BLOG N.07 OWASP CRSの優位性

OWASPが手掛ける複数のプロジェクトで、最も重視しているプロジェクトの一つにOWASP ModSecurity Core Rule Set (CRS)があります。CRSは、ModSecurityまたは互換性があるWebアプリケーションファイアウォール(WAF)で使用可能な、汎用的なルールセットです。CSRは、誤検知を最小限に抑え、OWASP Top10の記載内容やWebアプリケーションのセキュリティ リスクに対する保護を可能にします。

Progress|KempはLoadMasterにCRSの利用が可能なWAFを実装することで、強力なWebアプリケーションのセキュリティ機能を実現しています。

 OWASP CSRの優れたメリットは、例えば、汎用的なSQLインジェクションルールが新たに発生する未知のSQLインジェクションに対しても高い確率でプロテクションを行えることです。つまり、新しいセキュリティホールの確認や、新規のCVEの公開に対しても相当の保護機能を有していることになります。もちろん、完全な保護のためには最新のルールを適応することが求められます。

新規の脆弱性対応にはソフトウェアのアップグレードやパッチの適用を行うことになりますが、そのための時間が必要です。OWASP CRSはこういった作業のための時間的な猶予が持てるメリットが得られます。

このメリットは管理者からセキュリティ対策の負担を軽減するものではありません。CSRは露骨な攻撃や脆弱性スキャンをブロックしますが、この結果で真の問題が露わになります。その一つが誤検知です。汎用的なCSRでは誤検知が伴い、100%のサービス提供に影響が出る可能性があります。汎用的なルールセットを商用サービスに応用するためには、誤検知を発生させるルールのチューニングが必要となります。

FXCはProgress|Kempと協働して商用サービスに適合する最適なチューニングを提供します。

By ADC Engineers