【セキュリティ】WAFをさくらのレンタルサーバーで利用する

web_aplication_firewall

WAF(Web Aplication Firewall)とは

ひとことで言うと、WEBサイトのセキュリティを向上させる仕組みです。通信内容を読み取り、不正にDBを操作する動きや、不正にスクリプトを動かすコードを検知した場合はその通信を取りやめさせる仕組みです。

WAF(Web Aplication Firewall)の概要

WEBには様々なレベルでのリスクがあり、その一つを解決するのがWAFというものです。ですから、WAFは「これだけ導入すればOK」というツールではありません。WAFは、WordPressのセキュリティで話題になる、

  • クロスサイトスクリプティング
    (スクリプトを不正に動作させること)
  • SQLインジェクション
    (データベースを不正に操作すること)

といったリスクに対応します。

一方で、たとえば

  • Dos/DDos攻撃
  • PHPやプラグイン依存の脆弱性
  • wp-login.phpからの認証突破

といったリスクにはWAFは対応しないので、それは別途対応が必要です。(別の記事で対応策をご説明する予定です。)

WAF(Web Aplication Firewall)の仕組み

不正アクセスのパターンを検知してIPレベルでアクセス制限をかけるのがIDS/ISPという仕組みですが、これでは不正アクセスのパターン外の攻撃は対応できません。(その対応できない攻撃の代表格が、SQLインジェクションやクロスサイトスクリプティングになります。)

そこで、「アクセスログレベル」のパターンではなく、http通信などの「通信内容レベル」で不正を検知、対応するのがWAFです。

不正にDBを操作する動きや、不正にスクリプトを動かす通信を検知した場合は、その通信を取りやめさせることができ、SQLインジェクションやクロスサイトスクリプティングを高精度で防ぐことが可能になるのです。

WAFの品質は、「検出できる不正通信パターンの精度の高さ」とほぼイコールになると思いますが、その観点ではJP-Secure社のWAFは申し分ないようで、さくらインターネットのレンタルサーバーでも採用されています。

WAF(Web Aplication Firewall)をさくらで利用する

さくらインターネットで「さくらのレンタルサーバー」を使っている場合であれば、かなり手軽に利用できます。VPSなどで個別に契約すると数十万円単位でお金がかかることもあるので、ありがたいサービスです。

使い方は以下。サーバー管理画面にログインし、まずサイドバーの「Webアプリケーションファイアウォール」をクリックします。

click_waf_of_sakura_controll_panel

コンパネのサイドバーにWAFがあります

 次に、WAFを適用したいドメインを選択します。デフォルトではラジオボタンで「利用しない」になっているので、「利用する」に切り替えれば、これで終了です。

select_use_waf_in_objective_domain

ラジオボタンを切り替えるだけ

<pこうしてみると、いとも簡単に設定が終わるようですが、WordPressの状態によっては、接続が403エラーになってしまいサイト閲覧できなくなることがあるようです。

万一403エラーが発生した場合はすぐにWAFを切り、WAFを導入してもエラーが起きないように改修してからWAFを導入するようにしましょう。

ビジネスで利用しているサイトだからセキュリティ対策をキッチリ行いたいが、設定に不安がある・・・といった場合は、プロや識者に依頼するのも手です。

まとめ

  • WordPressには様々なセキュリティリスクがあり、様々なレベルでの対応が必要
  • WAF(Web Aplication Firewall)は中でも重要なセキュリティ対策。
  • さくらのレンタルサーバーであれば簡単に設定可能。
  • ただ403エラーのリスクもあるので慎重に。不安だったらプロに。

WordPressのセキュリティ対策の記事は今後も追加予定です。