ベンダーに聞いてみよう! ~失敗しないWAF選定に役立つ5つの質問~
知っていればWAF選定に役立つ5つの質問をまとめました。
ベンダーに聞いてみよう!失敗しないWAF選定に役立つ5つの質問
WAFサービスの選択肢が増える中、どのWAFもたいてい「高性能」「低コスト」「手間が掛からない」「誤検知が少ない」といった謳い文句を判で押したようにアピールしています。そのため、「どんなWAFでも導入してさえいれば同じだろう」とか、「SIerや開発会社が提案したものをそのまま受け入れれば問題ないだろう」とか、「利用インフラのオプションWAFを利用するのが楽そう」といった判断をしてしまうのもごく自然なことです。
しかし、WAFは安価で導入が楽なら何でも良いという訳ではありません。事前のベンダー情報だけでは分からないことが非常に多く、導入して初めて分かるトラブルでご担当者や関係者が苦しむケースも多数見受けられます。
ここでは、導入前にあえてベンダーに聞いておきたい「5つの質問」をご紹介します。ベンダーによっては深く突っ込まれたくないポイントかもしれませんが、これらの質問への回答から、導入後の予想外のトラブルの可能性を予測し、安定したWAF運用を妨げるリスクを見つけることが可能です。導入前に少しだけ足を止めていただき、自社のニーズや運用実態に合った後悔のないWAF選択を行っていただければ幸いです。
【1】「検知精度が高いWAFだと言うけど、その根拠は何?」
Webアプリケーションはサイトによって機能や構成が違うため、どんなサイトであっても完全に攻撃を検知し、正常通信は決して止めない、つまり「誤検知」の可能性が全くないWAFというのはありえません。特に、通信の中に特定の文字列が含まれるかを元に判定する「シグネチャマッチング」という古い単純な方法では、その性質上検知精度の調整が難しく、正常通信を頻繁に止めてしまうか、攻撃を通してしまうかのどちらかになりがちです。
正常通信を止めてしまい、その調査や苦情への対応に担当者や関係者が大きな時間を割かれるのではWAFとして失格です。また逆に、正常通信は止めないが攻撃も良く通すのではWAF導入の意味がありません。いまだにシグネチャマッチングに頼っているのに、「自社のWAFは誤検知しないから大丈夫」などと、WAFを利用する以上避けられないはずの課題をごまかそうとするベンダーには注意しましょう。
この問題に誠実に立ち向かっているWAFベンダーは、シグネチャマッチング以外の、より多面的/総合的な検知ロジックを投入し、誤検知を減らす努力を日々積み重ねてきています。誤検知が少ない理由について、またその技術的な背景についてベンダーに納得のいくまで説明してもらえるかが、失敗しないWAF選びのポイントです。
参考情報
WAFの検知ロジックの種類と長所短所
Scutumの技術的特長
AI型WAFエンジンの特長と効果
WAF「Scutum」ではこうしたご質問を歓迎しています
【2】「新たな脆弱性を狙った攻撃への対応時間はどのぐらい?」
Webアプリケーションへの攻撃に利用可能な新たな脆弱性は日々発見されており、実際の攻撃が始まるまでの期間も短くなっています。重大な脆弱性についてIPAやJPCERT/CCが注意喚起を行ってから数日後に対応を始めるようなWAFでは、今の時代、世界中の攻撃者からの一斉攻撃に間に合いません。
重要な脆弱性や攻撃手法への対応スピードを確認したいときは「新しい脆弱性に対応するまでの時間はどのぐらい?」と質問してみましょう。対応に自信があれば、これまでの対応実績や所要日数などを具体的に提示してくれるはず。また、脆弱性情報公開から何日も経ってから「実はいち早く対応していた」と発表する、確認できない“後出し報告”には注意。
参考情報
ITmedia記事 『世界が震撼したLog4jの脆弱性 脚光を浴びた「WAF」の真価』
研究チームと開発チームが一体化、新しい脆弱性や攻撃手法に迅速対応
新たな脆弱性や攻撃への対応・新機能
Scutumお客様サポートサイト:脆弱性対応情報
WAF「Scutum」ではこうしたご質問を歓迎しています
【3】「誤検知発生時の調整方法や対応フローは?」
もし誤検知が発生してしまったときのチューニング方法と対応フローは、WAF導入前に必ず質問しておきたいポイントです。「誤検知の原因になるシグネチャをOFFにするだけで、対応できます」という回答なら、そのWAFの導入は危険。誤検知対策として一時的にでもシグネチャをOFFにしてしまうのは、シグネチャが本来想定していた攻撃を許してしまう“雑な対応”。シグネチャOFFだけでなく、誤検知だけを止める柔軟な調整方法があるか、また誤検知発生時の対応フローが明確になっているかを導入前に確認しましょう。
参考情報
ITmedia記事 『Webセキュリティを手間なく堅牢に――「WAF」導入後の面倒を避けるコツ “誤検知”を減らす選定ポイントは?』
誤検知調整の確認ポイント
Scutumお客様サポートサイト:正常な通信がブロックされた時、どうすれば?
WAF「Scutum」ではこうしたご質問を歓迎しています
【4】「導入前にサポート品質を確認できる?」
導入前の売り文句は「自社でしっかりサポート」だったのに、導入後のサポート対応はいつも「確認します」「調査します」だけで、その後の回答を延々と待たされる…。そんな「がっかりサポート」が多いのもWAFの特徴です。
WAFのサポートには最新のセキュリティ知識と広範囲にわたる対応力が求められ、専門性の高さが重要です。通常時/障害時のサポートの流れが明確で、一次対応の段階から広い範囲のサポートを素早く提供できるWAFベンダーを選びましょう。サポート品質の質問について、的確に回答してくれるベンダーなら安心です。見極めポイントの一つはサポートサイトが充実しているかどうか。WAF導入前にサポートサイトが見られるなら、要確認です
参考情報
サポート品質の確認ポイント
Scutumお客様サポートサイト
Scutum活用ブログ
WAF「Scutum」ではこうしたご質問を歓迎しています
【5】「クラウドインフラのオプションWAFを提案されたが、専用WAFと比べたときのデメリットは?」
クラウドインフラのサービスの一部として提供される「オプションWAF」は、知名度も高く、安くて手軽に導入できるとはいえ、あくまでもインフラサービスに付属する立ち位置の“簡易的な”WAFサービスであることが多いので注意が必要です。
前述の「シグネチャマッチング依存」の問題を抱えているサービスが大半だったり、導入後に「通信内容の一部しかチェックしていない」ことが判明したり、社内運用コストや外注運用コストを考慮すると結局安価にならない…、という声もよく聞かれます。そこで聞いておきたいのが「インフラオプション型WAFのメリットとデメリット」。そのベンダーがメリットと同時にオプションWAFの限界についても説明できるかを確認し、納得した上でWAFを選びましょう。
参考情報
インフラオプション型WAFの4つの限界
ITmedia記事 『「WAFを入れれば安心」に黄色信号! 誤検知や精度の低さに苦労するかも? 今知りたい“本当に使えるWAF”の選び方』
WAF Tech Blog 「大手クラウドのオプション型のWAFの弱点」
WAF「Scutum」ではこうしたご質問を歓迎しています
自社のニーズに合ったWAFの選択を
WAFを選択する前にチェックしておきたい、7つの比較ポイント
WAFの比較ポイント~自社のニーズに合ったWAFを選択するヒント~
Scutumの関連情報に関する詳細はこちらで公開しています。
Scutumサポートサイト
Scutum活用ブログ
Scutum技術ブログ(Scutum開発者自身がScutumの技術的背景を解説)