BLOG NO.8 パラノイアレベル

2025年7月24日

　OWASP ModSecurity Core Rule Set (CRS)はその汎用性により、インストール時に必要となるルールは約200個です。これを、WAFが攻撃を検出するためのオーバヘッドを低減でき、通常のトランザクションに対する性能の劣化を抑えるというメリットをもたらします。また、攻撃に対するルールを管理する負荷を軽減することができます。

では、具体的にCRSがどのようなルールで構成されているか見てみましょう。例えば、CRSにはHTTPで送られるパラメータをチェックするルールがあります。このルールは、パラメータ内に特殊文字を含んでいるかどうかの行います。これは、特殊文字を使った攻撃が何であるかというより、特殊文字を含むことに危険性があると判断をします。実際には特殊文字が12個以上含む場合、そのリクエストを攻撃としてブロックします。もちろん、12個という閾値が必ずしも確実とは言いきれません。CSRではパラノイアレベルというルールの強度を強化する設定があります。サンプルで示したルールでは、特殊文字の数をより少なく設定することで、判定の強度を強めることができます。

当然のことながら、パラノイアレベルの設定でルールの強度を高く設定すれば、本来正しいリクエストに対しても攻撃と判断してしまう「誤検知」が増えてしまいます。誤検知はセキュリティを強化した結果の代償をなります。しかし、これを放置してしまうと、正しいアクセスに対してサービスを提供できないという問題が生じます。

パラノイアレベルの設定を強化することが、CRS の重要な機能ではありません。最も重要な機能は異常スコアリングです。異常スコアリングとはCRS がリクエストを即座にブロックしないことを意味します。検出とブロックの決定を分離し、リクエスト内で特定のパターンによりルールが実行されるとリクエストの異常スコアが上昇します。その後、実行される別のルールが合計異常スコアをチェックし、閾値に基づいてリクエストのブロックの決定を行います。

一見、複雑見えますが、CRS の動作に大幅な柔軟性をもたらします。新規インストールでは、高い閾値が設定される可能性があるため、最初からブロックモードを有効にして実行します。その後、誤検知と無害なリクエストを監視しながら、数回の反復処理を経て異常モードの閾値を下げていきます。

強力なルールセットを導入する上では、あらかじめ監視モードで運用し、ログ情報を確認しながらブロックモードへ移行するプロセスで導入を実施します。しかし、ブロックモードへの移行は多くの日数を必要とします。異常スコアリングでは、より段階的なアプローチが可能となります。導入初日からブロックモードを開始し、システムを理解し、誤検知を抑制できるようになるにつれて、徐々にセキュリティを強化していきます。

LoadMasterの最新リリースでは、従来のWAF実装をベースとした機能強化が盛り込まれており、最適なWAFシステムの導入を実現することができます。