Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年12月5日

ModSecurity の導入・運用はやっぱり大変

ModSecurity を導入してから 2 週間くらいたちましたが、感想としては役に立つけど運用が大変だなということです。

今回は、クロスサイト・スクリプティングと SQL インジェクション のみの CRS (Core Rule Set) を導入したのですが、それでも偽陽性、つまり、本来問題のないリクエストを攻撃と誤検知してしまうことがとても多いです。

ModSecurity は大変とは聞いていましたが、一通りテストして偽陽性を除外したつもりなのに、使っていると何度となくリクエストが拒絶されてしまいます。

その度にログを確認し、偽陽性の除外をしなければいけないので大変です。システムを触れる場所で偽陽性が発生するとも限らず、作業をあきらめなければいけないこともあります。

WordPress のような CMS (Content Management System) や Web アプリケーションに ModSecurity を導入するには、十分な時間をとり、システム全体を動作させないといけないですね。

まあ、これは ModSecurity に限らず WAF (Web Application Firewall) の導入全般に言えることですが、ModSecurity はその傾向が強いようです。

だから、ModSecurity で検索すると「いまModSecurityで大変なら」という広告が検索結果に表示される訳ですね。

でも、ModSecurity は、Web アプリケーションに潜在的に潜んでいる脆弱性を保護してくれるので、導入している安心感はかなりあるので導入してよかったと思っています。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA