[1]Joe’sのサーバーでWAFが標準に

[1]Joe’sのサーバーでWAFが標準に

最近、サイトの脆弱性をついた、不正侵入やページの改ざんなどの事件が増えています。これまで、インターネットのセキュリティといえば、ファイヤーウォール(使用していないポートを塞ぐ)や不正検知といったネットワークレベルの防御が中心でした。

 

Webサーバーの直前で、不正データをはねのけるのがWAFだ

しかし、今年になって、WordPressDrupalなどのプログラムの脆弱性をついた攻撃が報道されています。たとえば、アクセス権限がなくても、サーバー内のデータベースの問合わせコマンドが実行できてしまったり(SQLインジェクション)、入力した内容を表示するWebサーバの処理を悪用して、HTMLのタグやPHPのスクリプトを入力に含めて、ブラウザに実行させる(クロスサイトスクリプティング)といった手口です。現在では、クライアント(ブラウザ)とWebサーバーとのやりとりを監視する、Webアプリケーションレベルのファイアーウォール(WAF:Web Application Firewall)が不可欠とまで言われるようになりました。

 

ModSecurity

WAFは、海外では通常のファイヤーウォールと同様、ハードウェアアプライアンスで提供される製品が多いのですが、国内ではサーバーにインストールするソフトウェアの形で提供されるもの(和風?)が主流です。ただ、Webサーバーあたり数十万円するなど高価で、なかなか導入に踏み切れていない企業が多いようです。

Comodoといえば、SSL証明書を連想するが

 

最近では、ModSecurityというオープンソースのWAFが、よく利用されています。TrustwaveというSSL証明書を提供している会社が中心となって開発しています。

 

http://www.modsecurity.org/

 

ComodoのWAF

 
 

しかし、ModSecurityに限らず、WAFではどのようなWebサーバーへの入力を不正とみなすかのルール(の集合)を設定しなければならず、運用をしていくための専門的なスキルが必要になります。したがって、セキュリティの専門の部署を持つとか、サービスプロバイダであるとかでないと、おすすめできません。ただ、このルールは、どのようなWebアプリケーションを運用するかとは無関係に設定することが多く、また、入力データからの学習によってルールを最適なものに更新している機能もあります。

 

cPanelからのModSecurityの設定

 

SSL証明書を提供しているComodo社(Joe’s SSL市場でも取り扱っています)では、ModSecurityを運用でき、デフォルトのルールを最新のバージョンのものに置き換えるソフトウェアを提供しています(現時点では無償)。

 

https://waf.comodo.com

 

世界で最も美しいレンタルサーバーのコンパネ「cPanel」

 
 

ModSecurityは、Joe’sの共用サーバー専用サーバーJoe’sの素でご利用いただいているコンパネcPanelでもご利用になれます。現在、新規にご利用の方と、既存のお客様でcPanelのバージョン 11.46以降(共用サーバー server44以降)でご提供させていただいています。また、cPanelは、年内にすべてのサーバーで最新版になるように準備を進めています。

 

cPanelにログインしてModSecurityの設定画面を開くと、enable/disableの設定のみできるようになっています。つまり、デフォルトの最新のルールセットが格納されていて、これを使うか使わないかの設定をするだけになりますので、ご自身で何かを管理をする必要はありません。

 
 

ところで、コンパネが、レンタルサーバーのサービスを決めるといっても過言ではありません。国内のレンタルサーバー事業者は、独自にコンパネを開発して提供していますが、Joe’sでは創業時(2002年)から、世界で最も利用されているcPanelを利用しています。cPanel Inc.の100人以上が開発に従事し、セキュリティの不安がないばかりか、今回のModSecuriyのWAFなど、最新のトレンドがいち早く取り入れられています。

 

この美しいcPanelが好きで、Joe’sのサービスを長年利用されている方も数多くいらっしゃいます。Joe’sのサーバーを、是非一度ご利用ください。