マリコ、もがく。―安全は一日にして成らず―

2022.02.28

皆様、こんにちは。

少しずつ桜の開花予想なんかも出始めていますが、アラフォーの背中ではまだまだ貼るカイロが活躍中です。昼間は良くても朝夕の冷え込みがねぇ…皆様はこの時期のアウターどうしています？

このブログでは、IT素人であるマリコが世のIT用語に翻弄されながらももがく様子を徒然なるままに描いていきます。

第15回目のテーマは『WAF』です。

WAF（Web Application Firewall）：
ウェブアプリケーションファイアウォールの略。
Webアプリケーション及びWebサイトを保護することに特化したセキュリティ対策。
シグネチャと呼ばれる定義ファイルに基づいて不正アクセスを検知する。

目次
・Web Application Firewall
・FWとWAF
・シグネチャって何さ。
・安全は一日にしてならず。

Web Application Firewall

前回のブログで宣言したとおり、今回のテーマは「WAF」です。

最近では、WAF（Web Application Firewall）という名前で、同等の機能をおこなってくれることで知られています。

はい、確かに登場していますね、WAF。WAFは「ワフ」と発音されていて、「Web Application Firewall」の略です。
読んで字のごとく、Webアプリケーションに特化したファイアウォールのことですが、でも俗にいうファイアウォールとはちょっと違うらしいというのが今回の主なもがきポイントです。ちなみにここでの「俗にいうファイアウォール」とは前回のブログで「とりまファイアウォールと言えばこれっしょ！」とお伝えした「パケットフィルタ型」のことです。今回はそんなWAFのお話。

FWとWAF

まずはパケットフィルタ型ファイアウォール（FW）のおさらいです。
何を見て不正アクセスかどうかを判断しているの?ってことですが、下記の通りでしたよね。（復習大事！）

・通信元や通信先のIPアドレス（インターネット上の住所的なもの）
・ポート番号（サービス毎の専用窓口的なもの）

マリコの理解に基づいて言うなら、「どこから（＝通信元IPアドレス）」「どこまで（＝通信先IPアドレス）」「どんな目的で（＝ポート番号）」行くのかをネットワーク層で見てくれている感じです。（※「ネットワーク層」は異なるネットワーク間でのパケット通信を担当している層のことらしい。「OSIモデル」とかで調べるとめっちゃ出てくるよ！）

ただ、お気づき頂けたでしょうか？その通信が「誰やねん」的なことは確認してないんですよ。いや何者か分からない通信通すなんて危険すぎません？空港でパスポートチェックも荷物検査もなしに、航空券と「目的は？」「観光です」のやり取りだけで入国を許すようなものですよ。（ちなみにマリコは10年前にパスポートを作ってから一度も使うことなく期限切れになりました）

一方でWAFは、パケットフィルタ型ファイアウォール（いわゆるファイアウォール）よりWEBサーバ側に近いアプリケーション層で活躍、「お前誰やねん」を確認してくれます。前回でいうこの部分。

メリットはパケットフィルタ型より詳細に通信の中身を見てくれることだけど

なんでもWAFはシグネチャと呼ばれる不正アクセス定義ファイルを使って「やばそうな通信」を見極め、ブロックしてくれるそうです。頼もしいことこの上ない。
空港でちゃんと「お、こいつビジネス目的って言ってるけど持ち物にやたら変装グッズ多いな‥‥（→指名手配リスト確認→）ばっかもーん！そいつがルパンだ！」みたいな感じですね！（伝われ！）

FWとWAFのルールの違い

シグネチャって何さ。

さて、先ほど新登場した「シグネチャ」ですが、元は「署名」を意味する英語、signatureだそうです。そう、メールの文末に差出人の身分を記すあの署名のこと。

しかしセキュリティ分野で登場する際には意味が変わって、「既知の攻撃パターンや不正アクセス方法の識別リスト」のことになるんだそう。

IT界隈って本当に進化が目まぐるしくて便利で新しいソフトウェアなんかもどんどん出てくるんですが、そこはやはり人間が作ったもの、どこかしらに隙（脆弱性）があったりするんですね。そして悪い人たちはそんな隙に目を付けて不正アクセスや攻撃をしかけてくるんですが、シグネチャにはそんな隙を防御すべく「この通信パターンは不正アクセスだ」や「これからこんな攻撃が予想されるぜ」といった情報がデータベースとしてまとめられているんです。そしてWAFはこのシグネチャと日々届く通信の中身をマッチングすることで、WEBサイトの秩序を守ってくれているんですね。ビバ。

ただこのシグネチャも全知全能ではないから、一度導入したらほったらかしでオッケーということはなく、新しいソフトウェアの脆弱性や攻撃パターンが見つかる度に適切に更新していくのがポイントなんですって。やはり安全には日々の管理が重要なのね。

安全は一日にしてならず。

よし、ファイアウォールのこともWAFのことも学んだし、これでサイバーセキュリティは完璧ね！とはならないから困ったものです。もちろんファイアウォールやWAFの深掘りが足りないっていうのもあるんですが、あともう一つ、このもがくブログのセキュリティシリーズを完結させるためには避けて通れないテーマが・・・。そう、「IPS/IDS」。実はこれも最近お仕事でもがいたんですよ。ただ「IPS/IDS」について語るには、ちょっとまだマリコのもがきが足りないので、いつかまた日を改めて。
ということで、次回は第11回テーマでもがいた『AWS』の中から、一つの機能を深掘りして書いてみたいと思います！

厳冬の寒さの中でちょっとずつゆっくりと、しかし着実に蕾を膨らませる桜のように、いつかマリコも花咲く日が来ると信じて、マリコ、もがきます。