Fastly

チューニング不要で誤検知も解消
脅威を包括的に緩和する次世代WAF

WebサイトやWebサービスを様々な脅威から保護するため、
多くの企業でWAF(Web Application Firewall)の導入が進んでいる。
しかし、従来型のWAFでは導入から運用開始までに大幅な時間とコストがかかったり、
誤検知が多発して保護機能をフルに活用できていなかったりする企業も多い。
このような課題を解消し、導入後すぐに運用を開始でき、
運用の負荷もかからず、誤検知も少ない次世代WAFが注目を集めている。

コストをかけても成果が出ない
従来型WAFの問題点

Fastly株式会社 シニアセールスエンジニア 福田 敦氏
Fastly株式会社
シニアセールスエンジニア
福田 敦
 WebサイトやWebサービスを狙ったサイバー攻撃が急増する中、Webアプリケーションを保護するために、WAFを導入する企業が相次いでいる。しかし、一般的にWAFの導入には多くの時間と手間とコストが必要となる。さらに、複数拠点へ展開するとなると大きな負担となるばかりではなく、本格的な運用を開始するまでに多くの時間と手間が費やされてしまうこともある。

 また、WAFの運用に関しても、頻繁にルールをチューニングしなければならないことから、専門エンジニアのリソースが消費されてしまったり、マネージドサービスなど外部に運用を委託したりすることで、運用コストが予想以上に膨らんでしまうことが問題となることも多いという。

 さらに、従来型のWAFでは誤検知が多く発生することがあり、膨大なアラートログに対応するべき脅威の情報が埋もれてしまい、保護機能が不十分なまま、情報収集にとどまってしまうモニタリングモードでの運用することを強いられるケースも散見されるという。

 そのため、WAFの導入にコストと手間を費やしても、その成果を上げられずにいる企業が少なくないのが現況だ。

誤検知を減らす特許技術
「Smart Parse」を採用

 グローバルにCDN(Content Delivery Network)サービスを展開しているFastlyでは、このような従来型WAFの課題を解消する次世代WAFソリューションを提供している。

 そのアーキテクチャは、従来型のWAFとは異なり、ローカル環境で正確な検出と判断を高速に実行する「エージェント」、エージェントと通信して、アプリケーションへのリクエストを許可・ブロック・ログ収集する「モジュール」、そしてSaaSとして提供される情報収集・分析エンジン「Cloud Engine」という3つの主要コンポーネントから構成されている(図1)。  「Cloud Engineは、既知の悪質なIPソースや顧客企業が独自に登録したカスタムIPリスト、そしてFastlyが世界中の顧客から収集した匿名情報を基にリクエストを分析して、アプリケーションやAPIが脅威に晒される前に疑わしいユーザーを洗い出すことができます」とFastlyの福田 敦氏は説明する。

 さらに同社は、誤検知を減らす独自のソリューションとして、特許技術である「Smart Parse」を採用している。

 「従来型のWAFは攻撃を検出するために正規表現のパターンとのマッチングを行っているため、誤検知が発生する率が高くなってしまいます。一方、Smart Parseは各リクエストの文脈と実行方法を評価し、リクエストに悪質または正規のリクエストの傾向とは異なる点がないかどうかを判断します」と福田氏は解説する。

 従来型のWAFと比べて誤検知率が非常に低く、チューニングがほぼ不要。導入後すぐに脅威の検出を開始できるなど、運用負荷を大幅に軽減することができ、従来の誤検知問題を解消するソリューションとなっているという。

 また、アプリケーションから収集された全体の情報やイベントレポートを可視化し、単一管理コンソールのダッシュボードで簡単に確認することができるのも、Fastlyの次世代WAFソリューションの大きな特長であり、運用負荷を軽減するのに役立っていると福田氏は語る。

 「ダッシュボードには、アカウント全体の情報をはじめ、攻撃の種類や攻撃数、疑わしいリスクエスやIPアドレスの情報、リクエストの詳細などを、一覧やグラフなどで分かりやすく表示することができます。一方、メールアドレスやパスワードなどプライベートな情報は必要最低限の情報しか収集されず、マスク表示されるといった配慮もなされています」と福田氏は言う(図2)。  またダッシュボードでは、しきい値を超えた場合の通知機能に関しての設定を行ったり、表示する情報を簡単にカスタマイズしたりすることも可能だという。

運用リソースや
コストの大幅な削減に
成功した事例も

 Fastlyの次世代WAFソリューションは、既に国内外の多くの企業で採用されている。その一部として福田氏は、エンターテインメント領域と社会課題領域の両軸でインターネット事業を展開するディー・エヌ・エー(以下、DeNA)と、国内最大級の実名型グルメサービスを展開するRettyにおける導入事例を紹介した。

 DeNAは、従来型のWAFでは、専門のエンジニアによるルールやポリシーのチューニングなどにかかっていた運用が負担となっていた。しかし、Fastlyの次世代WAFを導入したことで、運用リソースやコストの大幅な削減に成功した。さらに、Webリクエストのリッチコンテキスト情報に基づいた新手の攻撃も検知できるようになり、組織のネットワーク全体の一元的な可視化も実現できたという。

 また、Rettyでは、誤検知率が低いことや運用コストが削減されたことに加え、インフラの構築・運用に関わる作業をコード化・自動化するTerraformが利用できる点などが高く評価されているという。「Fastlyによる根本的に異なるWebセキュリティーのアプローチにより、悪意のあるトラフィックを効果的かつ安全に検出してブロックできるようになりました」と福田氏は話す。

 講演の最後に福田氏はFastlyの次世代WAFに関して、「即時インストール」「チューニング不要」「ブロックモードでの使用実績」という3つの特長を挙げた。

 「通常であれば60分以内でインストールが可能」(福田氏)というFastlyの次世代WAFであれば、検出機能の初期設定や継続的なチューニングが不要なため、すぐにその効果を享受することができる。

 そして、運用にかかる負担も少ないことから、モニターモードでの使用にとどまるケースは少なく、ほとんどの企業がWebセキュリティーを実践するブロックモードで使用しているという。その実績がFastlyの強みとなり、検知能力の向上を後押しする要因となっているのは間違いないだろう。

 従来型のWAFで生じていたコストや運用面でも課題は、Fastlyの次世代型WAFソリューションによって解決することができ、既に先進的な企業ではそのメリットを享受している。自社のWebサイトやWebサービスが大きな被害を受ける前に、高度化する脅威からどう保護していくのか再検討してみてもよいかもしれない。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
Fastly株式会社 Email:japan@fastly.com