[新製品・サービス]

2026年2月24日(火)日川 佳三、河原 潤（IT Leaders編集部）

リスト

　KDDI総合研究所が開発した「KWAF」は、システムのアクセスログから自動生成したホワイトリスト（正常なアクセスの定義リスト）を用いて、ゼロデイ攻撃をはじめとする未知のサイバー攻撃を防御するセキュリティ技術である。

　サイバー攻撃の手法が高度化する中、事前に検知ルールを設定する従来の対策（シグネチャベースなどのブラックリスト方式）では、未知の攻撃を防ぐことが難しくなっている。一方、正常な通信のみを許可するホワイトリスト方式は未知の攻撃に有効であるものの、KDDI総合研究所は、「防御対象のシステムごとに正確なリストを手作業で作成しなければならない」「システムの変更に合わせてリストを随時更新する必要がある」といった運用負荷の高さの課題を指摘する。

　これに対し、今回開発したKWAFは、以下の2つのアプローチでホワイトリスト方式の運用課題を解決し、実用性の高い防御メカニズムを実現している（図1）。

図1：WAFのホワイトリストをアクセスログから自動生成する技術「KWAF」の概要（出典：KDDI総合研究所）
拡大画像表示

アクセスログからの高精度なホワイトリスト自動生成
　防御対象となるシステムのログから逆算して、システムがどのようなアクセスを受け付けるかを推定する。この推定結果を元にホワイトリストを自動生成して正常なアクセスを判定し、それ以外のアクセスを未知の攻撃として検知・遮断する。

生成AIによるホワイトリストの自動再構成
　生成AIを活用し、KWAFによる攻撃の検知状況をリアルタイムに分析する。その分析結果を元にKWAFのホワイトリストを自動で再構成するため、システムの仕様が変更された場合でも、運用者の手を煩わせることなく誤検知を抑えながら攻撃を捉え続けることができる。

　KDDI総合研究所が行ったWebトラフィックによる実証では、異常なアクセス（攻撃）に対する検知ルールを一切設定せずに、約2億件のアクセスを評価した。その結果、1,000種類以上の攻撃を発見しつつ、正規のアクセスを誤って遮断してしまう誤検知率（False Positive）を0.1%以下に抑えることに成功したという。

　また、同社は、Webサーバーなどのセキュリティ対策を検討している企業向けに、自社システムのログを入力するだけでKWAFが検知する攻撃のレポートを自動作成するアプリケーションも併せて開発した。これにより、企業はKWAFを導入した際の防御効果を事前に簡単に確認できる。

　KDDI総合研究所はすでにKWAFの技術検証を完了しており、今後は2026年度内の商用化を目指し、具体的な機能や提供形式の検討を進めていく方針である。