従来の WAF 保護は既知の攻撃シグネチャに依存しているため、新種または未知の攻撃を検出できません。ポジティブセキュリティモデルは機械学習を活用して、ご利用の Web サイトの正当なトラフィックパターンを自動的に学習し、動作ベースラインを確立したうえで、手動でのルール作成なしに未知の攻撃をキャッチするカスタム保護ルールを生成します。
仕組み
ポジティブセキュリティモデルは教師なし学習を用いて、ご利用の Web サイトの過去のトラフィックを分析します。各受信リクエストにセキュリティスコアを割り当て、確立されたベースラインから大きく逸脱するリクエストにフラグを立てます。これらのスコアに基づき、WAF はご利用の Web サイトに特化したカスタム保護ルールを生成します。これらのルールは、WAF の他の保護モジュールと連携して、複数のネットワークレイヤーで攻撃から防御します。
このモデルには次の 2 つのモードがあります。
| モード | 動作 | 使用タイミング |
|---|---|---|
| Warn(デフォルト) | 疑わしいリクエストにスコアを付与し、ログに記録しますが、ブロックしません。 | 初期学習期間中に、生成されたルールへの信頼性を高め、誤検知を特定する場合 |
| Block | 生成された保護ルールに一致するリクエストをブロックします。 | 生成されたルールが正当なトラフィックにフラグを立てていないことを確認した後 |
Warn モードから開始してください。セキュリティレポートを確認し、生成されたルールによる誤検知がないことを確認した後でのみ、Block モードに切り替えてください。
前提条件
作業を開始する前に、次の要件を満たしていることを確認してください。
Enterprise エディション以上の WAF インスタンスが実行されていること
ご利用の Web サイトが WAF に追加済みであること(チュートリアル をご参照ください)
ポジティブセキュリティモデルの有効化
WAF コンソール にログインします。
上部ナビゲーションバーで、ご利用の WAF インスタンスがデプロイされているリソースグループおよびリージョンを選択します。中国本土 または 中国本土以外 を選択できます。
左側ナビゲーションウィンドウで、保護設定 > Web サイト保護 を選択します。
Web サイト保護 ページの上部にある ドメイン名の切り替え ドロップダウンリストから、ご利用のドメイン名を選択します。
Web セキュリティ タブで、ポジティブセキュリティモデル セクションを見つけ、次のパラメーターを設定します。
パラメーター 説明 ステータス ポジティブセキュリティモデルを有効または無効にします。 モード WAF が検出した疑わしいリクエストに対して実行する操作です。Warn(デフォルト)に設定すると、リクエストをブロックせずにログに記録します。Block に設定すると、攻撃リクエストをブロックします。 
ステータス トグルを有効にします。WAF はご利用の Web サイトの過去のトラフィックの学習を開始します。初期学習プロセスには約 1 時間かかりますが、トラフィックボリュームによって異なります。学習が完了すると、WAF はサイト内メッセージ、ショートメッセージ、またはメールで通知します。
モデルが Warn モードで実行されている間、セキュリティレポートをモニターします。正当なトラフィックがフラグ付けされていないか確認してください。通常のトラフィックパターンの変動を考慮し、数日間にわたりレポートを確認します。次に進む前に、繰り返し発生する誤検知がないか確認してください。
生成されたルールによる誤検知がないことを確認したら、モード を Block に設定します。
モデルのライフサイクル管理
| シナリオ | 動作 |
|---|---|
| モデルを無効化 | 学習結果が無効になります。再度有効化すると、完全な再学習サイクルがトリガーされます。 |
| WAF インスタンスをアップグレード | より上位のエディションにアップグレードしても、既存の学習結果には影響しません。 |
| トラフィックパターンが大きく変化する | 既存の学習結果が実際のトラフィックベースラインを反映しなくなる可能性があります(例:サービスタイプを変更した場合)。その場合は、ポジティブセキュリティモデルを再設定して、トラフィックの再学習を行ってください。 |
次のステップ
ポジティブセキュリティモデルが Block モードで実行された後は、トラフィックパターンの変化により新たな誤検知が発生していないかを定期的にセキュリティレポートでモニターしてください。