レンタルサーバー選びを検討している際に、「WAF(ワフ)」という言葉を聞いたことがある方も多いのではないでしょうか。
WAFとはWeb Application FireWall(ウェブアプリケーションファイアウォール)の略で、サーバーのセキュリティ機能の一つです。WordPressをはじめとしたWebアプリケーションに対するサイバー攻撃を検知・防御してくれます。
今回は、WAF搭載サーバーのメリットやデメリットや、WAF搭載されているレンタルサーバーについてご紹介します。
WAFとは。WAFの意味とWAF利用するメリット
WAF(Web Application Firewall)は、WordPressや各種CMS・動的WebサイトなどのWebアプリケーションへの不正なサイバー攻撃を防ぐために開発されたセキュリティツールのことです。
動的Webサイトを構成しているプログラムの脆弱性を狙った攻撃を検知し、防御することができます。
最近ではセキュリティを意識してWAF機能の搭載されたレンタルサーバーも増えてきており、これからレンタルサーバーを契約するのであれば、WAF搭載のサーバーを選ぶ方がおすすめです。
(例)有名なWAFの製品SiteGuardシリーズ
なお、WAFは具体的な製品名ではなくWebアプリケーションファイアウォール機能を持つソフトウェアの総称です。一口にWAFと言っても、レンタルサーバーサービス側で利用されている製品や設定はそれぞれ異なります。
下記はJP Secure社の有名なWAFのソフトウェアSiteGuardシリーズです。
導入事例を見ると、GMOペパボやさくらインターネット、CPI、カゴヤ・ジャパン、お名前.comなど、国内有名レンタルサーバーの多くで採用されています。
WAF搭載されているサーバーを利用するメリット
WAF搭載されているサーバーを利用するメリットは、なんといっても「Webサイトのセキュリティが向上する」です。
WAF非搭載のサーバーに比べて、ある程度はWebサイトの改ざんや不正利用を防ぐことが期待できます。
特に、WordPressはシェアの多さから、サイバー攻撃を受けやすいと言う側面もあり、プラグインやWordPress本体のバージョンが古いと脆弱性を突かれてハッキングを受けている例がいくつもあります。
会員機能やEC機能を持ったサイトを運用する場合はもちろんのこと、通常のホームページやブログ運用においてはWAFの機能を有効化しておいた方が望ましいです。
WAF搭載されているサーバーを利用するデメリット・注意点
WAF搭載されているサーバーを利用するデメリットですが、WordPress一般利用者視点でのデメリットは「WAF誤検知でエラーが起きることがある(手間が増大)」および「セキュリティは向上するが完璧ではない(あくまでセキュリティ向上の一助)」です。
- WAF誤検知でエラーが起きることがある(手間が増大)
- セキュリティは向上するが完璧ではない(あくまでセキュリティ向上の一助)
WAF誤検知でエラーが起きることがある(手間が増大)
一つ目は、WAF搭載されているレンタルサーバーでWordPressを利用している場合、(攻撃でない)通常の管理操作でもWAF誤検知でエラーが起きることがしばしばあります。
誤検知した際は、一時的にWAFを無効化したり、誤検知したプログラムに対して除外設定をする必要があり、初心者には難しい点や手間が増大するデメリットがあります。
■ロリポップの403エラー画面
■ConoHa WING 閲覧できません(Forbidden Access)のエラー
誤検知のパターンは限定できませんが、WordPress管理画面からHTML・CSS・JavaScriptなどのコードを入力したり、プラグイン設定時にしばしば403エラーが発生します。エラーが発生した場合は一時的に無効化したり除外設定をする必要があります。
(参考)【WAF無効/除外設定】ロリポップで403or保存できないエラーが出たとき
(参考)【閲覧できません(Forbidden Access)】ConoHa WINGエラー時の解決方法
セキュリティは向上するが完璧ではない(あくまでセキュリティ向上の一助)
二つ目は、セキュリティは向上するが完璧ではない(あくまでセキュリティ向上の一助)という点です。
WAFを入れていても攻撃を100%防ぐことはできず、サイトの改ざんやデータの流出が起きるリスクはゼロではありません。
アプリケーションのセキュリティアップデートや複雑なパスワード管理、SSL化の導入などそのほかのセキュリティ対策とあわせて効果を発揮するものです。
