レンタルサーバーのWAFとは?レンタルサーバーごとの設定方法

ウェブサイトのセキュリティ対策に、外せない設定の一つとして、
WAF(読み方:ワフ)、Web Application Firewall(ウェブアプリケーションファイアウォール)
がある。

WAFとは、簡単に言うとWebサイトの脆弱性をついた攻撃を防ぐためのセキュリティ対策だ。

その名の通り、対象はWebアプリケーションのため、
例えばWordPressなどの更新ツールやメールフォームといった
Webサイトで利用するプログラムが保護対象になる。

通常のファイヤーウォールが、会社や個人のネットワークやPCを不正な攻撃から防御するのに対し、
WAFは「Webサイトとそのサーバーを守るもの」と考えると分かりやすいかもしれません。

WAFがあるからといってすべてのリスクを防げるものではありませんが、
セキュリティ対策に欠かせない機能になりますので、未設定の場合は是非導入しましょう。

目次

レンタルサーバー会社ごとのWAF機能の有無

馴染み深いレンタルサーバー会社でWAFの有無を調べてみた。

サーバー会社名WAF機能の有無備考
エックスサーバー各ドメイン・対策内容ごとに設定可能
さくらインターネット各ドメインごとに設定可能
3ヶ月分の検知ログ機能あり
ロリポップ各ドメインごとに設定可能
7日分の検知ログ機能あり
NTT Bizメール&ウェブビジネス「プレミア」プランのみ
ConohaWing各ドメインごとに設定可能
3ヶ月分の検知ログ機能あり
ラッコサーバー各ドメインごとに設定可能
3ヶ月分の検知ログ機能あり
MixHost(ミックスホスト)各ドメインごとに設定可能
3ヶ月分の検知ログ機能あり

WAFは多くのレンタルサーバーで普及が進んでおり、無料で標準搭載されているところが多いようです。導入も無料で管理画面から簡単に設定することができます。

ただし、NTTのBizメール&ウェブビジネスでは、プレミアプランのみになりますのでご注意ください。

取り扱い傾向としてはメジャーなコントロールパネル
システム「Cpanelを使っている会社はほぼ標準で導入されている」

各レンタルサーバーで、WAFを設定を調整(有効化/無効化)してみよう

多くのサーバーで初期状態では初期設定がバラバラになっています。
必ず、管理画面から有効化するようにしましょう。

最近の傾向では、初期で有効化されているケースが多いです。

エックスサーバー

エックスサーバーのWAF設定

エックスサーバーでは、「サーバーパネル」にログインし、「WAF設定」という画面から設定が可能です。
設定したいドメインを選択してから、WAF機能をONにしましょう。
いくつかの設定項目がありますが、基本的にはすべてONで問題ありません。

さくらインターネット

さくらインターネットのWAF設定

さくらインターネットも「サーバーコントロールパネル」からかんたんに設定することができます。
セキュリティ>WAF設定ドメイン>対象ドメインの「設定」をクリックで、有効化してください。

ただし、さくらインターネットのWAF機能は他のサーバーよりも影響が強いようです。
この機能を有効化することで、一部のWordPress等の機能に支障が出るケースもあるので注意が必要です。

例えば、WordPressの管理画面からメールフォームを複製できなかったり、テーマのソースコードの編集ができなくなる場合があります。

WAF導入後に、何かサイトの機能に不具合がでるようなら、一度OFFにして検証してみるとよいでしょう。

ロリポップ

ロリポップのWAF設定

ロリポップでも、ユーザー専用ページで設定が可能です。
サイト作成ツール>WAF設定のページから、WAFを設定したいドメインを選択して有効化してください。

Conoha Wing

Conoha WingのWAF設定

Conoha Wingでもコントロールパネル上で設定が可能です。
コントロールパネル>サイト管理>サイトセキュリティ>WAFから利用設定のON/OFFを
切り替えてください。

詳しい機能や使い方は以下の記事で解説します。

Cpnael系レンタルサーバー(ラッコ、mixhost・・・)

Cpnael系レンタルサーバーのWAF設定

Cpnael系レンタルサーバー(ラッコサーバ、mixhostなど)では、サーバ管理パネル
「Cpnael:略称Cパネ」上で行うことができます。

Cpnael>セキュリティ>ModSecurityからドメイン毎のON/OFFを切り替えることができます。

WAF機能の具体的な対策内容

さて、有効化したWAF機能は、具体的にどのようなことをしてくれるのでしょうか。
レンタルサーバーによって多少の違いはありますが、概ね以下のようなリスクから防御してくれます。

クロスサイトスクリプティングクッキーの値を不正に取得、設定しセッションハイジャックを行う
CSRF(クロスサイトリクエストフォージェリ)の踏み台とする
URL等を偽装し利用者をフィッシングサイトへ誘導する
SQLインジェクションSQL構文を利用した不正な文字列を付加し意図しないSQL文を発行する
データベース情報の漏洩を試みる
データベースの情報の書き換えや破壊を試みる
ディレクトリトラバーサルサーバー上のファイルへ不正にアクセスし、ファイルを書き換える
OSコマンドインジェクションコマンドを実行できるスクリプト言語(PHP,Perl等)を通してコマンドを不正実行させる
サーバーに関する重要な情報の盗み見や、踏み台として利用する
その他メールフォームの不正送信など
引用元:エックスサーバー WAF設定SiteGuard ServerEdition

ウェブサーバーの脆弱性はこれだけにとどまりません。
より詳しいウェブの脆弱性はこちらで解説しています。

レンタルサーバーのWAF機能まとめ

  • 多くのレンタルサーバーで、WAF機能は無料提供されている
  • デフォルトでは設定されていることが多いので、適宜管理画面から切り替えよう
  • WAF機能は、様々なセキュリティリスクからWebサイトを守ってくれる

WAF機能さえあれば、何でも安全に利用できるというわけではありませんが、セキュリティ対策として最低限必要な機能が実装されています。無料で簡単に設定できるのも嬉しいですね。

まだ設定していないという方は、ぜひ利用してみてください。

ウェブサイトセキュリティ関係の関連記事

ウェブサイトセキュリティに置いて以下の記事も読んでおきましょう。

レンタルサーバーのWAFとは?レンタルサーバーごとの設定方法

この記事が気に入ったら
いいね または フォローしてね!

参考になったらシェア!

この記事を書いた人

爲國 勇芽(魔理沙っち)のアバター 爲國 勇芽(魔理沙っち) 自称:精肉社畜個人投資家自作erブロガーゲーマー

埼玉県在住のスーパーのフリーターをしながらAdsense広告によるマネタイズについて研究しています。

ITの様々なニュースや小技の発信とネット回線を紹介するメディアを運営しながら広告マネタイズのテクニックやアドテクにまつわる情報を発信しています。