ModSecurityのサポート終了 (EOL)
ModSecurityはオープンソースのシグネチャベースのWAF技術で、20年近く多くの組織で使用され、多くの場合NGINXのアドオンとして統合されてきた。NGINXチームは2022年5月に、2024年3月末までにModSecurityを「EOL」させると発表した。
ModSecurityを使っているなら、すぐに代替ソリューションに切り替える必要がある。
ModSecurityとopen-appsecの比較
新しいテクノロジーへの移行を検討する際には、新しいシステムが少なくとも同じ機能を提供することを確認することが不可欠である。さらに、移行はシームレスであるべきで、運用の中断を引き起こしてはならない。ここでは、この文脈で役に立つかもしれない比較と、続く検討のための追加ポイントを紹介する。
|
ModSecurity WAF
|
open-appsec WAF
|
OWASP-Top-10
|
はい
|
はい
|
ゼロデイ保護
|
いいえ
|
はい (MLベース)
|
カスタムルール
|
はい
|
はい
|
シグネチャアップデート
|
頻繁に必要
|
必要ない、2つMLモデルを使用:教師ありと教師なし学習
|
バランスの取れたセキュリティ精度
|
88.06%
|
97.32%
|
JSON/XML解析
|
いいえ
|
はい
|
オープンソース
|
はい
|
はい
|
コマーシャル製品の提供
|
いいえ
|
はい (製品名:AppSec)
|
無料
|
はい
|
はい
|
パフォーマンス
|
-
|
同じ設定でModSecurityの4倍以上
|
対応可能な構成
|
NGINX
NGINX Ingress
|
NGINX
NGINX Plus
NGINX Ingress
NGINX Ingress Plus
Kong API Gateway
Envoy (available soon)
|
宣言的構成
|
はい
|
はい
|
一元管理
|
いいえ
|
はい
|
ウェブUI
|
いいえ
|
はい
|
サポート
|
いいえ
|
はい、有料オプションで要相談
|
アンチボット
|
いいえ
|
はい、有料オプションで要相談
|
APIディスカバリ
|
いいえ
|
はい、有料オプションで要相談
|
スキーマの強制
|
いいえ
|
はい、有料オプションで要相談
|
課題を理解する
ModSecurityの仕組みは、ルールベースのWAFとして動作し、悪意のある活動を検出し、防止するために、事前に定義されたルール(またはシグネチャ)に依存することである。この戦略は既知の脅威に対しては効果的であることが証明されているが、ゼロデイ攻撃や洗練された進化する脅威に対しては不十分であるという大きな限界に直面している。
さらに、シグネチャベースのアプローチでは、常にチューニングとアップデートが求められる。新しい脆弱性が発見され、古い脆弱性にパッチが適用されると、変化する状況を反映するためにルールを調整する必要がある。継続的なルール管理には時間がかかり、精度を確保し誤検知を防ぐには高度な専門知識が必要となる。
open-appsecの解決策
open-appsecは、ModSecurityのような従来のシグネチャベース手法の代わりに、機械学習(ML)技術を採用し、WAF設計への変革的なアプローチを実現している。このシフトは、絶えず変化する脅威の状況に適応するダイナミックで進化するセキュリティ・ソリューションの創造を促進する。
open-appsecの機械学習アルゴリズムは、既知の脅威に対する防御を可能にするだけでなく、重要なのは、ゼロデイ攻撃を含む新たな脅威を特定し、それに対応する力も与えてくれる。
ウェブサイトやAPIへのHTTP/Sリクエストを継続的に分析する完全自動の機械学習エンジンを搭載している。入力されたHTTPリクエストは、2つの機械学習モデルに対して評価される:
- 何百万もの悪意や良性リクエストをオフラインでトレーニングした教師ありモデル
- 保護された環境でリアルタイムに構築され、そのトラフィックパターンに特化した教師なしモデル
悪意のあるリクエストや悪質な行為者を自動的に阻止し、ブロックするために、コンテキスト分析には、アプリケーションの構造やユーザーがコンテンツとどのようにやり取りするかが含まれる。この固有の適応性により、手動によるルールチューニングの必要性が減り、セキュリティを向上させながら貴重なリソースを解放することができる。
このエンジンは、シグネチャやソフトウェアのアップデートがなくてもゼロデイを先制的にブロックする能力で何度も証明されている。例として、Log4Shell、Spring4Shell、Text4Shell、Claroty WAF Bypassなど実績を含む。
「セキュリティへの配慮」と「移行の計画」は次回から展開していく予定。
まとめ
2024年3月に予定されているNGINX ModSecurityのサポート終了(EOL)は、ウェブアプリケーションセキュリティの歴史において極めて重要な時点となる。何万もの組織で使用されているModSecurityオープンソースWAFが最終章を迎えるにあたり、open-appsecと名付けられた新しく革新的なオープンソースソリューションがスポットライトを浴びることになった。
open-appsecは、ModSecurityの従来のシグネチャベースの方法とは対照的に、機械学習技術を採用し、WAF設計への変革的なアプローチを実現している。この画期的な転換は、絶えず変化する脅威の状況に適応するダイナミックで進化するセキュリティ・ソリューションの創造を促進する。
open-appsecについて
open-appsecは、OWASP-Top-10やゼロデイ攻撃に対する先制的なWebアプリ&API脅威保護を提供する機械学習を基盤としたオープンソースプロジェクトである。多くのWAFソリューションで一般的な脅威シグネチャの維持管理や例外処理が不要なため、メンテナンスが簡素化できる。