ウェブアプリケーションファイアウォール

ウェブアプリケーションファイアウォールWAF )は、ウェブサービスとの間のHTTPトラフィックをフィルタリング、監視、ブロックするアプリケーションファイアウォールの一種です。HTTPトラフィックを検査することで、SQLインジェクションクロスサイトスクリプティング(XSS)、ファイルインクルード、不適切なシステム構成など、ウェブアプリケーションの既知の脆弱性を悪用した攻撃を防ぐことができます。[ 1 ]金融機関は、ウェブアプリケーションのゼロデイ脆弱性や、カスタム攻撃シグネチャ文字列による修正困難なバグや弱点の緩和にWAFを活用することがよくあります。 [ 2 ]

歴史

専用の Web アプリケーション ファイアウォールは、 Web サーバー攻撃が蔓延し始めた 1990 年代後半に市場に登場しました。

Kavado社とGilian Technologies社による初期のWAF製品は、1990年代後半に増加したWebアプリケーションへの攻撃の解決を目指していました。[ 3 ] 2002年には、WAF技術をより利用しやすくするために、オープンソースプロジェクトModSecurity [ 4 ]が設立されました。彼らは、OASIS Webアプリケーションセキュリティ技術委員会(WAS TC)の脆弱性調査に基づいて、Webアプリケーションを保護するためのコアルールセットを策定しました。2003年には、Open Web Application Security Project(OWASP)の年間Webセキュリティ脆弱性ランキングであるTop 10リストを通じて、ルールを拡張・標準化しました。このリストは、Webアプリケーションセキュリティコンプライアンスの業界標準となりました。[ 5 ] [ 6 ]

それ以来、市場は成長と進化を続け、特にクレジットカード詐欺防止に重点が置かれています。カード会員データ管理の標準化であるPCI DSS( Payment Card Industry Data Security Standard )の策定により、この分野におけるセキュリティ規制は強化されました。CISO Magazineによると、WAF市場は2022年までに54億8000万ドル規模に成長すると予想されています。[ 7 ] [ 8 ]

説明

ウェブアプリケーションファイアウォールは、ウェブアプリケーションに特化した特殊なタイプのアプリケーションファイアウォールです。ウェブアプリケーションの前面に配置され、双方向のウェブベース(HTTP)トラフィックを分析し、悪意のあるトラフィックをすべて検出・ブロックします。OWASPは、WAFを「技術的な観点からアプリケーション自体に依存しない、ウェブアプリケーションレベルのセキュリティソリューション」と広く定義しています。[ 9 ] PCI DSS情報補足要件6.6によると、WAFは「ウェブアプリケーションとクライアントエンドポイントの間に位置するセキュリティポリシー適用ポイント。この機能は、ソフトウェアまたはハードウェアで実装でき、アプライアンスデバイス、または一般的なオペレーティングシステムを実行する一般的なサーバーで実行できます。スタンドアロンデバイスの場合もあれば、他のネットワークコンポーネントに統合されている場合もあります。」[ 10 ]つまり、WAFは、ウェブアプリケーションの脆弱性が外部の脅威に悪用されるのを防ぐ仮想または物理アプライアンスです。これらの脆弱性は、アプリケーション自体がレガシータイプであるか、設計上コーディングが不十分であることが原因である可能性があります。 WAF は、ポリシーとも呼ばれる特別なルールセットの構成によってこれらのコードの欠陥に対処します。

これまで知られていなかった脆弱性は、侵入テストや脆弱性スキャナーによって発見されることがあります。Webアプリケーション脆弱性スキャナー(Webアプリケーションセキュリティスキャナーとも呼ばれる)は、 SAMATE NIST 500-269で「Webアプリケーションの潜在的なセキュリティ脆弱性を検査する自動プログラム。Webアプリケーション固有の脆弱性を探すだけでなく、ツールはソフトウェアのコーディングエラーも探す。」と定義されています。 [ 11 ]脆弱性を解決することは、一般的に修復と呼ばれます。アプリケーションでコードを修正することもできますが、通常はより迅速な対応が必要です。このような状況では、一時的ではありますが即時に修正を行うために、Webアプリケーション固有の脆弱性に対するカスタムポリシーの適用(仮想パッチと呼ばれる)が必要になる場合があります。

WAF は究極のセキュリティ ソリューションではなく、ネットワーク ファイアウォールや侵入防止システムなどの他のネットワーク境界セキュリティ ソリューションと組み合わせて使用​​することで、総合的な防御戦略を提供することを目的としています。

WAFは通常、 SANS Instituteが述べているように、ポジティブセキュリティモデル、ネガティブセキュリティモデル、またはその両方の組み合わせに従います。[ 12 ] WAFは、ルールベースのロジック、解析、シグネチャを組み合わせて、クロスサイトスクリプティングやSQLインジェクションなどの攻撃を検出して防止します。一般的に、ブラウザエミュレーション、難読化と仮想化、IP難読化などの機能は、WAFの回避を試みるのに使用されます。[ 13 ] OWASPは、Webアプリケーションのセキュリティ上の欠陥トップ10のリストを作成しています。すべての商用WAF製品は、少なくともこれらの10の欠陥をカバーしています。非商用のオプションもあります。前述のように、ModSecurityと呼ばれる有名なオープンソースWAFエンジンは、これらのオプションの1つです。WAFエンジンだけでは適切な保護を提供するには不十分であるため、OWASPはTrustwaveのSpiderlabsと協力して、ModSecurity WAFエンジンで使用するためのコアルールセットをGitHub [ 14 ]経由で整理および維持しています。[ 15 ]

