従来のWAAPアプローチでは、マッチしたシグネチャがリクエストを即座にブロックします。これは速く見えますが、実際のデプロイでは誤検知のリスクを高めます。同じパターンがあるコンテキストでは攻撃を表し、別のコンテキストでは正当なデータ形式を表すことがあります。そのため、すべてのルールを同一の深刻度で扱うことはほとんどの場合、適切なアプローチではありません。
第2の課題は大規模なルールセットの管理の複雑さです。どのルールがどのスコープで実行されているか、どの攻撃カテゴリに属しているか、どのスコアを生成するか、どのサービスで有効かが明確でない場合、運用チームはWAAPを過度に許可的または過度に積極的に実行してしまいます。
現代の攻撃面はもはや従来のSQL injectionとXSSに限定されていません。APIエンドポイント、JSONボディフィールド、GraphQLクエリ、JWT操作、NoSQLクエリ、テンプレートエンジンの脆弱性、デシリアライゼーション、新しいCVEバリアントが同じトラフィックストリームに存在します。WAAPエンジンがこの多様性をスコープとカテゴリで分離できない場合、可視性が低下します。
正しいアプローチはシグネチャをスコアベースの判定モデルで実行することです。各ルールが独自の重みを生成し、サービスのしきい値が蓄積されたスコアを評価し、ルール状態がmonitorまたはブロックとして管理可能であり、カスタムニーズがグローバルまたはプールスコープで上書き可能でなければなりません。
TR7 WAAP Signature & Scoringはこのモデルを提供します。3,000+の本番ルール、32の攻撃カテゴリ、7つの検査スコープをスコア・しきい値・上書きロジックで管理可能にします。
TR7はマルチパターンマッチング、スコアベースのしきい値、2層上書きモデル、エンリッチされた攻撃ルールセットを通じてWAAP判定を適用します。
TR7はマルチ正規表現マッチングアプローチを通じて大規模なルールセットを効率的に実行します。ルールはシャードでコンパイルでき、ルールが更新されたときに変更された部分のみが再構築されます。
各ルールはスコア — 2、4、6、または8 — を生成できます。これらのスコアはサービスごとのしきい値と組み合わされるため、単一の弱いシグナルではなく総合的なリスク像が評価されます。
グローバルカスタムルールとプールカスタムルールは別個のIDネームスペースに保持されます。これにより共有された組織ポリシーと顧客またはサービス固有の例外が競合なく共存できます。
TR7は従来のWebシグネチャを超えて、API、JWT、GraphQL、NoSQL、プロンプトインジェクション、テンプレートインジェクション、CVE固有の攻撃バリアントのエンリッチルールを追加します。この層はモダンなアプリケーション攻撃面全体でカバレッジを広げます。
WAAP Signature & Scoringは広範な本番ルールセットをサービスごとのスコア・スコープ・状態コントロールで管理可能にします。
TR7は本番使用向けに準備された3,000+のWAAPルールを搭載します。コアの攻撃ファミリー — SQL injection、XSS、path traversal、SSRF、XXE、デシリアライゼーション、テンプレートインジェクション、ファイル読み取り、ファイル書き込み、コマンド実行、情報漏洩 — がカバーされます。ルールはフラットなパターンリストとしてだけでなく、カテゴリ・スコア・スコープ・ターゲットメタデータと共に管理されます。この構造は広範な保護と運用コントロールを兼ね備えます。
ルールは32の攻撃カテゴリに整理されています。アクセスコントロールバイパス、認証バイパス、ビジネスロジック悪用、キャッシュポイズニング、CRLFインジェクション、データクエリインジェクション、エンコードエバージョン、ファイルインクルージョン、HTTPスマグリング、オープンリダイレクト、パラメーター汚染、プロンプトインジェクション、プロトタイプ汚染、セッション操作など。この分類によりセキュリティチームはどの攻撃ファミリーが最も頻繁にトリガーされるかを把握できます。ルール管理は数千の生エントリではなく意味のあるリスク見出しで機能します。
TR7ルールはpath、query、header、form、JSON、XML、rawフィールドにまたがって動作できます。各ルールはマッチするスコープを正確に宣言します。JSONボディ向けに書かれたシグネチャはヘッダーに不必要に実行されず、パスフォーカスのルールはボディトラフィックに誤って適用されません。スコープの分離は精度とパフォーマンスの両方に重要です。
各ルールはサービスのしきい値に対して評価される特定のスコアを生成します。低リスクのマッチはログエントリのみを生成し、より高い合計スコアはブロック判定になります。このアプローチは単一のシグネチャマッチを絶対的な評決として扱うのではなく、全体的なリスク動作を考慮します。サービスごとのしきい値調整により、異なるアプリケーションを異なる感度で保護できます。
すべてのルールはenabled、disabled、またはmonitorモードで実行できます。enabledモードではルールはスコアリングとブロック判定に貢献し、disabledモードでは非アクティブで、monitorモードではログのみの出力を生成します。新しいまたは不確かなルールをまずmonitorモードで観察できます。これにより本番サービスのポリシー遷移が大幅に安全になります。
グローバル上書きは組織全体でWAAPポリシーを設定し、プール上書きは特定のサービスまたは顧客向けに異なる動作を定義します。ルールはグローバルでは有効のまま、特定のプールではmonitorモードに置かれたり、スコアが調整されたりすることができます。この構造は集中管理と実際のサービスごとの要件のバランスを取ります。別個のIDネームスペースによりカスタムルールの競合が低減されます。
