Webアプリケーションファイアーウォール(WAF)
Movable Type クラウド版で提供する「Webアプリケーションファイアーウォール(WAF)」は、Webアプリケーションに対するサイバー攻撃を検知・防御するためのセキュリティ機能です。
SQLインジェクションやクロスサイトスクリプティング(XSS)など、一般的なファイアウォールでは防ぐことが難しいWebアプリケーション層への攻撃を遮断し、Webサイトの安全性を高めます。
Movable Type WAF 概要
Movable Type クラウド版で提供する「Webアプリケーションファイアーウォール(WAF)」では、実績のあるオープンソースのWAFエンジン「ModSecurity」と、広く利用されている「OWASP ModSecurity Core Rule Set (CRS)」をベースとしたルールセットを採用しています。
HTTP/HTTPSトラフィックを監視します。定義されたルールに基づいて悪意のあるリクエストを検知、遮断し、脆弱性を悪用した攻撃からWebサイトを保護します。
リクエスト遮断した場合は403エラーを返します。独自のエラーページの作成はこちらをご確認ください。
WAFの防御ルールは定期的に自動更新されるため、新たな脅威にも迅速に対応可能です。
Movable Type クラウド版 WAFのメリット
一般的なクラウド型WAFサービスと比較して、本オプションには以下のメリットがあります。
- ネットワーク設定不要: DNSの変更やSSL証明書の設定など、専門的なネットワーク作業は一切不要です。管理画面からの操作のみで、すぐに利用を開始できます。
- 管理画面に統合: WAFの設定は Movable Typeのダッシュボード内で有効/無効が切り替えられます。専用の管理ツールを覚える必要はありません。
- CMSに最適化: Movable Typeの利用を前提とした環境で提供されるため、スムーズな導入が可能です。
設定と運用(使い方)
設定画面で、WAF機能の有効・無効を切り替えることができます。初期設定は無効です。
Movable Type クラウド版のダッシュボードにログインし、左側メニューの「クラウドサービス」配下にある「セキュリティ」をクリックします。
「WAFを有効にする」にチェックを入れた後、『設定を保存』をクリックします。
WAFが有効の状態では、ルールに基づく検知と遮断が行われます。無効の状態では、WAFによる検査は一切行われません。
運用上の注意:
WAFを有効にした直後は、Webサイトの表示や管理画面の操作に問題がないか、十分に確認してください。
ご利用にあたっての制約・注意事項
本オプションのご利用にあたっては、以下の性質を十分にご理解いただいた上で運用してください。
Movable Type の管理画面における正規の操作であっても、一部のリクエストが WAF により攻撃と誤認識される場合があります(誤検知/偽陽性)
- 対象プロトコル: HTTP/HTTPS通信のみが対象です。FTPやSSHなどの通信は対象外です。
- DDoS攻撃への対応: Webアプリケーション層への攻撃対策を目的としており、ネットワーク層での大規模なDDoS攻撃(サービス拒否攻撃)を防ぐためのものではありません。
- パフォーマンスへの影響: すべてのHTTP/HTTPSリクエストを検査するため、Webサイトの応答速度にわずかながら影響を与える場合があります。通常は軽微ですが、アクセス集中時などは影響が大きくなる可能性があります。
- テンプレート編集画面で、テンプレート内容に
<htmlや<metaなどの文字列が含まれている状態で保存した場合、HTTP レスポンス分割攻撃(HTTP Response Splitting Attack)に関連するルール(REQUEST-921-PROTOCOL-ATTACK など)によりブロックされることがあります。 - 「システム > ツール > 再起動」において再起動ボタンをクリックした際、リクエストパラメータ内に含まれる
rebootという文字列が、リモートコマンドインジェクション(Remote Command Execution)に関するルール(REQUEST-932-APPLICATION-ATTACK-RCE など)により検知され、ブロックされることがあります。