WAF搭載サーバーであれ非搭載サーバーであれセキュリティ対策は変わらず意識する必要があります。
逆に言うと、常にWebアプリケーションを最新の状態にしていたり、複雑なパスワードやアクセス権設定など保守管理をしっかりしていればWAF機能がなくても改ざんされる可能性はかなり低く抑えられること可能です。
WordPressをはじめとした代表的なハッキング事例
(参考)【WordPressハッキング事例】ウイルス・マルウェア感染
自サイトを踏み台にされたメール送信
一つ目の例が、サイトを踏み台にした不特定多数への不正なメール送信です。
サーバーに不正なプラグインを仕込まれたり、お問い合わせフォームの脆弱性を利用して、自分のサイト経由で知らない人に大量にメール送信されてしまいます。
スパムサイトへのリダイレクト
二つ目が、スパムサイトへのリダイレクトされた例です。
本来アクセスしたかったはずのサイトにアクセスすると、下記のような知らないサイトに移動させられてしまいます。
このスパムサイトへのリダイレクトも、毎回必ず起きるというわけでもなく、何回(何十回)かに一度だけ、スパムサイトへのリダイレクトを行うといったわかりずらいケースがありますので注意しましょう。
■詐欺サイトへのリダイレクト(転送)
不正ページの作成
三つ目が不正ページの作成・改ざんです。
以下は、不正ページが作成された例です。本来このようなページはないはずですが、知らない間にハッカーによってページを作成・改ざんさせられてしまいました。
上記のようなページがGoogleにインデックスされると、自分のサイト内で詐欺ページが作られてしまっていたり、SEOにも大幅な悪影響を与える場合もあるので早い目に対処しておく必要があります。
(例)レンタルサーバーから不正アクセス検知・アクセス制限されることも
WordPressがハッキングされた場合、レンタルサーバー会社のサポートから不正アクセスの検知やアクセス制限措置の連絡が来ることがあります。
下記はエックスサーバーで、ハッキングされたサイトに対してサポートデスクから通知された文言の例です。
【Xserver】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について
平素は当サービスをご利用いただき誠にありがとうございます。
Xserver カスタマーサポートでございます。サーバーID :XXXX
ドメイン名 :XXXXX
お問合せ番号:XXXXお客様の上記サーバーアカウントにおいて、
サーバー用メール送信ソフトウェア(Sendmail)を用いた
日本国外のメールアドレスに対する大量のメール送信処理を確認いたしました。当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。▼サポートにて実施した制限内容
-------------------------------------------------------
・XXXXドメインにおいて緊急的なWebアクセス制限を実施
※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
-------------------------------------------------------さらなるスパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』による被害の拡大を防ぐため、上記対応を実施しましたことを
何卒ご了承くださいますようお願いいたします。不正アクセスの対策と制限の解除手順につきましては、
下記をご参照くださいますようお願いいたします。
WAFとIPS/IDS、Firewallの違い
ここからは、WAFとともによく実装されているセキュリティ機能(IPS/IDS、FireWall)との違いについて説明していきます。
| WAF | IPS/IDS | FireWall | |
|---|---|---|---|
| 主な役割 | アプリケーションレベルでの検知・防御 (例)WordPress、CMS、各種アプリの脆弱性を狙った攻撃の検知と防御 |
サーバー/ミドルウェアレベルでの検知・防御 (例)サーバーOSやApacheなどのミドルウェアの脆弱性を狙った攻撃の検知と防御 |
ネットワーク/ポートレベルでの検知・防御 (例) IPアドレスやポートなど制御と防御 |
