こんにちは、南波真之と申します。
こちらの記事では、KUSANAGIユーザーが交流している、KUSANAGIユーザーフォーラムにあるトピックスをご紹介していきます。
このフォーラムには、KUSANAGIの基本的な使い方から、インストール時・運用時のお悩みまで、様々な投稿がされています。
KUSANAGIについて、わからないところがある方はぜひご参加ください。
今回は、セキュリティ対策として重要なWAFとKUSANAGIについてのトピックです。
WAFとは
WAFとは、Web Application Firewallの略でWebアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策となります。
このWAFをWebサーバの前段に配置することでWebサーバに通信を通す前に攻撃かどうか、セキュリティ的な問題がないかを分析、判別できます。WebサーバはWebサイトを提供するサーバのことで、PCやスマートフォンなどでWebサイトにアクセスすると、そのリクエストの通信はWebサーバに届き、対象のページの要素をPCやスマートフォンのブラウザにレスポンスすることで閲覧ができるという流れとなっています。
このWAFの対策により、Webサーバへの攻撃を防ぐことができ、Webサイト運営側は安心した運営が、Webサイト閲覧側は安心した閲覧ができるということになります。
KUSANAGIのWAF
超高速CMS実行環境のKUSANAGIにも、このWAFの機能が標準搭載されていることはご存知でしょうか。
KUSANAGIのWAFは、Apacheを利用している場合はModSecurity、nginxを利用している場合はNAXSIが利用されます。どちらもオープンソースとなりますので、無料で利用することが可能ですがアップデートがある場合は対応が必要となります。
また、設定を行う際には対象ファイルを直接編集する形になりますので少し設定と管理のハードルは上がります。WAFのON/OFFはKUSANAGIコマンドですぐできますので、興味がある場合はぜひお試しください。
よりかんたんにKUSANAGIの高速環境を使いつつWAF導入するということを考えると、クラウド型のWAFも良い選択肢です。ご利用されるサーバベンダーが提供しているWAFやセキュリティ企業が提供しているWAFを利用すると導入や管理の手間を削減する事ができます。例えば、さくらのクラウドのWAF(SiteGuard Server Edition (WAF))、ConoHaのKUSANAGI manager WAF、攻撃遮断くんなどです。
<寄せられたご質問>
さくらVPSのKUSANAGI標準WAFを利用しているのですが、WAFをオンにすると403エラーが表示されサイトにアクセスできなくなります。
事象としては、
1.普通にサイトがみれている
2,管理画面にアクセス(1回でもアクセス)
3.サイト全体が403エラー
WAFの設定でなにかチューニングが必要なのでしょうか。詳しい方がいれば教えていただければと思います。
(続きは以下を御覧ください)
KUSANAGI標準WAFのワードプレス設定で403エラーが起こる
<寄せられたご質問への回答>
WAFの設定だと思いますので、
以下の情報を参考にチューニングしていただければと思います。
参考情報:
KUSANAGIでWAF(NAXSI)を使う
https://wynes.info/techblog/archives/2606
SiteGuard Server Edition (WAF) さくらのサービスでWAFを利用する場合
https://manual.sakura.ad.jp/cloud/server/os-packages/siteguard-firewall.html
(続きは以下を御覧ください)
KUSANAGI標準WAFのワードプレス設定で403エラーが起こる
今や必須のセキュリティ対策、WAF
この数年はますますサイバーセキュリティの被害が企業レベルで増えてきています。大手メディアに報道される事件もありました。
セキュリティ対策は1回実施して終わりではないですし、WAF以外にも様々な対策が必要なものです。しかし、その基本部分としてのWAFは対策をしておくべきだと思います。
このように、KUSANAGIに関する質問や課題を持つ方は、ユーザーフォーラムに投稿もしくはKUSANAGI公式サポートサービスのご利用を検討ください。
また、お仕事やプライベートでKUSANAGIを使っている、という方はぜひフォーラムの質問への回答者としてもご参加ください!
ユーザーフォーラムが活性化していくとよりKUSANAGIが盛り上がっていくと思います。
皆様のご参加をお待ちしております。KUSANAGIユーザーグループサイト
