また郵便番号など入力値が限られる入力フォームにおいても,ユーザーの誤入力をうまく処理したいなら,実はホワイトリストは設定しにくい。誤入力があってもWAFでは遮断せず,Webアプリケーションが受け取って再入力すべき場所を示したWebページを生成した方が使い勝手が良くなる。

 ホワイトリストはそもそも設定に手間がかかる点も注意が必要である。ホワイトリストのルールは,各Webページの入力値ごとに細かく設定しなければならない。この手間の軽減を狙って,今回検証したホワイトリストを重視する3製品は,どれも「学習機能」を備えている。正しい入力値のテスト・データ注2をWAFに入力し,ホワイトリストの設定を自動学習する機能だ。ただし設定内容の確認は必要であり,完全な自動化は難しい。

ブラックリストが最後のとりで

 一方のブラックリストは,任意の入力値に対して適用できる。ホワイトリストが対応し切れない入力フォームなどでも,パターン・マッチングによって攻撃を検知して遮断する。各ページの入力値ごとに条件設定する手間も不要で,設定漏れの心配もない。

 だからこそ筆者は,WAFの防御性能を測るには,ブラックリストの精度が重要だと考える。ブラックリストよりもホワイトリストの重要性を強調するWAFベンダーは多いが,今回の検証はあくまでブラックリストの精度に絞った。どのWAFもホワイトリストは設定しない状態で検証した。

 その前提で今回,攻撃を見逃す検知漏れと,攻撃でないものを攻撃とみなす過剰検知を検証した。それがブラックリストの弱点だからだ。そもそもパターン・マッチングによって攻撃を100%正しく遮断するのは不可能である。その実力のほどを検証した。

出典:日経SYSTEMS 2009年3月号 pp.73-74
記事は執筆時の情報に基づいており、現在では異なる場合があります。