×

WAF AUTO POLICY GENERATION

機械学習アルゴリズムを活用してセキュリティポリシーを自動生成

 

アプリケーションの開発、ホスティングおよび維持を取り巻く環境は急速に変化しており、ウェブアプリケーションへの攻撃手法も進化しています。DevOpsの導入やクラウドへの移行という新しいトレンドの中でアプリケーションのセキュリティを維持するためには、新しい脆弱性に迅速に対応し、異種混合のホスティング環境を横断してポリシーを管理する必要があり、セキュリティチームは新しい方法を導入する必要に迫られています。サイバー攻撃とそれを緩和するテクノロジーは常に進化を続けており、ネットワークとアプリケーションを効果的に保護するためには、これまでのような静的な保護では不十分であり、自動化された適応性の高いソリューションが必要とされています。

 

ライムライトはウェブアプリケーションの保護に対し、セキュリティ製品のRadwareと提携し積極的に取り組んでいます。ライムライトはWeb Application FirewallとエンタープライズグレードのCloud WAF ServiceによってOWASP Top 10をカバーし、高度な攻撃からの保護やゼロデイ攻撃からの保護などのフル装備のウェブセキュリティを提供しており、進化する脅威と保護対象の資産にあわせて保護機能を自動的に適応させます。ライムライトのWAFテクノロジーには機械学習アルゴリズムが組み込まれており、アプリケーションが絶えず変化し脅威が急速に進化する中でも、ウェブセキュリティを将来にわたって維持し、ウェブ資産を常に保護し続けます。

 

静的なシグネチャーベースの限界を超えて

 

ウェブアプリケーションセキュリティにおいて最も広く採用されているのは、ネガティブセキュリティモデルです。これは許可しないものを定義し、他のすべてを暗黙的に許可するというモデルで、ウェブアプリケーション向けのセキュリティソリューションのほとんどは、過去に確認された攻撃をシグネチャー(定義ファイル)として保持し、新しい攻撃をこれとマッチングさせて検出する手法を採用しています。しかし、ネガティブセキュリティモデルのみでは、OWASP Top 10 の一部のリスクにしか対応できません。そしてほとんどの場合、それ以外のリスクカテゴリーにはまったく対応できないのです。

 

ゼロデイ攻撃とは過去に例の無い攻撃のことであり、これを阻止するためにはシグネチャーベースではない、別のアプローチが必要になります。このシグネチャーベースのギャップを埋めるのがポジティブセキュリティモデルで、許可するタイプと値をセットで定義します。

 

これらのセキュリティモデルを使用するためにはポリシーやルールを定義する必要がありますが、これは多くの場合非常に手間のかかる作業です。ライムライトの目標は、この部分を自動化してコストを削減し、それと同時に手作業に起因する人為的エラーを回避することです。ポリシーの自動生成テクノロジーは、機械学習を使ってルールの定義およびその更新を自動化します。自動化に際してはさまざまな手法が考えられますが、基本的な考え方は、アプリケーションへの正当なトラフィックを識別し、そのトラフィックに基づいてアプリケーションのプロファイルを作成するというものです。ほとんどのWAFソリューション、特にクラウドサービスでは、自動のポリシー生成機能を提供していません。仮にそのようなツールを提供している場合でも、DDoS攻撃などの非常に限られた攻撃カテゴリーにフォーカスしたものです。

 

Auto Policy Generationテクノロジー

 

ライムライトはクラウドWAFの機能の一部として、Auto Policy Generationのメカニズムを提供しています。これは、保護するウェブアプリケーションのセキュリティポリシーを自動的に生成するために最適なツールです。Auto Policy GenerationモジュールはCloud WAF Serviceに含まれており、必要なセキュリティフィルターを自動的に選択し、セキュリティフィルタールールを作成して、セキュリティフィルターを動的に切り替えます。通常これらの操作は管理者が手動で行い、セキュリティポリシーの構築にも手作業が必要になりますが、システムには人為的エラーの可能性が残ってしまいます。

 

