PCIDSS適合次世代WAF

リスト参照型の検知方法です。ウェブサーバとブラウザがやりとりを行うデータの中に、リストに記載されている「禁則文字列」が存在するかしないかで検知を行う方法です。
危険なものだけがリストアップされたものをブラックリスト、安全なものだけがリストアップされたものをホワイトリストと呼びます。第一世代の場合、これらのリストを管理者が手動で作成する必要がありました。

ブラックリストの特徴は、サーバとブラウザ間のやりとりにおいては基本的に全て許可をし、リストに引っかかった場合のみ、そのやり取りを通さない。という動きです。逆にホワイトリストはすべてのやり取りを遮断するのが基本的な動きとなり、ホワイトリストに登録されている場合のみ、サーバのとのやり取りが許可される。という特徴があります。

自分の会社に来る訪問者に対し、セキュリティ担当者が作ったチェックリストを基に確認作業を行い、問題ないようであれば入室を許可する。このような検知方法が第一世代の検知方法です。

【第二世代の検知方法：シグネチャベースのパターンマッチング】

現在主流となっている検知方法です。

リスト参照型の検知方法という点では第一世代と同じですが、リストの作り方に違いがあります。第一世代は手動にて管理者が作成する必要がありましたが、作成するにあたり大変な負荷であることと、サーバとブラウザ間のやり取りに関して詳細な知識が必要でした。この問題を解決するために考え出された検知方法がシグネチャベースのパターンマッチングという検知方法です。

今までのブラックリスト／ホワイトリストの内容を効率よくデータベース化し、その内容をWAFのベンダーが定期的に更新する（自動更新）。という仕組みが生まれました。これによって管理者の負荷が軽減されることになりました。

自分の会社に来る訪問者に対し、警備会社が作った1000を超えるようなチェックリストを基に確認作業を行い、問題ないようであれば入室を許可する。確認作業に使うチェックリストは定期的に更新され、更新されるたびにチェック項目が増えていきます。このような検知方法が第二世代の検知方法で、現在の主流となっている検知方法です。

【第三世代の検知方法：ロジカル分析エンジンによるルールベースの検知方法】

シグネチャを利用した検知方法は、データベース化されたシグネチャを常に更新していくため、そのデータベースが肥大化してしまうのと、ベンダーがシグネチャを作成するにあたり、攻撃を受けてからではないと作成することができない。という問題があります。

これらの問題を解決するために新しく開発されたのが「ルールベース」という新しい検知方法です。この検知方法はシグネチャを利用しないため、検知のための定期的なアップデートが必要ないことと、今までなかったような攻撃が来た場合でも適切に対処することができるという特徴を持っています。

自分の会社に来る訪問者に対し、各分野における権威的な専門家が20人以上で確認作業を行い、全専門家の確認試験をパスした場合のみ入室を許可する。このような検知方法が第三世代の新しい検知方法です。