ウェブスピードでは、Webサイトの脆弱性を狙ったサイバー攻撃へのセキュリティとして、Cloudflare WAF の機能 が標準で実装されています。

また、ウェブスピードの Cloudflare WAF のセキュリティルールでは、「OWASP ModSecurity Core Rule Set」のマネージドルールを採用しています。

今回はこの OWASP ModSecurity Core Rule Set の機能について見ていきます。

ModSecurity とは

ModSecurity は、OSS のWebアプリケーションファイアウォール（WAF）であり、Apache HTTP Server や Nginx などのWebサーバーソフトウェアで動作し、Webアプリケーションのトラフィックを監視し、脆弱性や攻撃を特定して防ぐことができます。

正規表現やパターンマッチング・HTTPプロトコルの検査などの技術を使用するため、HTTP ヘッダーのリクエストやレスポンス、Cookie などのデータを監視し、脆弱性や攻撃を特定するためのルールが自動的に適用・更新されるため、常に最新の脅威に対応することができます。

また、ModSecurity では、ログファイルを生成し、Webアプリケーションの脆弱性や攻撃についての情報を提供することができます。これにより、Webアプリケーションのセキュリティに関する問題を特定し、改善するための手掛かりを得ることができます。

OWASP ModSecurity Core Rule Set について

OWASP ModSecurity Core Rule Set（CRS）は、ModSecurity のセキュリティルール（防御ルール）の1つであり、OWASP が提供するWebアプリケーションのセキュリティに関する情報に基づき設計・開発されています。

脆弱性への防御

SQLインジェクションやクロスサイトスクリプティング（XSS）・リモートファイルインクルージョン（RFI）・ローカルファイルインクルージョン（LFI）など、様々な脆弱性からWebアプリケーションを保護する防御ルールを提供しています。

不正アクセスへの防御

悪意のあるトラフィックをブロックするための防御ルールを提供しています。不正なボットやクローラー・DDoS攻撃などからWebアプリケーションを保護します。

セキュリティログの生成

セキュリティイベントに関するログを生成することで、Webアプリケーションのセキュリティ状況を監視し、異常なアクセスを検出します。

Cloudflare の OWASP ModSecurity Core Rule Set

Cloudflare のサービスには、CDN や WAF・DDoS対策・DNS などの様々な機能が含まれます。

その中の Cloudflare WAF の機能である、Cloudflare Managed Rules および OWASP ModSecurity Core Rule Set は、Cloudflare が提供するWAFルールセットであり、Webアプリケーションのセキュリティを高めるために使用されています。

Cloudflare が保持するセキュリティの専門知識を利用することで、Webアプリケーションの開発者や運用者が、脆弱性への対策工数を低減できるなど、より高度なセキュリティ効果が期待できます。

自動アップデート

Cloudflare のクラウド上で、自動的に最新バージョンに更新されるため、常に最新の脆弱性に対応できます。Cloudflare は、ModSecurity のルールセットの改善にも貢献しており、世界中の多数のWebサイトで使用されています。

データの保護

Webサイトのトラフィックを暗号化するために SSL/TLS が使用されるので、Webサイトの通信内容を保護し、データの漏洩を防止できます。

運用の負荷を低減

別途で追加のハードウェアやソフトウェアの購入が不要なため、システム管理者によるセキュリティ運用を負荷を低減します。

まとめ

以上、OWASP ModSecurity Core Rule Set の機能についてご紹介しました。Cloudflare WAF の防御ルールを利用することで、セキュリティ運用を意識しなくとも、Cloudflare で自動的にセキュリティがアップデートされるのが大きなメリットです。

ウェブスピードであれば、Cloudflare WAF が標準で搭載されているため、堅牢なセキュリティのサーバー環境でWebサイトの構築や運用が可能となります。

サービスのお問い合わせ

ウェブスピードのサービスについて、さらに詳細をご希望の場合には、当サイトのお問い合わせフォームから、お気軽にお問い合わせください。