展開オプション

動作モードの名称は異なる場合がありますが、WAFは基本的に3つの異なる方法でインライン展開されます。NSS Labsによると、展開オプションは透過ブリッジ、透過リバースプロキシ、リバースプロキシです。[ 16 ]「透過的」とは、HTTPトラフィックがWebアプリケーションに直接送信されるため、WAFはクライアントとサーバー間で透過的であることを意味します。これは、WAFがプロキシとして機能し、クライアントのトラフィックが直接WAFに送信されるリバースプロキシとは対照的です。WAFはフィルタリングされたトラフィックをWebアプリケーションに個別に送信します。これにより、IPマスキングなどの追加のメリットが得られますが、パフォーマンスの遅延などのデメリットが生じる可能性があります。

JA3指紋

Salesforceが2017年に開発したJA3 [ 17 ]は、クライアントが使用するバージョン、暗号スイート、拡張子など、ハンドシェイク内の特定のフィールドに基づいてSSL / TLSトラフィックの一意のフィンガープリントを生成する技術です。このフィンガープリントにより、暗号化されたトラフィックの特性に基づいてクライアントを識別および追跡できます。分散型サービス拒否(DDoS)保護の文脈では、JA3フィンガープリントは、攻撃ボットに関連することが多い悪意のあるトラフィックを正当なトラフィックから検出して区別するために使用され、潜在的な脅威をより正確にフィルタリングできます。[ 18 ] 2023年9月、AWS WAFはJA3の組み込みサポートを発表し、顧客が受信リクエストのJA3フィンガープリントを検査できるようになりました。[ 19 ] JA3は2025年5月に廃止され、 JA4に置き換えられました。[ 17 ]

参照

参考文献

  1. ^ 「Webアプリケーションファイアウォール」 TechTarget . 2018年4月10日閲覧
  2. ^ 「包括的Webアプリケーション保護プラットフォーム(CWAPP)によるWebセキュリティの革新」 Sense Defence
  3. ^ TechDogs. 「TechDogs - 最新のテクノロジー記事、レポート、ケーススタディ、ホワイトペーパー、ビデオ、イベント、ホットトピック:AI、テクノロジーミーム、ニュースレター」 . TechDogs . 2025年7月30日閲覧。
  4. ^ 「ModSecurityホームページ」 . ModSecurity .
  5. ^ DuPaul, Neil (2012年4月25日). 「OWASPとは? OWASPアプリケーションセキュリティトップ10ガイド」 . Veracode . 2018年4月10日閲覧
  6. ^ Svartman, Daniel (2018年3月12日). 「OWASPトップ10と今日の脅威情勢」 . ITProPortol . 2018年4月10日閲覧
  7. ^ Harsh (2021年12月26日). 「Webアプリケーションファイアウォール(WAF)市場、2021年のCAGRは19.2%」 . Firewall Authority . 2021年12月26日閲覧。
  8. ^ 「Webアプリケーションファイアウォール市場、2022年までに54億8000万ドル規模に」 CISO Magazine、2017年10月5日。2018年4月11日時点のオリジナルよりアーカイブ。 2018年4月10日閲覧
  9. ^ Maximillan Dermann、Mirko Dziadzka、Boris Hemkemeier、Alexander Meisel、Matthias Rohr、Thomas Schreiber (2008年7月7日). 「OWASPベストプラクティス:Webアプリケーションファイアウォールの使用 ver. 1.0.5」 . OWASP . 2016年11月7日時点のオリジナルよりアーカイブ。 2016年7月5日閲覧
  10. ^ PCIデータセキュリティ基準審議会(2008年10月)「情報補足:アプリケーションレビューとWebアプリケーションファイアウォールの明確化バージョン1.2」(PDF)。PCI DSS
  11. ^ Paul E. Black、Elizabeth Fong、Vadim Okun、Romain Gaucher(2008年1月)。「NIST Special Publication 500-269 ソフトウェア保証ツール:Webアプリケーションセキュリティスキャナ機能仕様 バージョン1.0」(PDF)。SAMATE NIST
  12. ^ Jason Pubal (2015年3月13日). 「Webアプリケーションファイアウォール - エンタープライズテクニック」(PDF) . SANS Institute . SANS Institute InfoSec Reading Room.
  13. ^ IPM (2022年7月29日). 「CloudflareのようなWAFがボットを識別する仕組みのリバースエンジニアリング」 IPM株式会社.
  14. ^ 「コアルールセットプロジェクトリポジトリ」 . GitHub . 2022年9月30日.
  15. ^ 「OWASP ModSecurity コアルールセットプロジェクト。OWASP
  16. ^ 「TEST METHODOLOGY Web Application Firewall 6.2」NSS Labs . 2022年9月5日時点のオリジナルよりアーカイブ2018年5月3日閲覧。
  17. ^ a b 「JA3 – SSL/TLSクライアントのプロファイリング方法」。GitHub
  18. ^ウィルホイト、カイル、オパキ、ジョセフ(2022年6月17日)。『脅威インテリジェンスの運用:サイバー脅威インテリジェンスプログラムの開発と運用ガイド Packt Publishing。ISBN 9781801818667
  19. ^ 「AWS WAF が JA3 フィンガープリントマッチをサポートするようになりました」
「 https://en.wikipedia.org/w/index.php?title=Web_application_firewall&oldid=1331534974」から取得