WAFのセキュリティレベルとパラメータ設定：Webアプリケーションファイアウォールの必要性（最終回）（1/4 ページ）

[草薙伸, 伴崇博，F5ネットワークスジャパン株式会社]

　前回はWebアプリケーションへの攻撃やWebアプリケーションの脆弱性を、Webアプリケーションファイアウォール（WAF）を利用することで、どのように防御できるのかについて説明した。最終回となる本稿では、さらに詳細なパラメータごとの防御設定と学習機能について説明する。

パラメータのチェックとセキュリティレベル

　前回紹介したとおり、BIG-IP ASMには4種類のセキュリティレベルが存在する。このうち最も設定がシンプルなStandardモードは、すべての設定がWebアプリケーション一意であるため設定項目が少なく、設定やメンテナンスに手間がかからない。その半面、パラメータ単位での柔軟な設定に制限があり、例えば以下のような要件を同時に満たすことができない。

1. register.php3というオブジェクトに対して送信するPOSTデータの、textというパラメータに対しては「'」文字の入力を認めない
2. 上記と同一のオブジェクトに対してのPOSTデータのうち、nameというパラメータに対しては「'」文字の入力を認める

　Standardモードは、Webアプリケーションの防御において、その多くがWebアプリケーション全体に対するネガティブセキュリティロジック（正規表現によるシグネチャ）に頼ったものである。パラメータ単位で、ポジティブセキュリティロジックを基にしたセキュリティを採用する場合は、Standardモード以上のレベルが必要となる。

　前回も述べたように、どのレベルの防御が必要であるかは、設計とメンテナンスにどれだけ手間をかけられるかに依存する。最初の設定だけではなく、その後のコンテンツ変更に伴うメンテナンスも考慮に入れたセキュリティレベルの選択が必要だろう。

　各セキュリティレベルでチェックする項目については前回紹介したが、以下は各レベルでどのような設定を行わなければならないかを明記したものである。前回のセキュリティレベルの説明とともに、以下の内容からメンテナンスに必要な作業を割り出し、それらを基にセキュリティレベルを決定していきたい。

1a．Standardモード

• Webアプリケーションで使用する全オブジェクトタイプ（拡張子）の登録

1b．Enhanced Standardモード

• 1aに加え、Webアプリケーションで使用する全オブジェクト（ファイル名）の登録
• 個別にチェックしたいパラメータの登録

2．APC Phase 1

• 1bに加え、Webアプリケーションで使用する全パラメータの登録

3．APC Phase 2

• 2に加え、そのオブジェクトへ到達する方法（画面遷移）の登録

　先に例として挙げた要件を満たすにはStandardより高いレベルのものを選択しなければならないが、その中で最も設定や運用を簡単にできるものは1bのEnhanced Standardモードであろう。

　Enhanced Standardモードでは、個別に登録されていないパラメータにはWebアプリケーション一意のポリシーが適用される。そのため、一部のパラメータでシステム一意の設定とは別のチェックを行いたい場合にこのモードがマッチする。いい換えれば、多くのパラメータには、同一のセキュリティルールで構わないが、一部セキュリティを強めたいパラメータがあるときなどは、Enhanced Standardモードは最適である。

　APC Phase 1の採用はEnhanced Standardモードに比べるとハードルが高くなる。それは、すべてのパラメータとそのパラメータ入力値のポリシーを決定する必要があるからである。Enhanced Standardモードまでの方式と比べると、よりWebアプリケーション開発者寄りの知識が必要となるであろう。

　APC Phase 2が最もセキュリティの高いものであることはいうまでもないが、すべてのページ遷移パターンまでもWAFに登録せねばならない。そうなると初期設定に相当の時間がかかり、運用開始後のコンテンツ変更時にも相当の労力と時間を要する。事実、BIG-IP ASMを採用している顧客の中でも、APC Phase 2を利用している顧客は、極めてコンテンツ変更の頻度が少ない数社しか存在しない。