2008/11/02

WAFなんて誰も要らない

WAF(Web Application Firewall)の雑感です。

昨日の第1回北海道情報セキュリティ勉強会で、竹迫さんからmod_waffulとmod_securityの話が出ていましたが、営業としてはお金になりやすい箱物のWAFを販売したがります。箱物のアプライアンスになると、構築を担当するのはどうしても開発者ではなく、基盤構築担当者になります。そうすると、開発者は基盤を知らず、基盤構築担当者は開発を知らないため、結果的に誰もWAFを設定できません。この「知らない」というのは2つの点があると思います。

・技術的な面
開発者は自分が触れる範囲での基盤(OSなりミドルなり)は技術的に把握しているのでしょうが、深く知らない場合が多いです。また自分が触れない部分(トータルとしての基盤)は知らない、というか理解したがらない。だから、「WAFでセキュリティ」と言われても、「それって基盤構築チームが担当でしょ?アプリは動いているんだから」と言う。
基盤構築担当者は、「俺たちは基盤を作る、上物は開発チームでしょ?上物のセキュリティは開発チームでやれよ」と考える。また開発チームで作成したアプリの詳細は知らないし、詳細の技術も知らない。まぁ詳細の技術が分かってれば開発で飯食えますよね。
だから、WAFというのは宙に浮きやすい。

・政治的な面
多くの場合開発チームと基盤構築チームは部署自体が違うので、責任分岐点を明確にしたがります。箱物のWAFというのはすごく難しくて、そこで問題点があったり、設計にミスがあったりしても、どっちに責任があるのか分かりづらいんですよね。だからどちらの部署ともに手を出したくないし、部署が違う以上お互い密接に協力しあうのも(多々大人の事情で)難しい。

このお話を、昨日の懇親会でまっちゃだいふくさんにしたのですが、やはり難しいというか、全国的にみてもWAFの導入は進んでいないとのことで、やはり開発者と基盤構築担当者のすり合せを行える部署、Webディレクターみたいな人がしっかり調整しないと、出来ないだろうと仰ってました。

いつも思うのですが、開発が考えるセキュリティと、基盤が考えるセキュリティには大きな溝があるんですよね。開発はその成果物に対してのセキュリティを考えるけど、基盤はトータルというか、インフラ全体のセキュリティを考えます。とはいえインフラの部分部分を全て詳細に把握できるわけもなく、詳細はその担当者に任せるしかないのですが、しかしその担当者は全体を見てくれない(見る必要もない、責任がないから)ので、結果的にどこか不足している部分が出てしまう。

また、もう1点WAFの導入が進まない事情と考えるのが「誤検知」です。これはIPSでも同様なのですが、外部からの攻撃により障害が発生した場合、「出来る限りの対策をしていても発生したのなら仕方がない、今後の対策を考えてくれ」と言われるくらいで、もちろんクレームにはなるのですが、そこには諦観が入る場合が多いです。しかし、WAF(またはIPS)の誤検知が原因で障害が発生した場合、大抵の顧客は激怒します。「システムがちゃんと動いているのに、セキュリティを守るはずの機械が原因で障害が発生するとはどういうことだ、これなら入れないほうがマシじゃないか!」と。普段WAFによって守られていることは問題にされません。顧客にとって「正常動作=普通」であるからです。攻撃に対する守備ってコストパフォーマンスだったり成果として表しにくいんですよね。むしろ守備が失敗したときのマイナスイメージのほうが強い。これは多分サッカーでいうキーパーと同じですよね。ゴルゴメソッドで言えば、「Gは無理ですがテロリストくらいは対応できるSP入れました→SPに裏切り者が!→ノーガード戦法」みたいな。笑い話みたいだけど、これが多分リアルです。結果、誰もWAFなんて入れたがらないんですよね。技術も、営業も、顧客の情報システム部も。

モジュールベースのWAFは開発者側で設定できるし、今後の発展はありそうですが、箱物のWAFの普及はほぼ絶望的なんじゃないか、と僕は考えてます。

また、開発者と基盤構築担当者の橋渡しになる技術者というのは需要が高いんじゃないかなと思います。実際のところ中々いませんよね。非常に高い技術レベルが要求される仕事だとは思いますが、これだけWebアプリケーションが普及した現在、強く求められている立場ではないかと思います。こういった人が増えれば、WAFの普及も進むのではないでしょうか。