい攻撃手法に対策できるように、ブラックリスト型WAFのシグネチャを都度更新しなければなりません。

WAFのシグネチャ更新の必要性

WAFのシグネチャは、一度設定すれば終わりというわけではありません。特にブラックリスト型のWAFにおいて継続的な運用が必要不可欠です。ここでは、WAFシグネチャの更新が必要な理由について解説します。

定期的な更新で検知精度を保つ

増加している脆弱性やサイバー攻撃に対応するためには、WAFのシグネチャを定期的に更新する必要があります。

IPA（情報処理推進機構）が発表した統計によると、2023年10〜12月にWebサイト関連の脆弱性届出件数は225件に上り、前年同期の84件から2.67倍に増加しています。

発見した脆弱性にすぐにも対処することがベストですが、時間がかかるのが現状です。サイバー犯罪を監視するKELA社の調査によると、脆弱性の発見から修復が完了するまで平均2〜5ヶ月間がかかります。

WAFのシグネチャを定期的に更新することで、脆弱性への対処が完了するまでの間も、新しいサイバー攻撃を防御できます。

また、サイバー攻撃の手口も日々巧妙化しています。攻撃者は、既存の攻撃手法を組み合わせたり、AIを利用したりすることで、これまでにない手法で攻撃を仕掛けてきます。こうした新手の攻撃に備えるためにも、WAFのシグネチャを常に最新の状態に保たなければなりません。

誤検知を防ぐために細かいチューニングも必要

WAFのシグネチャ更新は、新しい脆弱性や攻撃への対応だけでなく、WAFによる誤検知の防止にも重要です。

誤検知とは、正常なアクセスを不正アクセスとして誤って判定してしまうことです。例えば、Webサイトの特定のページへのアクセスや、ユーザー登録時の入力値を攻撃と誤認しブロックすることです。

誤検知によって一般のWeb閲覧者がWebサイトやWebサービスにアクセスできなくなり、顧客の不信感を招きクレームにつながる可能性があります。さらに、売上機会の損失にもつながりかねません。

誤検知が発生しないように、WAFのシグネチャを細かくチューニングすることが欠かせません。まずWAFの検知ログを細かく確認し、誤検知を引き起こしているシグネチャを特定します。そして、そのシグネチャを正常なアクセスをブロックしないように調整します。

シグネチャチューニングを繰り返すことで、WAFによる誤検知を抑えることができます。

WAFシグネチャの設定・更新方法

WAFの検知精度を維持するためには、シグネチャの定期的な更新・チューニングが欠かせないことを理解できたでしょうか。ここでは、具体的にどのようにシグネチャの設定・更新を行えばよいのかについて解説します。

自社で行う

WAFのシグネチャ設定・更新を自社で行う最大のメリットは、自社のWebアプリケーションの特性に合わせて、最適なシグネチャを作成できることです。

自社のシステムを熟知したエンジニアが対応にあたるため、誤検知が発生した場合でも、すぐに誤検知の原因を特定し対処することができます。そのため、WAFの運用をスピーディかつ柔軟に行うことが可能となります。

ただし、新しい脆弱性が続々と公表されている中、すべての脆弱性に対応するのは容易ではありません。脆弱性情報を漏れなく収集し、それぞれの特性を理解した上で、適切なシグネチャを作成するには、セキュリティにおいて高度な知識だけでなく膨大なリソースが必要となります。

そのため、社内にセキュリティに精通したエンジニアがいない場合、シグネチャの設定と更新を自社で運用することは現実的に不可能です。

ベンダーが代行する

自社での対応が難しい場合、WAFシグネチャの設定と更新をベンダーにお願いするのも方法の1つです。特にクラウド型WAFを利用する場合、シグネチャの設定・更新をベンダーが代行するケースがほとんどです。

たとえ誤検知が発生したとしても、原因特定やシグネチャの調整を自社で行う必要がありません。ベンダーに相談して適切に調整してもらうことができます。自社でシグネチャのチューニングを行う必要がないため、WAFの運用にかかる工数を大幅に削減することが可能です。

また、セキュリティに精通した人材が社内にいない場合でもWAFの運用ができることから、クラウド型WAFを導入する企業が非常に多くなっています。

ただし、ベンダーによってはシグネチャのカスタマイズに追加料金が発生する場合があります。また、レンタルサーバが提供する安価なWAFでは、そもそもカスタマイズができないこともあるので、導入前にベンダーにしっかり確認し自社のニーズに合ったWAFサービスを選定することをおすすめします。

WAFのシグネチャ更新を楽するにはクラウド型WAFがおすすめ

新しい脆弱性や攻撃手法が次々と出てくる中、WAFの検知精度を維持するためには、シグネチャの更新をはじめとする継続的な運用が欠かせません。

しかし、セキュリティ人材が不足している昨今、WAFの運用に十分なリソースを割くことができない企業も多いのが実情です。

WAFの運用業務を最低限に抑えながらWAFを導入したいなら国内シェアNo.1※のクラウド型WAF「攻撃遮断くん」がおすすめです。

「攻撃遮断くん」は月額10,000円〜導入可能かつ、システム変更不要のため最短1日で導入できる日本国内で開発・運用されているWAFです。ユーザー側での運用は一切必要ないため、低価格かつ簡単に高セキュリティを実現できます！

攻撃遮断くんについて詳しく知りたいならこちらの資料をダウンロードしてください。

デロイト トーマツ ミック経済研究所「外部脅威対策ソリューション市場の現状と将来展望　2023年度」