WAF(Web Application Firewall)は、Webアプリケーションへの不正なアクセスを検知し防御することができるセキュリティ対策ツールであることを説明しました。
一方、IPS(Intrusion Prevention System:不正侵入防御システム)やIDS(Intrusion Detection System:不正侵入検知システム)はより土台の部分(サーバーOSやWebサーバーソフトなどのミドルウェア、ネットワーク)への不正なアクセスを検知し、防御することができます。
またFireWallはIPSよりもさらに土台部分(IPアドレスやポートレベル)で検知・防御をする役割のセキュリティツールです。
IPSとIDSの違い(防御までするか検知だけか)
IPSの他にIDS(Intrusion Detection System:不正侵入検知システム)というセキュリティ機能も存在します。
IDS(不正侵入検知システム)は、その名前の通りネットワーク上で発生する不正なアクセスや攻撃を検知するセキュリティ対策ツールです。
WAF搭載されているサーバー一覧
ここからは、WAF搭載されているサーバー一覧をご紹介します。
| サーバー名 | ストレージタイプ | 公式サイト |
|---|---|---|
| エックスサーバー | WAF搭載 | 公式サイト |
| ConoHaWING | WAF搭載 | 公式サイト |
| ロリポップ! | WAF搭載 | 公式サイト |
| さくらのレンタルサーバ | WAF搭載 | 公式サイト |
| mixhost | WAF搭載 | 公式サイト |
| エックスサーバービジネス | WAF搭載 | 公式サイト |
| シンレンタルサーバー | WAF搭載 | 公式サイト |
| CPIレンタルサーバー | WAF搭載 | 公式サイト |
| カゴヤ・ジャパン共用サーバー | WAF搭載 | 公式サイト |
| iCLUSTA+ | WAF非搭載 | 公式サイト  |
| ヘテムル | WAF搭載 | 公式サイト |
| お名前.comレンタルサーバー | WAF搭載 | 公式サイト |
| カラフルボックス | WAF搭載 | 公式サイト |
| ラッコサーバー | WAF搭載 | 公式サイト |
| コアサーバー(V2プラン) | WAF搭載 | 公式サイト |
| コアサーバー(V1プラン) | WAF非搭載 | 公式サイト |
| スターサーバー | WAF非搭載 | 公式サイト |
| バリューサーバー | WAF非搭載 | 公式サイト |
| XREA | WAF非搭載 | 公式サイト |
最近のレンタルサーバーではWAFを採用しているところが多いです。一方、格安専用サーバーや無料サーバーにはWAFが搭載されていることは少ないです。
なお、WAF搭載されていても初期状態で有効化されているサーバーもあれば、無効化されているサーバー(有効化する必要がある)もあります。
また、除外設定できるサーバーもあれば、有効化・無効化のみ設定できるサービスもあります。
詳しい手順は「レンタルサーバ名+WAF」などで検索すると手順がヒットしますので参考にしてみてください。
まとめ
まとめです。WAF搭載サーバーのメリットやデメリットや、WAF搭載されているレンタルサーバーについてご紹介しました。
WAFはサーバーのセキュリティ機能の一つで、WordPressをはじめとしたWebアプリケーションに対するサイバー攻撃を検知・防御してくれます。
最近ではセキュリティを意識してWAF機能の搭載されたレンタルサーバーも増えてきており、これからレンタルサーバーを契約するのであれば、WAF搭載のサーバーを選ぶ方がおすすめです。
なお、まだレンタルサーバーを契約していない方向けに、おすすめのレンタルサーバーについては「レンタルサーバーおすすめ比較13選・WordPress高速対応」で詳しく説明していますので、レンタルサーバーをお探しの方は合わせてご覧いただければと思います。
今回は以上になります。最後までご覧いただきありがとうございました。
個別指導形式のスクールでは、自分の知りたいことをピンポイントで学習・達成でき、自分で更新もできるというメリットもあります。
教室の無料事前相談もしておりますので、まずはお気軽にご登録ください。
YouTubeチャンネル開設しました!
最大月間50万PVの当ブログをベースに、Youtube動画配信にてWordPress、ホームページ作成、ブログのことについてお役立ち情報を随時配信していきます。
ご興味ある方はぜひチャンネル登録をしていただけますと幸いです。