Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2017年3月26日

SiteGuard LiteというWAFはとてもいいぞ

はじめに

さくら VPS では 2017年1月より、SiteGuard Lite という WAF (Web Application Firewall) を搭載した仮想イメージを無償で利用できるようになりました。

なお、WAF (Web Application Firewall) とは、Web アプリケーションのレベルでリクエストの内容を精査し、攻撃と判断したリクエストをブロックしてくれる優れものです。本来は脆弱性のない Web サイトを構築・維持運用すべきなのですが、現実にはなかなか難しいこともあり WAF による多層防御が勧められています。

私はいままでオープンソースの WAF である ModSecurity を使っていましたが、VPSのサーバーのスペック不足に悩んでいたことや ModSecurity の使い勝手の悪さに苦戦していたので、渡りに船と VPS のスペックアップと一緒に SiteGuard Lite の仮想イメージの導入をしました。

 

SiteGuard Lite の本来の価格

SiteGuard Lite の本来の価格は1ホストあたり、新規導入で252,000 円、一年毎の更新は126,000 円もする高価な WAF です。WAF の中では低価格な部類なのでしょうが個人で払うにはとても高価です。

それが、さくら VPS では無償で利用できるのですから使わない手はないですね。

惜しむらくは、仮想マシンに SiteGuard Lite を導入するには、仮想マシンの OS インストールからやり直さなければいけないことでしょうか。これが出来ない場合は、製品を購入することになるでしょう。

捕捉しておくと、SiteGuard Lite が無償で利用できるのはさくら VPS だけではありません。他にもさくらレンタルサーバーやさくらクラウド、ロリポップなどでも提供されています。

 

SiteGuard Lite のよいところ

SiteGuard Lite のよいところは多くありますが、まず何と言っても GUI の画面でコントロールができることでしょう。レポートも画面で見ることができますし非常に便利です。

例えば、クイックステータスとして当日や今月の攻撃検出件数を見ることができます。以下3月26日時点での状況ですが、かなり攻撃を受けていることが分かりますね。自分のサイトはマイナーだから大丈夫だという過信を打ち砕くには十分な数値ではないでしょうか。

Sg01

また、シグネチャ分類チャートは今流行りの攻撃手法が分かります。以下のチャートだとその他攻撃とクロスサイトスクリプティングの攻撃が多ことが分かりますね。

Sg02

 

さて、その他攻撃ですがシグネチャTOPチャートを見ると、Struts2 の脆弱性である S2-045 への攻撃が非常に多いことが分かります。Struts2 を導入していないこのサイトでこれなのですから、Struts2 のサイトで WAF を導入していないサイトは一発で被害を受けてしまうでしょうね。

Sg03

 

他にもログを画面で確認できますし、シグネチャの自動更新できますし、月間レポートも PDF で出力することができます。個々のシグネチャの有効・無効設定も画面でできます。日本企業の製品なので全て日本語なのも好感が持てます。まさに至れり尽くせりですね。

 

SiteGuard Lite の惜しいところ

今まで SiteGuard Lite のよい点を上げてきましたが、やはり惜しい点もありまして。

これはさくら VPS の既定の設定なだけかもしれませんが、コマンドラインからインストールする必要があるというのは一般ユーザーには敷居が高いかもしれません。最初から使用できるようにしておいて欲しかったですね。

また、インストール後ですが、そのままでは攻撃をブロックしませんし、シグネチャの自動更新もしません。これはある意味 WAF としては正しい挙動ですが、一般ユーザーには何で機能が有効にならないのだろう?とか、機能が有効になっていないのに有効になっていると勘違いしてしまう可能性があります。

マニュアルを読めという話なのかもしれませんが、ちょっと分かりづらいと思いました。

3回ログインに失敗するとアカウントロックがかかるのですが、アカウントロックはコマンドラインでサービスの再起動をしないといけないのがつらいですね。セキュリティ側に倒しすぎている気がします。アカウントロック時間を設定して、その時間が経過したらロックが解除される仕組みのほうがよい気がします。

常時 HTTPS 化をしているサイトでは、HSTS (HTTP Strict Transport Security) がサイトで有効になっているとブラウザがエラーを表示してアクセスできなくなるのが困った点です。.htaccess でリダイレクトをかければよいだけなのですが、若干 HTTPS のセキュリティレベルを落とすのかな、と。

細かいところでは、MarsEdit や Open LiveWriter のようなブログエディタのアクセスも時折ブロックしてしまうのが残念な点でしょうか。これは XML-RPC への攻撃もあるから仕方ないのでしょうが、シグネチャを無効にする気にもなれないのでどうしたものかという感じです。

まあ、惜しい点を上げてみましたが、導入メリットの方が大きいのは確かです。

 

おわりに

SiteGuard Lite について1ヶ月使用して感じたことを書いてみましたがいかがだったでしょうか。

SiteGuard Lite が無償で利用できるなら是非とも利用したい WAF ですし、商用サイトであれば導入費用を払ってでも導入して元が取れると思います。

これからの Web サイトでは WAF は必須要件になると思いますし、WAF の導入を悩んでいる方は SiteGuard Lite を検討してみてもよいのではないでしょうか。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA