次世代WAF(NGWAF)とは

従来型のWAFには、コスト面と運用面で大きな課題があります。従来型WAFの導入にあたっては、正規表現のルールセット作成や学習のための期間(数週間から数か月)が必要であること、メンテナンスやアップデートのための時間や稼働が必要であること、誤検知・誤遮断に対応できるスキルを持った人材確保が必要であること、などがあります。

従来型WAFでは、そもそもの技術的な課題として誤検知が多いということがあり、それが隠れたコスト増につながっています。従来型WAFでは、検知方法としてシグネチャベース、ルールベースなど正規表現によるパターンマッチングを基本としたものが多くあります。シグネチャベースの検知方法は、特定の脆弱性単位で検知する手法で、スケーラビリティに乏しく、少しでも攻撃手法が変化すると検知できません。また、通信内容の一部に、たまたまシグネチャにマッチする要素があると誤検知してしまいます。ルールベースの検知方法は、特定の攻撃のアルゴリズムを検知するものですが、やはりこちらもスケーラビリティに乏しいものです。そして、いずれもシグネチャ／ルールの更新・削除など、メンテナンスやチューニングにはスキルが必要という課題も存在します。

A10のNGWAFについて

A10が提供するNGWAFでは、その検知方法として字句解析をベースとしています。字句解析は文字列を言語的に意味のある最小要素(トークン)に分解する処理です。そして分解したトークン、コンテキスト分析を使用してWebサーバへのリクエストを分析します。そのリクエストが悪意あるアクションを「実行する可能性があるかどうか」「実際にどのように実行されるか」といった点を評価します。また、閾値による判断手法もとりいれており、これは怪しい通信を1回のチェックでNGとするのではなく、監視しつつ続け、ある閾値を超えたときにNGと判断する手法です。これら字句解析と閾値判定の手法により、従来の正規表現による手法と比べ、誤検知を遥かに少ないものとしています。誤検知が非常に少ないため、積極的なブロッキングモードの利用による運用も可能としています。

学習期間やチューニングの手間を大幅に削減する仕組みも取り入れています。何千ものソフトウェアエージェントから匿名化された攻撃データとテレメトリをクラウド上に収集し分析しています。その分析結果を利用することで、ルールの調整や継続的なメンテナンスを不要としています。また、API保護やDevOpsツールとの連携機能も提供し、今日のWebアプリケーション開発に適したものとなっています。

A10 Next-Gen WAF, Powered by Fastlyは、上述のようなNGWAFとともにADC機能を提供します。それらの連携により、専用ハードウェアによる高速処理と多層防御を提供します。