FortiWeb 6.0をリリース: 人工知能(AI)による高度な脅威検知を実現

Fortinet FortiWeb Web Application Firewall

サイバー犯罪者たちが、パブリックWebアプリケーションや社内Webアプリケーションを標的にすることが増えています。データブリーチの半数近くが、Webアプリケーションの脆弱性を標的にした攻撃によって引き起こされています。攻撃から組織を守るためには、Webアプリケーションファイアウォール(WAF)が効果的です。しかし、こうしたデバイスの使用をためらう組織もあります。正規のユーザーやアプリケーションをブロックしないようすばやく誤検知に対処する際に、膨大なリソースが必要とされているからです。


従来のWAFによる脅威検知

ほとんどのWAFソリューションで誤検知が多い主な理由には、振る舞いベースの脅威検知法が中心として使われていることがあります。現在のWAFは、アプリケーション学習(AL: Application Learning)という観測に基づく脅威検知法のみに頼っているからです。

アプリケーション学習(AL)は、ウェブベースアプリケーションの構造と利用パターンに関するプロファイル構築を、自動的に行います。十分な情報を収集したら、ALは監視してきた内容に基づきポリシーを構築します。その後のユーザーアクティビティは、これらの保護ポリシーを守る必要があります。そうでないとアノマリーとして特定され、何らかの対応がトリガーされてしまいます。こうした対応には、ロギングやアラートの発行、検知されたアクティビティのブロックなどがあり、それらが組み合わされることもあります。この検知&レスポンスの方法は、高度な知識を持つハッカーによる既知の脆弱性の利用やゼロデイ攻撃の開始を阻止するうえで効果的です。


アプリケーション学習の限界

第一世代のWAF機能によって、Webアプリケーションの脅威を特定して対処する能力が確かに向上しましたが、正確性については改善の余地があります。WAFソリューションは誤検知が多いため、悪意のない重要なトラフィックをブロックしてしまう可能性があり、多くの企業ではポリシーや例外を管理するために限られたリソースを費やさなければなりませんでした。アノマリーベースのフィルターをトリガーすることなく、正常なアプリケーション利用のあらゆるバリエーションを把握する、もしくはアプリケーションでの変化に容易に適応するための適切な方法がALにはないのです。

根本的な問題は、アプリケーション学習(AL)にあります。ALはもっぱら観測ベースなので、監視してきた内容のみに基づいてアノマリーに対するフラグを立てます。このテクノロジーには、検知したアノマリーが攻撃なのか、悪意のないものかを見分けるのに必要なインテリジェンスが備わっていません。


ALを機械学習に置き換える

FortiWebの新たな機械学習(ML: Machine Learning)テクノロジーは、ウェブセキュリティ市場に今までにない脅威検知のアプローチを提供します。このアプローチでは、観測したアクティビティに対して厳密なマッチングを行うのではなく、統計モデルを用いて脅威を特定します。

ALと同様、MLはユーザーが通常のアプリケーションインタラクションを行う際、各アプリケーションエレメントに関するデータを収集します。しかしALとは異なり、MLは統計モデルを使用して、HTTPリクエストが以前観測したリクエストと大幅に違うかを見極めます。リクエストが「正常」から大きく外れている場合のみ、FortiWeb MLはリクエストがアノマリーであるフラグを立てます。

しかも、このインテリジェントで柔軟性の高いアプローチは、この新たな機械学習機能の2つの層のうちの1つ目にあります。アノマリーが特定されると、今度は2つ目の層の機械学習を使用して、それが脅威なのか、タイプミスか、もしくは未使用の新たな文字や記号か、あるいはアプリケーションへの正当な変更のように無害な差異かを見極めます。その際、検知したアノマリーを学習済みの複数の脅威モデルにかけて、攻撃か否かを判断します。攻撃であれば、ALと同様、ロギング、アラートの発行、アノマリーのブロックなどの対応が可能です。

さらに脅威検知の効率を上げるため、フォーティネットは人工知能(AI)による高度な脅威検出機能をFortiWeb WAFと組み合わせ、様々な脅威モデルを構築しました。モデルは特定の攻撃カテゴリ(SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクションなど)に対応しています。これらの脅威モデルは、CVEやExploit DB 、当社のFortiGuard Labsの脅威インテリジェンス、大手サードパーティの脆弱性スキャナーが収集したデータなど、FortiWeb開発チームが様々なソースから得た何千もの実際の攻撃サンプルを使用して、広範に学習したものです。モデルの再学習と試験を必要とするような新たな脅威からリアルタイムに保護するため、これらのモデルは、FortiWebソリューションの一環として含まれており、またFortiGuard WAF Security Serviceの一環として常に更新されています。


正確性の向上とオーバーヘッドの削減

この2段階アプローチを使用することで、MLによる攻撃検知の正確性はほぼ100%まで向上しました。すべてのアノマリーにフラグを立ててブロックする代わりに、FortiWebの新たな機械学習テクノロジーは、アノマリーにフラグを立てて対応する前に脅威か否かをすばやく正確に見極められるため、重要なアプリケーションやトランザクションが遮断されることはありません。こうした高度なFortiWebのMLエンジンは、従来のALベースのWAFソリューションによる誤検知だけでなく、一般的にアプリケーション学習を使用したWAFを回避する攻撃として知られる、「False Negative(検出漏れ)」を大幅に削減します。

アプリケーション環境の安全確保は、ITチーム特有の課題です。先日のIDGによる調査によると、企業のITエグゼクティブの83%が、自社のIT戦略においてアプリケーションのセキュリティが重要だと考えています。現在、WAFの導入を検討している組織の皆さまや、膨大なITリソースを消費する既存のソリューションを替えたいと考えている皆様、そして、すでにFortiWebをご利用いただいているお客様も、是非今回リリースしたFortiWeb 6.0の導入をご検討ください。

FortiWeb 6.0における機械学習

FortiWeb 6.0における機械学習

すでにFortiWebをご利用で、有効なサブスクリプションをお持ちのお客様は、Customer Service & SupportウェブサイトからFortiWebバージョン6.0への無料アップグレードをダウンロードいただけます。Webアプリケーションベースへの攻撃から組織を保護する機械学習の詳細については、FortiWebの製品ページ(英文)をご覧ください。

同製品に関するニュースリリースは、こちらからご覧いただけます。