ブログのセキュリティー対策 その1:当ブログにWAFを入れてみた

 

WAF(ワフと発音している)という言葉は聞いたことがあるかもしれない。
ウェブアプリケーションファイアウォールの略称でソフトウェアでサイトを守る役割をする。
一方ハードウェア的にサイトを守るのはIPS等の機器で防御する。
しかし双方とも防御する対象が異なるので両方が入るとなお良いだろうがいずれも個人では難しい。
レンタルサーバーにこうした仕組みがあると使ってみる価値はありそうだ。

できる事からやってみるブログのセキュリティー対策

たまたま管理人の使っているさくらインターネットのレンタルサーバーにWAFが装備してあり使用できるようになっている。
デフォルトではオフになっているが管理画面で簡単にオンにできる。

機能としては次のように説明されている。

シグネチャ検査・セッション管理などの検査を実施しており、攻撃にあたると判断したアクセスを遮断いたします。
遮断した接続を自動で復旧させることはできません。
ウイルスは検知できません。
海外等、特定するアクセスのみを遮断することはできません。

ただし注意書きがあって次のようになっている。

  1. WAF機能を 「利用する」 に設定したドメインは、ドメイン設定で削除できません。
  2. ドメインを削除する場合、「利用しない」に変更してから削除してください。
  3. 本機能を有効にすることにより、ソフトウェアの動作やインストールに影響が出る場合があります。
  4. mod_rewriteを利用すると挙動が変わる恐れがあります。
  5. CGI、PHPプログラムの動作に影響が出る恐れがあります。
  6. CGI、PHPプログラムのインストール時に影響が出る恐れがあるため、その場合はインストール前にWAFを無効にしてください。
  7. 監視対象となるプロトコルは、HTTPとHTTPS(共有SSL、SNI SSLが対象。ただしCookieの引き継ぎは不可)です。
  8. 独自SSLを設定したドメインへのHTTPSリクエストについては対象外となります。

管理人が気になるのは7個目の項目の「Cookieの引継ぎが不可」という項目が気になる。
勝手に解釈するとHTTPとHTTPSの間でCookieが引き継がれないという事だろう。
管理人のサイトはHTTPでの通信だから今まで通りCookieは使用できると解釈した。

WAFは「SiteGuard」だ

管理人が今まで使用したWAFは「SiteShell」(NEC製)やシマンテックのクラウド型WAFは利用した事がある。
いずれも業務サーバー構築時に使用したものだがそれなりに効果はありよくあるSQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ(CSRF)のような攻撃には効果を発揮する。

今回は自分で入れた訳ではないがレンタルサーバーの1機能として「SiteGuard」(JP-Secure製)を使用している。
この「SiteGuard」というWAFも結構有名なWAFで良く名前を聞くのだ。

サイトガードのロゴ

WAFを入れてみてしばらく様子を見てみるつもり

WAFを入れて心配なのが次のような事だ。

  • レスポンスが遅くなる
  • リンクがうまく動作しない
  • クッキーの受け渡しがうまく行かない
  • 画像が間引かれてしまってきちゃなくなる
  • アクセス過多で通信が遮断されてしまう
  • WordPressがうまく動作しない

等々がある。

事前情報ではWordPress管理画面でWAFに引っかかるとかという事もあるようだ。
しかしWordPress管理画面へのアクセスルートを別に設定できてWAFをパスできるのであれば問題無いが実質不可能なのだ。
だからWordPress管理画面へのアクセスもWAFを通すのが最適だと考える。

フロントと管理画面の両方を軽くチェックしてみたが特に問題は無いようだ。
何か問題があればサーバー管理画面で動作を止める事もできるので外せば良い。

問題が無いようであればもう一つのサイトにも適用してみようと思う。
こうした仕組みがレンタルサーバーに装備されているのはうれしい事だ。
さくらインターネットのレンタルサーバーは結構おすすめかもしれない。

今回はこのへんで
では

関連カテゴリー

関連するカテゴリーはこちら、是非チェックしてみて下さい。

おすすめコンテンツ

気に入っていただけたら是非シェアお願いします!

  • このエントリーをはてなブックマークに追加
  • Pocket

コメントはお気軽にどうぞ

メールアドレスは公開されません。
*が付いている欄は必須項目です。

内容に問題なければ、下記の「OK!」ボタンを押してください。