WAFによってサイバーセキュリティの危険が潜む海に漂流してしまう理由

刻々と変化するサイバーセキュリティという広大な海の流れの中で、さまざまな防衛メカニズムの妥当性や有効性についての議論が、船の針路修正のように表面化し続けている。そのような議論の1つが、Webアプリケーションファイアウォール(WAF)の運命をめぐるものだ。WAFはWebアプリケーションを保護するための重要なアンカーであると主張する人がいる一方で、無意味であると断言する人もいる。

Contrast Securityでは、サイバーセキュリティ分野においてWAFはランタイムセキュリティに置き換わるべきだと考えている。

アプリケーションを守るためにまだWAFを使っている人もいるが、WAFが機能しないことが問題だ。その理由としてはバックエンドシステムからの攻撃を防ぐことができないからだ。最近のMOVEitで発生した脆弱性の悪用のようなSQLインジェクション攻撃から保護することもできない。SQLクエリ文字列がWebアプリケーションのバックエンドデータベースに直接渡す攻撃については、25年前から知られている。SQLインジェクションは、セキュリティ脆弱性のOWASPトップ10リストに依然としてランクインしており、脅威として常に存在しWAFでは阻止できないものとなっている。

また、WAFはノイズが多すぎるし、検知漏れや過検知が絶えず発生する。それは、WAFがインフラストラクチャの前面に配置されており、WAFが短命であるという性質が考慮されていないからだ。現代のシステムは規模が大きくなっただけでなく、相互接続、モジュール化、分散化が進んでいる。WAFを含め、従来のツールはもっと単純な時代のために作られた。従来のツールは、システムを構成する個々の部分に重点を置いている。今日の複雑な環境では、総合的な視点が必要だ。それは、一元的なアプローチによるもので、動的なクラウドベースやコンテナ化された環境で常に変化し続ける、現代のアプリケーションの多様な構造をナビゲートできるものである。

この複雑さと脆弱性の急増を考えると、もはや理論上のリスクに集中している余裕はない。脅威の量と性質を考慮すると、何が実際に実行され、何が本当に悪用可能で、何が積極的に悪用されているかに焦点を当てることが必要だ。そして、そのような複雑さと脅威に直面する場合、コンテキスト(事象が起きた際の前後関係)を知ることが非常に重要だ。脆弱性が存在することを知るだけでは不十分で、それがより大きなシステムの中でどのように位置づけられるかを理解しなければならない。

潜在的な問題が無数にある中で、本当に重要なことを見極める能力が不可欠になる。適切なコンテキストによって、効果的に優先順位付けができ、膨大な可能性に戸惑うことなく、最も重大なリスクに焦点を絞ることができる。

サイバー脅威の進化： 未知の海域を進む

1. 過検知・検知漏れ： 隠れた浅瀬や偽の標識

デジタルの海は過去10年間で大きく変貌し、攻撃者は海賊のように悪賢くなっている。彼らは財宝を狙う海賊のように、高度な技術を使用してWeb アプリケーションの脆弱性を悪用する。今や従来のWAFでは、この様な危険な海域を進むのには苦労する。

WAFに対する批判的な考えの1つは、WAFが誤報を発し、誤ったセキュリティ情報が提供される傾向があることだ。過検知は、システムが正当なトラフィックを悪意のあるトラフィックと誤って判断した場合に発生するが、不必要な混乱を引き起こし、本来のユーザを遠ざける可能性がある。逆に、検知漏れはWAFが本当の脅威を検知できない場合に発生し、攻撃者が気づかれずにシステムに侵入できる可能性がある。

このような不正確な情報によって、敵と味方を区別するのが困難になり、膨大な時間を浪費するなど、ユーザーエクスペリエンスの低下につながる可能性がある。WAFだけに頼っている企業では、常に誤報に悩まされ、セキュリティシステムに対する信頼を失いつつあることに気づくのだ。

2. 限られた防御範囲： 浅瀬や危険な岩礁

WAFは、主に既知のWebアプリケーションの脆弱性や一般的な攻撃パターンから保護するように設計されている。しかし、サイバー脅威の現状は、ゼロデイ脆弱性を標的とし、高度な回避テクニックを利用したより複雑な攻撃までに大きく変化している。このような危険な海域では、WAFには未知の深海を航行する能力がないため、適切な防護が困難な場合も多い。

3. 複雑な設定と管理： 荒天の中の航行

WAFの実装と管理は、目隠しをして進路を進むのと同じくらい難しい。 企業は、誤報を最小限に抑え、正当なトラフィックがブロックされないように、ルールや設定を微調整する必要がある。この作業には、アプリケーションとWAF技術の両方に対する深い理解が必要となる。リソースが限られている中小企業にとっては、これは困難な課題となる場合がある。

