サーバーのWAFとは？レンタルサーバーごとの設定方法

Webサイトのセキュリティ対策で欠かせない設定のひとつに、WAF（Webアプリケーション・ファイヤーウォール）があります。

WAFとは、簡単に言うとWebサイトの脆弱性をついた攻撃を防ぐためのセキュリティ対策です。
その名の通り、対象はWebアプリケーションのため、例えばWordPressなどの更新ツールやメールフォームといったWebサイトで利用するプログラムが対象になります。

通常のファイヤーウォールが、会社や個人のネットワークやPCを不正な攻撃から防御するのに対し、WAFは「Webサイトとそのサーバーを守るもの」と考えると分かりやすいかもしれません。

WAFがあるからといってすべてのリスクを防げるものではありませんが、セキュリティ対策に欠かせない機能になりますので、未設定の場合は是非導入しましょう。

レンタルサーバー会社ごとのWAF機能の有無

特にプラソルで利用することの多いレンタルサーバー会社で、その有無を確認してみましょう。

WAFは多くのレンタルサーバーで普及が進んでおり、無料で標準搭載されているところが多いようです。導入も無料で管理画面から簡単に設定することができます。

ただし、NTTのBizメール&ウェブビジネスでは、プレミアプランのみになりますのでご注意ください。

多くのサーバーで初期状態では未設定になっています。必ず、管理画面から有効化するようにしましょう。

エックスサーバーでは、「サーバーパネル」にログインし、「WAF設定」という画面から設定が可能です。
設定したいドメインを選択してから、WAF機能をONにしましょう。
いくつかの設定項目がありますが、基本的にはすべてONで問題ありません。

さくらインターネットも「サーバーコントロールパネル」からかんたんに設定することができます。
セキュリティ>WAF設定ドメイン>対象ドメインの「設定」をクリックで、有効化してください。

ただし、さくらインターネットのWAF機能は他のサーバーよりも影響が強いようです。
この機能を有効化することで、一部のWordPress等の機能に支障が出るケースもあるので注意が必要です。

例えば、WordPressの管理画面からメールフォームを複製できなかったり、テーマのソースコードの編集ができなくなる場合があります。

WAF導入後に、何かサイトの機能に不具合がでるようなら、一度OFFにして検証してみるとよいでしょう。

ロリポップでも、ユーザー専用ページで設定が可能です。
サイト作成ツール>WAF設定のページから、WAFを設定したいドメインを選択して有効化してください。

さて、有効化したWAF機能は、具体的にどのようなことをしてくれるのでしょうか。
レンタルサーバーによって多少の違いはありますが、概ね以下のようなリスクから防御してくれます。

クロスサイトスクリプティング	クッキーの値を不正に取得、設定しセッションハイジャックを行う CSRF(クロスサイトリクエストフォージェリ)の踏み台とする URL等を偽装し利用者をフィッシングサイトへ誘導する
SQLインジェクション	SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行するデータベース情報の漏洩を試みるデータベースの情報の書き換えや破壊を試みる
ディレクトリトラバーサル	サーバー上のファイルへ不正にアクセスし、ファイルを書き換える
OSコマンドインジェクション	コマンドを実行できるスクリプト言語(PHP,Perl等)を通してコマンドを不正実行させるサーバーに関する重要な情報の盗み見や、踏み台として利用する
その他	メールフォームの不正送信など