---

【有料オプションで利用可能】

WAF機能を有効にするには、別途オプション（課金）のお申し込みが必要です。

ご利用プランをご確認いただくか、担当者までお問い合わせください。

機能概要 #

WAF（Web Application Firewall）設定は、お客様のWebアプリケーションを保護するためのセキュリティ機能です。指定されたURIへのHTTP/HTTPSリクエストを検査し、SQLインジェクションやクロスサイトスクリプティング（XSS）といった一般的なWebアプリケーションへの攻撃を検知し、防御します。

本サービスでは、攻撃パターンを定義したシグネチャ（ルールセット）を用いて不正な通信を識別します。このシグネチャは定期的に自動更新され、新たな脅威にも対応します。お客様は、要件に応じて防御レベル（動作モード）を選択できます。

設定方法 #

WAFの設定は、DuraSite-Edgeの管理画面からお客様自身でルールとして設定できます。

1. 管理画面にログインし、「WAF設定」にアクセスします。
2. 必要に応じて「新規登録」ボタンをクリックし、新しいルール設定欄を追加・表示させます。
3. 対象パスの指定:
   • パス入力フィールド: 動作を制御したいURIパスを、先頭の / から始まる形式で入力します（例: /images/, /admin/users/, /specific/page.html）。
     • 入力フィールド下の説明にある通り、使用可能な文字は英数字および一部の記号 (- . _ ~ * /) です。
   • マッチ方法: パスのマッチング方法をラジオボタンで選択します。完全一致にしない場合は前方一致になります。
4. WAFの設定:ラジオボタンで選択して、WAFによる保護を有効化します。
5. 動作モードの選択:
   • default モード:
     • OWASP Top 10に含まれるような、広く知られた一般的な脅威（XSS、SQLインジェクション等）に対する標準的な防御を提供します。基本的な保護レベルとして推奨されます。
   • strict モード:
     • defaultモードよりも厳格な基準・ルールセットを適用し、より強固な防御を目指します。ただし、正当な通信を誤って攻撃と判定してしまう可能性（誤検知）が default モードよりも高くなる場合があります。
6. すべての設定が完了したら、「保存」ボタンをクリックしてルールを適用します。設定が反映されるまで、少し時間がかかる場合があります。
7. 優先度の設定:
   • WAF設定一覧画面から設定します。
     • 優先度 (↑↓ボタン): 複数のルールブロックがある場合、このボタンでルールの適用優先順位を調整します。通常、より具体的（狭い範囲）なルールをリストの上位（上に）配置します。

主なユースケース #

• 基本的なWebアプリケーション保護:
  • 不特定多数がアクセスするWebサイト（コーポレートサイト、ブログ、情報サイト等）に対し、defaultモードを適用し、一般的なWeb攻撃から保護する。
• セキュリティ要件が高い場合の適用:
  • オンラインバンキング、ECサイトの決済画面、個人情報を扱うフォームなど、特に高いセキュリティレベルが求められるアプリケーションに対し、strictモードの適用を検討する（誤検知の監視とセットで）。
• CMSの脆弱性対策:
  • WordPressやその他のCMSを利用している場合にWAFを有効にし、CMS本体やプラグインの既知の脆弱性を悪用する攻撃からサイトを保護する。
• 仮想パッチとしての利用:
  • アプリケーションに脆弱性が発見されたが、すぐには修正パッチを適用できない場合に、WAFのシグネチャ更新によって、その脆弱性を突く攻撃を一時的にでも防御する効果を期待する。
• コンプライアンス対応:
  • PCI DSSなどのセキュリティ基準で要求されるWAF要件を満たすために本機能を導入・運用する。