さらに、Webアプリケーションは時間の経過とともに進化して変化するため、WAFルールの有効性を維持するために継続的に設定を更新する必要がある。この管理を怠ると、Webアプリケーションは新たな脅威に対して脆弱になってしまう。

解決策：新たな海図の作成

こうした課題を踏まえて、一部のサイバーセキュリティの専門家は、WAFに代わるソリューションを検討することを提唱している。今後、代替ソリューションとして考えらるのは、以下のようなテクノロジーがある。

1. 行動分析学：星を頼りに進む

事前に定義されたルールだけに頼るのではなく、行動分析という星を頼りに航路を進む企業もある。このアプローチでは、ユーザやアプリケーションの動きを監視して、潜在的な攻撃の可能性がある異常を特定する。行動分析は、予期せぬ脅威や狡猾な敵の策略を検知する上でより効果的である。

2. APIのセキュリティ：貴重な貨物を防御

アプリケーション間で貴重なデジタル貨物をやり取りするために、企業はアプリケーションプログラミングインターフェース(API)にますます依存しており、APIのセキュリティが極めて重要になってきている。ContrastのAPIセキュリティテストのプラットフォームのようなソリューションによって、API固有の脆弱性や攻撃に対して防御することができる。

3. DevSecOps：デジタル時代の航海術

DevSecOpsは、開発プロセスにセキュリティを組み込むことができる積極的なアプローチだ。これには、根本からセキュリティを確保するために、コードの継続的なテストと検証が必要となる。開発中にセキュリティの問題に対処することで、WAFのようなデプロイ後の防御への依存を減らすことができる。

刻々と変化するサイバーセキュリティの海を航海する

WAFだけでは、Webアプリケーション攻撃の多様で危険な海域を航行するには不十分であることは明らかだ。セキュリティを強化するために、企業は行動分析、APIセキュリティ、DevSecOpsの実践を含めた多面的なアプローチを採用して、新たな海図の作成を検討しなければならない。

脅威は進化し続けるため、防御戦略も進化しなければならない。 WAFはもはや、唯一の星のごとく、複雑なWebアプリケーションセキュリティ(AppSec)の航海を導いてくれるものではない。 今日の巧妙な脅威との容赦のない戦いの中で、ランタイムセキュリティが誰もが認めるチャンピオンとして登場し、WAFは実質的に時代遅れになった。

Contrast Protect(RASP)によって解決できる

要するに、WAFを利用する理由はないということだ。その代わりに、企業はランタイムセキュリティ保護に目を向ける必要がある。ContrastのProtect(RASP)テクノロジーは、本番環境のWebアプリケーションおよびAPIを保護する。Contrast Protectによって攻撃がブロックされて過検知が減ることで、開発部門は脆弱性のバックログに優先順位を付けることができる。アプリケーションを内部から防御するためのインスツルメンテーションを備えているため、WAFよりも優れている。

ただし、RASPはDDoS(分散型サービス拒否)攻撃には対処できない。それは、クラウドサービスプロバイダの仕事である。しかし、アプリケーションを保護することに関しては、Contrast Protectに任せてほしい。

WAFは破たんしている。 WAFをContrast Protect に置き換えることで、企業は次のことが可能になる。

ゼロデイ攻撃をブロック：つまり、まだ修正あるいはパッチが適用されていない脆弱性への対策。境界防御とは異なり、インスツルメンテーションとセンサーによって、実行中のアプリケーションの攻撃が正確に検知され、ブロックできる。攻撃がターゲットに到達したかどうかについて、「はい」か「いいえ」かを明確に判断できる。また、Contrast Protectでは調整や再設定を行わずに、多くのゼロデイ攻撃からアプリケーションを保護できる。

画期的なフォレンジック：Contrast Protectにより、AppSec、SecOps、および開発担当は、コード行数、実行されたクエリ、アクセスされたファイルなどの正確な情報を確認して、迅速に対応できる。

サイバー脅威がかつてないほど急速に進化している世界で、WAFだけに頼るのは、穴が空いた救命ボートで津波に向かっていくようなものだ。明白なのは、ランタイムセキュリティが、デジタルの世界の守護者であり、最も狡猾な敵を撃退するのに必要なツールと機能を備えているということだ。

企業は、このパラダイムシフトを認識し、侵害が許されない時代の防御の頂点に位置するものとして、ランタイムセキュリティを受け入れる必要がある。

Read more: 

• Contrast API Security Testing Platform
• Hands-on testing and protecting APIs (virtual workshop) 
• Defense-in-depth web AppSec: The case for having both RASP and WAF (white paper)
• The Future of API Security (webinar)
• Protecting Apis: An Uphill Battle (white paper)
• Building a modern API security strategy: A five-part series — Overview
• Building a modern API security strategy — API inventory
• Building a modern API security strategy — API protection
• Building a modern API security strategy — API testing
• Building a modern API security strategy — API components