Auto Policy Generationは機械学習アルゴリズムを活用することで、最小限の人的操作でウェブアプリケーションの保護を自動化します。保護されるアプリケーションにはさまざまな属性がありますが、それらは環境側の要件としてポリシー生成のプロセスに影響を与えます。システムがウェブアプリケーションの構造を自動的に検出すると、Auto Policy Generationが関連するセキュリティフィルターを設定し、プロダクション環境のトラフィックプロパティを分析し、特定のサイトの動的なネットワークプロファイルを構築します。

 

Auto Policy Generationは、さまざまなセキュリティフィルターのルールを生成します。たとえばAuto Policy Generationモジュールは、パラメータセキュリティフィルタールールを自動的に生成します。またAllow Listセキュリティフィルターは、アクセスを許可するURLを自動的にホワイトリストに登録します。

 

システムはHTTPパースモジュールを使って、さまざまな設定を自動的に最適化および変更します。このような自動変更の例には、リクエストのメッセージサイズの設定や、HTTPパラメータ値での拡張ASCII文字の使用の許可などのHTTPパースプロパティの例外が含まれます。このようなHTTP RFC違反の例外は、特定のURLに対して自動的に定義されるか、アプリケーションの多くのリソースで必要な場合はグローバルに定義されます。

 

自動化の背後にある人的サポート

 

Cloud WAF Serviceでは、ポリシーが自動生成されるとセキュリティの専門家によるレビューが行われ、生成されたポリシーの品質が検証され、ポリシーの妥当性、完全性、フォールスポジティブリスク、フォールスネガティブリスクが確認されます。これは、ERT Premiumのマネージドサービスを契約しているWAFのお客様もご利用いただけます。レビューを行うセキュリティとクラウドの専門家は、WAFテクノロジーの深い知識を備え、高度なサイバー攻撃に対する防御を提供してきた豊富な経験を持っています。

 

ポリシーの自動化が保護品質に与える影響

 

RadwareのAuto Policy Generationには、セキュリティポリシーやルールを生成する際に人為的ミスが発生するリスクと作業に関わるコストを削減できるというわかりやすいメリットがありますが、それを上回る価値があります。それは保護品質の向上です。

 

ポリシーの自動生成システムは、さまざまなレベルの保護を自動的に学習して最適化するため、すべてのルールを有効にし、さまざまなセキュリティフィルターを適用することができます。この機能によってルールとフィルターが自動的に最適化されて更新されることで、誤検知が発生するリスクを減らすことができます。

 

SQLインジェクションの例として挙げられる「OR 1 = 1」などの「常に真」タイプの攻撃を考えた場合、このような入力を一律に阻止することを目的としたルールは、誤検知を発生させる可能性が高くなります。ポリシーの例外を自動的に生成するメカニズムを持っていない場合、正当なトラフィックをブロックしてしまうかもしれないルールを定義することは望ましくありません。ほとんどのクラウドWAFベンダーは、そのような危険なルールを定義しません。

 

すべてのルールを有効にする一方で、自動生成テクノロジーによりこれらのルールが誤検知を発生させないようなルールの例外を自動的に生成できれば、アプリケーションの他の部分を適切に保護することができます。すべてのHTTP RFCルールが有効になり、すべてのインジェクションルールが適用され、自動的に最適化されます。ポジティブセキュリティモデルを採用しなくとも、これだけで劇的に保護品質を向上させることができます。

 

最短の時間でセキュリティを強化

 

Auto Policy Generationテクノロジーには一連の機械学習アルゴリズムが含まれており、保護対象のアプリケーションを分析し、きめ細かい保護ルールを生成してブロッキングモードでセキュリティポリシーを適用することで、以下のようなメリットが得られます:

 

  • 他の主要なWAFよりも50%高速:保護開始までの期間が短く、既知の攻撃に対しては1週間しかかかりません。
  • 150 を超える攻撃経路をカバー:管理者の操作不要で自動的に脅威分析を行うことにより、最高レベルのセキュリティカバレッジを達成しています。
  • 最も低いレベルのフォールスポジティブレート:用意されたルールを自動的に最適化することで、誤検知をほぼゼロにします。
  • 導入後も安心:ウェブアプリケーションの変更を自動的に検出し、アプリケーションの開発ライフサイクル全体を通してセキュリティを維持します。