TR7エンリッチ層は従来のWebシグネチャの上にモダンな攻撃ファミリーを追加します。JWT操作、GraphQLネストDoS、NoSQLクエリインジェクション、プロンプトインジェクション、サプライチェーンパターン、コンテナとサーバーレス面への攻撃が専用のルールグループとして対応されます。この層はレガシーWebフォームだけでなく、モダンなAPIとプラットフォームアーキテクチャを対象とします。WAAP保護は現在のアプリケーション構築方法とより密接に連携します。
TR7はLog4Shell、Spring4Shell、ShellshockなどのCVEフォーカスの攻撃に対して専用のバリアントシグネチャを含めることができます。エンコードされた、難読化された、または構文が変化した形式が個別のパターンで捕捉されます。CVEが公開された場合、カスタムルールの追加とホットリロードにより対応時間が短縮されます。この運用スピードはゼロデイ開示後の第一防衛線として重要です。
各リクエストについてTR7はトリガーされたルールID、スコア、関連部分情報をWAAPペイロード内に記録できます。このデータはインシデントレビュー担当者がどのルールがなぜ発火したかを理解するのに役立ちます。オペレーターは「ブロック」という結果だけでなく、ブロックに至るまでの完全なスコアチェーンを確認できます。この可視性は誤検知分析に重要です。
WAAPイベントはCEFとJSON形式でログに記録できます。ルールID、攻撃カテゴリ、スコア、スコープ、メタデータフィールドがSIEM側で利用可能です。セキュリティチームはWAAPイベントを中央のアラート・相関・レポートシステムに接続できます。このログ形式はコンプライアンスとインシデント対応プロセスをサポートします。
ルールはセキュリティ標準と攻撃分類法に相互参照できます。CWE、CAPEC、MITRE ATT&CK、OWASP Web/API Top 10のリンクにより技術的なWAAPイベントが監査およびリスク言語に接続されます。これにより、SOC、アプリケーションセキュリティ、コンプライアンスチームが同じフレームワーク内で同じイベントについて議論できます。レポートは生のシグネチャIDに限定されません。
TR7はルール更新時にスタック全体を再起動するのではなく、WAAPエンジンの変更された部分のみをリロードできます。これにより新しいシグネチャの追加やカスタムルールの更新が速く、中断が少なくなります。更新されたルールセットはコンテナの再起動なしに効力を発揮できます。この運用スピードは緊急CVE対応時に決定的です。
WAAPシグネチャエンジンは、コンパイルモード、スコア分布、スコープ密度、カスタムルールIDネームスペース、RRD統計、ホットリロード動作と共に運用されます。
ルールコンパイルはall、poly、またはmonoシャードモードで実行できます。シャードモノアプローチでは、ルールが並列でコンパイルできるパーティションに分割されます。このモデルは大規模なルールセットのコンパイル時間と更新影響の低減に役立ちます。
TR7 WAAPルールファクトリーは最大10,000ルールの容量を目標とするモデルで動作します。この上限は本番ルール、エンリッチ層、顧客カスタムルールに対する拡張余裕を提供します。ルールセットが成長するにつれてパフォーマンスとカバレッジのバランスを監視すべきです。
ルールはその重みに応じて異なるスコアを生成します。2と4のスコアは低シグナルの発見を表し、6と8はより強いリスクシグナルを運びます。選択された重要なルールをより高い緊急度で扱うことができます。しきい値判定はこれらの蓄積されたスコアの複合効果によって形成されます。
ルールはpath、query、header、form、JSON、XML、rawフィールドにわたって異なる密度で動作します。queryとformフィールドは従来の攻撃面に対してより高い濃度を持ち、JSONとrawフィールドはモダンなAPIトラフィックに対して重要性が増します。スコープ分布によりチームはどのトラフィック面が最も保護シグナルを生成するかを把握できます。
グローバルカスタムルールとプールカスタムルールは別個のID範囲で生成されます。グローバルネームスペースは組織全体の共有ルールを持ち、プールネームスペースはサービスまたは顧客固有のルールを持ちます。この分離によりルールの競合が低減され、上書き動作の監査が容易になります。
ルールのヒット数をカテゴリごとに集計してチャートで表示できます。これによりどの攻撃ファミリーが最も頻繁に現れるか、どのサービスが最もリスクシグナルを生成するか、ポリシー変更が時間とともに分布にどう影響するかを確認できます。統計によりWAAPは単純なブロッカーから学習可能なセキュリティセンサーへと変わります。
金融APIチームは従来のOWASP準拠のカバレッジをJWT、GraphQL、NoSQL、モダンなAPI攻撃ルールで拡張できます。TR7エンリッチ層は現在のAPI攻撃面に適合したシグネチャスコープを提供します。
銀行チームは特定のルールをまずmonitorモードで観察し、プールごとのサービスしきい値を調整できます。これにより積極的なセキュリティ適用と正当なユーザートラフィックの間でより管理されたバランスを確立できます。
政府ポータルはformおよびJSONフィールドにスコープを絞ったカスタム正規表現ルールを追加できます。機密データパターンや予期しない入力が現れると、スコアとログエントリが調査ワークフローをトリガーします。
SaaSチームはすべてのテナントにグローバルベースラインルールを適用しながら、特定の顧客またはプール向けにカスタム上書きを定義できます。別個のIDネームスペースにより顧客固有のルールが共有ルールセットと競合することはありません。
3,000+の本番ルール、32の攻撃カテゴリ、スコアベースの判定モデル。お客様自身の環境での動作をご案内します。