WAF(Web Application Firewall)と言うレンタルサーバーでのサイトセキュリティー設定が最近使われています。
WAFはサイトに組み入れる必要はなく、サイトの外側で悪意のある攻撃からサイトを守ってくれます。
サイト自体には影響がないので、使用したからサイトの表示が重くなるなどの心配はいりません。
ですが、良く知ってから設定しませんと意外な落とし穴がありますので注意が必要です。
WAFとは
WAFは、WordPressなどのサイトシステムの貧弱性を突いて攻撃をしてくるウイルスをサイトの手前で遮断するタイプのセキュリティーソフトです。
特にECサイトなど顧客の個人情報や決済情報を扱うサイトには重要で、簡単に設定できるのでとても便利です。
まだできたばかりのサイトや、サイトの構造上簡単にセキュリティーを設定できない場合などに素早く設定できます。
WAFの設定はとても簡単ですので、実際にどのような感じで設定するのかをエックスサーバーで見てみましょう。
最初にエックスサーバーのサーバーパネルにログインして、セキュリティーのWAF設定をクリックします。
画面が変わって、WAF設定をしたいドメインを選びます。
WAF設定には、6種類のセキュリティー機能がありますのでセキュリティーを強化した部分を選んで、設定完了です。
設定後約1時間で利用可能になります。
どうです。凄く簡単でしょう!
作業は1分程で終わりになります。
と便利なWAFですが、やはり注意が必要なケースがあります。
WAFのセキュリティー設定の詳細
WAFが行うセキュリティー設定は下記のようになっています。
| 設定項目 | 対策内容 |
|---|---|
| XSS対策 | javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。 |
| SQL対策 | SQL構文に該当する文字列が挿入されたアクセスについて検知します。 |
| ファイル対策 | .htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。 |
| メール対策 | to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。 |
| コマンド対策 | kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。 |
| PHP対策 | session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。 |
WAFは、ファイアウォールとは全く反対の動きでセキュリティーを強化しています。
WAFとファイアウォール
ファイアウォールは、IPアドレスや、ポート番号などを調べて悪意のある攻撃が入るのを防御します。
一方、WAFは「シグニチャー」と言う方法を使用して、あるパターンで入ってくる悪意のある攻撃にサイトを見せません。
ファイアウォールは外からの攻撃を防御するのに対して、WAFは、外からの攻撃に内側からサイトを見せない方法を使用してます。
ファイアウォールでは、防ぎきれない攻撃を事前にWAFが遮断してくれますので、両方を上手に使用する事で、セキュリティーが高くなります。
ですが、WAFは「シグニチャー」(攻撃のパターン)を最新にしておかないといけませんので、常に最新の「シグニチャー」に更新する必要があります。
ですので、WAFは万能のセキュリティー対策ではありませんのであくまでもセキュリティーが高くなる程度に考えておきましょう。
WAFとSSL
SSLは、顧客がもって来る個人情報や決済情報などを専門に暗号化して漏洩を防ぐ仕組みです。
WAFは、外からの攻撃をパターンを元に侵入させない役割になります。
WAFの注意点
エックスサーバーのWAF設定の画面に下記のような注意書きがあります。
WAF設定では、有害な可能性のあるアクセスを検知する機能を提供しますが設定により不正アクセスを100%駆除することを保証するものではありません。
あくまでWebアプリケーションの持つ脆弱性に対する不正アクセスへの最低限の予防策となります。 脆弱性に対する不正アクセスへの根本的対応として随時最新バージョンのアプリケーションの利用やセキュリティ対応が必ず必要となりますのでご確認の上ご利用ください。
WAF設定は厳格なルールに従って不正アクセスを判断するため、ご利用のWebアプリケーションの動作についても影響を与える可能性がありますのであらかじめご了承ください。
最後の一文が気になります。
実はここにWAFを使う時の注意が潜んでいます。
WAF設定時の注意点
このサイトはエックスサーバーを利用しています。
私もWAFは便利と思いすぐにサイトに設定をしました。
WorldPressの有料テンプレートを使用しています。
多くの皆さんがWorldPressを使用する時に無料のテンプレートでは物足りないので有料版を使用している方が多いと思います。
私が使用しているテンプレートは「affingee5(wing)」と言われるもので、管理画面に入って設定を保存しようと思うと画面が白くなって全く保存できません。
最初は何が原因なのか分からずあれこれとインストールしなおしたりしていたところ、WAFが原因なのではと気が付きました。
WAFをOFFにしてみると問題なく動作するようになりました。
このように、自分が行う行為に対して、WAFはセキュリティーを発動してサイトを見れなくしてしまう事があります。
サーバー移転を行う時も要注意です。
特にWorldPress簡単移行を利用した時に、サーバー移行元のサイトがWAFを設定していますとダッシュボードにログインできませんとなり途中で中断してしまいます。
ロリポップレンタルサーバーでは、デフォルトでドメインを設定しますとWAFが適応されます。
その事を知らない方が、他のサーバーにWorldPressを移行しようと思って作業を始めますと何度チャレンジしても失敗に終わります。
WAFの知識があれば、疑って外すなどの作業で対応できますが、そもそもWAF自体の存在を知りませんと全く移行ができず、サポートに連絡しても解決しない何て事になってしまいます。
WAFは便利ですが、自分が行うアクションに対しても誤ってセキュリティーを発動してしまいますので本末転倒になってしまいます。
WAFを使用する時は、面倒でも6項目ある設定を1つだけ適用して暫く使っても問題が無い事が確認出来たら、もう一つ適応するなどして設定するのがおすすめです。
自分の作ったサイトが、実はWAFが原因で見て頂きたい方に見えないなんて事があったら元も子もない状況になってしまいます。
ですので、WAFを使用する時は要注意で、あくまでも自己責任で使うようにしてください。
暫くしますと、WAFもバージョンアップして問題が少なくなると思いますので、それまでは使用しない方がいいかもしれません。
ちなみにWAFは設定してから、実際に適応されるのに1時間程かかりますが、設定をOFFにした時も適応が外れるのにやはり1時間程掛りますので大変です。