WAFとRASPはそれぞれ異なる仕組みでWebアプリケーションへの脅威を防ぐ。両者はどのように使い分ければいいのか。コストや運用も踏まえて比較する。
Webアプリケーションを保護する仕組みとして「Webアプリケーションファイアウォール」(WAF)と「ランタイムアプリケーション自己保護」(RASP)がある。WAFはWebアプリケーションの外側に設置して、Webアプリケーションへのトラフィック(ネットワークを流れるデータ)を監視する。RASPはWebアプリケーションの内部に組み込んで、不審な挙動を監視する。
WAFとRASPはどちらも異なるメリットとデメリットがある。セキュリティの仕組みや運用、コストの違いを確認しよう。
WAFとRASPの根本的な違いは、採用しているセキュリティモデルにある。WAFはブラックリスト方式で、既知の悪意のパターンを特定してブロックする。膨大な量の攻撃シグネチャと疑わしい動作のリストを保有し、悪意のある既知の動作に合致するトラフィックを遮断する。
WAFのアプローチは既知の攻撃パターンには有効だが、正当なリクエストも誤って攻撃と判断する可能性がある。ゼロデイ攻撃(ベンダーが認識しておらず、修正プログラムが公開されていない脆弱<ぜいじゃく>性を悪用する攻撃)などの新しい攻撃や、巧みに作成されたペイロード(マルウェアの実行を可能にするプログラム)の検知が難しい。
SQLクエリ(データベース言語「SQL」による問い合わせ)に悪意のある操作を挿入する「SQLインジェクション攻撃」を例に考えてみよう。WAFが「1' OR '1'='1」をブロックするようにルールに組み込んでいれば、攻撃を防ぐことができる。しかし、「1' OR 2>1-」という異なるペイロードは検知できない。WAFが「1' OR 2>1-」をブロックするためにはこの規則をブラックリストに追加する必要がある。攻撃者が次々と新しい攻撃パターンを生み出し、WAFがそれを追いかけてルールを追加し続ける「いたちごっこ」になるわけだ。
一方のRASPはホワイトリスト方式を採用している。つまり、正しいアプリケーションの動作を学習および理解して、想定される動作とは異なる動作を警告またはブロックする。
RASPはアプリケーションの内部で動作する。そのため、アプリケーションの動作、データの流れといったコンテキストをリアルタイムで把握して、セキュリティの観点からより正確な判断を下すことができる。入力されたペイロードに関係なく脅威を検出できるため、Webアプリケーションに対するゼロデイ攻撃を検出して阻止できる可能性が高くなる。正常な通信を攻撃だと誤検知する可能性も減る。
セキュリティの仕組み以外に、コストや運用の観点でもWAFとRASPには違いがある。一般的にはRASPは運用やコストへの影響がWAFより大きい。まず、RASPをWebアプリケーションに組み込まなければならない。通常、開発チームは開発段階でRASPを組み込む。RASPがWebアプリケーションに組み込まれるため、Webアプリケーションの実行時にオーバーヘッド(余分な処理負荷)が生じる。開発チームには追加ソフトウェアコンポーネントの管理が求められるため、開発と運用のサイクルが複雑になる。そのためDevOps(開発と運用の融合)チームはRASPに対して厳しい評価を下す傾向にある。
これに対してWAFには普遍性と低コストというメリットがある。近年のファイアウォールやゲートウェイ、プロキシ製品では、標準的な構成要素として無料またはオープンソースソフトウェア(OSS)のWAFが付随している。
OSSのWAFとしては「ModSecurity」が有名で、Webサーバ構築のためのソフトウェア「Apache HTTP Server」やOSSのWebサーバ「nginx」(エンジンエックス)などで利用できる。
RASPはベンダーから有償の製品として提供されるものが多く、ベンダーからサポートを受けられるプログラミング言語も限られている。
WAFとRASPでは、セキュリティの仕組みも求められる運用も異なる。WAFは事前定義された規則に基づいて判断する境界上の防御システムとして機能するのに対し、RASPはアプリケーション内部で機能して、より深いコンテキストに基づいた認識を提供する。どちらのアプローチにも長所がある。
既知の攻撃パターンを迅速にブロックすることに長けているWAFに対し、RASPは既知の脅威と新たな脅威の両方に対してより細やかな保護を提供できる。WAFは既存のWebアプリケーションや運用に与える影響は限られているが、事前に定めた規則が適切でない場合は正規のユーザーに影響を及ぼす恐れがある。RASPは誤検知の可能性は低いが、導入に手間がかかることや、Webアプリケーションへのオーバーヘッド(一定の処理に伴って発生する余分な負荷)も考慮する必要がある。
WAFとRASPは相互に排他的なセキュリティツールではなく、Webアプリケーションの脅威を異なる層で防ぐ補完的な関係にある。
WAFは既知の攻撃パターンに対して幅広い保護を提供し、複数のアプリケーションに迅速に導入できる。悪意があるように思えるトラフィックがアプリケーションに接触する前に取り除く最初の重要な防御線としての役割を果たす。
RASPは内部からアプリケーションを保護し、WAFの防御壁を突破した高度な攻撃を検出する追加のセキュリティ層としての役割を果たす。コンテキストを認識する保護は、機密情報や金融取引を扱う重要なアプリケーションでは特に重要になる。
次のように両テクノロジーの実装を検討するのが望ましい。
この組み合わせアプローチによって、Webアプリケーションを包括的に保護できるだけでなく、セキュリティのニーズ、運用上の考慮事項、リソースの制約のバランスを取ることができる。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
