サーバーのWAFとは?レンタルサーバーごとの設定方法

保守・セキュリティ対策

Webサイトのセキュリティ対策で欠かせない設定のひとつに、WAF(Webアプリケーション・ファイヤーウォール)があります。

WAFとは、簡単に言うとWebサイトの脆弱性をついた攻撃を防ぐためのセキュリティ対策です。
その名の通り、対象はWebアプリケーションのため、例えばWordPressなどの更新ツールやメールフォームといったWebサイトで利用するプログラムが対象になります。

通常のファイヤーウォールが、会社や個人のネットワークやPCを不正な攻撃から防御するのに対し、WAFは「Webサイトとそのサーバーを守るもの」と考えると分かりやすいかもしれません。

WAFがあるからといってすべてのリスクを防げるものではありませんが、セキュリティ対策に欠かせない機能になりますので、未設定の場合は是非導入しましょう。

レンタルサーバー会社ごとのWAF機能の有無

特にプラソルで利用することの多いレンタルサーバー会社で、その有無を確認してみましょう。

サーバー会社名 WAF機能の有無 備考
エックスサーバー 各ドメイン・対策内容ごとに設定可能
さくらインターネット 各ドメインごとに設定可能
3ヶ月分の検知ログ機能あり
ロリポップ 各ドメインごとに設定可能
7日分の検知ログ機能あり
NTT Bizメール&ウェブビジネス 「プレミア」プランのみ

WAFは多くのレンタルサーバーで普及が進んでおり、無料で標準搭載されているところが多いようです。導入も無料で管理画面から簡単に設定することができます。

ただし、NTTのBizメール&ウェブビジネスでは、プレミアプランのみになりますのでご注意ください。

各レンタルサーバーで、WAFを有効化してみよう

多くのサーバーで初期状態では未設定になっています。必ず、管理画面から有効化するようにしましょう。

エックスサーバー

エックスサーバーでは、「サーバーパネル」にログインし、「WAF設定」という画面から設定が可能です。
設定したいドメインを選択してから、WAF機能をONにしましょう。
いくつかの設定項目がありますが、基本的にはすべてONで問題ありません。

さくらインターネット

さくらインターネットも「サーバーコントロールパネル」からかんたんに設定することができます。
セキュリティ>WAF設定ドメイン>対象ドメインの「設定」をクリックで、有効化してください。

ただし、さくらインターネットのWAF機能は他のサーバーよりも影響が強いようです。
この機能を有効化することで、一部のWordPress等の機能に支障が出るケースもあるので注意が必要です。

例えば、WordPressの管理画面からメールフォームを複製できなかったり、テーマのソースコードの編集ができなくなる場合があります。

WAF導入後に、何かサイトの機能に不具合がでるようなら、一度OFFにして検証してみるとよいでしょう。

ロリポップ

ロリポップでも、ユーザー専用ページで設定が可能です。
サイト作成ツール>WAF設定のページから、WAFを設定したいドメインを選択して有効化してください。

WAF機能の具体的な対策内容

さて、有効化したWAF機能は、具体的にどのようなことをしてくれるのでしょうか。
レンタルサーバーによって多少の違いはありますが、概ね以下のようなリスクから防御してくれます。

クロスサイトスクリプティング クッキーの値を不正に取得、設定しセッションハイジャックを行う
CSRF(クロスサイトリクエストフォージェリ)の踏み台とする
URL等を偽装し利用者をフィッシングサイトへ誘導する
SQLインジェクション SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行する
データベース情報の漏洩を試みる
データベースの情報の書き換えや破壊を試みる
ディレクトリトラバーサル サーバー上のファイルへ不正にアクセスし、ファイルを書き換える
OSコマンドインジェクション コマンドを実行できるスクリプト言語(PHP,Perl等)を通してコマンドを不正実行させる
サーバーに関する重要な情報の盗み見や、踏み台として利用する
その他 メールフォームの不正送信など

引用元:エックスサーバー WAF設定SiteGuard ServerEdition

レンタルサーバーのWAF機能まとめ

  • 多くのレンタルサーバーで、WAF機能は無料提供されている
  • デフォルトでは設定されていないので、管理画面から有効化しよう
  • WAF機能は、様々なセキュリティリスクからWebサイトを守ってくれる

WAF機能さえあれば、何でも安全に利用できるというわけではありませんが、セキュリティ対策として最低限必要な機能が実装されています。無料で簡単に設定できるのも嬉しいですね。

まだ設定していないという方は、ぜひ利用してみてください。

 

セキュリティ関連のおすすめ記事

WordPressやプラグインをアップデートしてセキュリティを強化しよう
WordPressの本体やプラグインを、ずっと作った当時のままにしている…という企業さまは結構多いのではないでしょうか。 しかし、制作当初のバージョンのまま利用し続けていると、セキュリティホールや脆弱性が新たに見つかってもそのままになってし
WordPressプラグイン「SiteGuard」でセキュリティ対策をしよう
前回の記事で、WordPressのセキュリティ対策についてお話しましたが、今回はプラグインを使って手軽にセキュリティ対策ができる方法についてご紹介します。 その名も「SiteGuard」というプラグインです。 このプラグインを利用することで
Webサイトのセキュリティ対策(WordPress編)
最近Webサイトのセキュリティ対策について、ご相談をいただく機会が増えてきました。 特にWordPressで作られたサイトでは、以下のような事例があります。 ・気づかないうちに英語で書かれた謎の記事が大量に投稿されている ・迷惑メールが大量

 

]]>