Fastly Web アプリケーションファイアウォール (WAF) のルール管理インターフェイスについて

Fastly WAF ルール管理インターフェイスでは、Fastly サービスに関連する WAF で有効化されたルールを可視化・管理することができます。エンジニアまたはスーパーユーザーは、ルール管理インターフェイスにて WAF ルールの詳細の確認、ルール ID やカテゴリーによる検索やフィルタリング、しきい値やスコアの管理、ルールモードの変更、変更内容の本番へのデプロイなどを行うことができます。

Fastly WAF ルール管理インターフェイスへのアクセス

WAF ダッシュボード から Fastly WAF ルール管理インターフェイスにアクセスできます。Fastly WAF ルール管理インターフェイスにアクセスするには、次の手順に従ってください。

  1. Fastly コントロールパネルにログインしてください。全サービス一覧ページが表示されます。
  2. リストから Fastly サービスを選択し、WAF リンクをクリックしてください。WAF サマリーページが表示されます。
  3. Manage Rulesリンクをクリックしてください。Manage Rules ページが表示されます。

    Manage Rules ページ

ルールについて

Fastly WAF ルール管理インターフェイスでは、選択した Fastly サービスに関連する WAF で現在有効になっているルールが表示されます。ルールが有効化されていない場合、または WAF にルールが表示されない場合は、support@fastly.comまでご連絡下さい。

ルールには 3 種類あります : スコアリングルールしきい値のルールアプリケーション固有のルールリビジョンインジケーターは、ルールが改訂されているかどうかを示すために使用されます。リビジョン済みルールにより、前バージョンよりも保護機能が強化されている場合があります。

スコアリングルール

スコアリングルールでは、受信する HTTP リクエストで検知された異常に基づいてスコアが加算されます。スコアリングルールの例は次のとおりです。

WAF スコアリングルール

Fastly では、4カテゴリーのルールに対してデフォルトの異常スコアを設定しています。HTTP リクエストがカテゴリー内のルールと一致すると、その数値がそのカテゴリーの合計スコアに追加されます。すべてのルールのスコア合計は、その HTTP リクエストの異常スコアです。例えば、クリティカル異常スコアが 6 点、エラー異常スコアが 5 点に設定されているとします。HTTP リクエストがクリティカルルールとエラールール両方と一致した場合、HTTP リクエストのスコアは 11点 になります。

スコアリングルールには 2 つのモードがあります。

  • スコアリング : このモードは、ルールがアクティブで脅威を探していることを意味します。このモード内のルールは、しきい値のルール設定に基づいてスコアを加算させ、その結果を現在設定されているログプロバイダーに記録します。しきい値ルールの詳細については、しきい値のルールのセクションを参照してください。
  • 無効 : このモードは、ルールがアクティブでないことを意味します。このルールで検出された脅威は、合計異常スコアに含まれず、結果はログされません。

Details リンクをクリックするとApache ModSecurity 形式のルールと対応する生成 VCL の形式が表示されます。

しきい値のルール

しきい値のルールは、Web アプリケーションまたは API に対する特定の攻撃カテゴリーに対して定められます。これらのルールは、スコアリングルールに基づいて計算される合計スコアと適切なしきい値に設定された値を照合します。しきい値のルールに関する例は次のとおりです。

WAF しきいの値ルール

しきい値のルールには、カテゴリー名、リビジョンインジケーター、タグ、ルール ID、モードセレクター、および詳細リンクがあります。

しきい値のルールはアクションを実行し、お客様の HTTP リクエストをログに記録するか、ブロックしてログに記録します。これらのルールは、スコアが所定のしきい値を超えるとアクションを取ります。各カテゴリーに対応するしきい値は、Settings ページで設定されています。

しきい値を下げることで、WAF の感度が高まります。しきい値を上げると、様々なしきい値カテゴリーで WAF の感度が低下します。

Fastly WAF は、次のしきい値のルールがカテゴリーに分類されています。各ルールには、その感度を制御するしきい値 があります。

ID しきい値の名称 ルールアクション条件 対応しきい値 アクションの選択
1010090 インバウンド異常スコア インバウンド異常スコアが、設定されたインバウンド異常しきい値を超えた場合に作動 インバウンド異常しきい値 ログまたはブロック & ログ
1010080 セッション固定 セッション固定スコアが、設定されたセッション固定しきい値を超えた場合に作動 セッション固定しきい値 ログまたはブロック & ログ
1010070 HTTP 違反 HTTP 違反スコアが、設定された HTTP 違反しきい値を超えた場合に作動 HTTP 違反しきい値 ログまたはブロック & ログ
1010060 PHP インジェクション PHP インジェクションスコアが、設定された PHP インジェクションしきい値を超えた場合に作動 PHP インジェクションしきい値 ログまたはブロック & ログ
1010050 リモートコマンド実行 (RCE) RCE 異常スコアが、設定された RCE しきい値を超えた場合に作動 RCE しきい値 ログまたはブロック & ログ
1010040 ローカル・ファイル・インクルージョン (LFI) LFI スコアが、設定された LFI しきい値を超えた場合に作動 LFI しきい値 ログまたはブロック & ログ
1010030 リモート・ファイル・インクルージョン (RFI) RFI スコアが、設定された RFI しきい値を超えた場合に作動 RFI しきい値 ログまたはブロック & ログ
1010020 クロスサイトスクリプティング (XSS) XSS スコアが、設定された XSS しきい値を超えた場合に作動 XSS しきい値 ログまたはブロック & ログ
1010010 SQL インジェクション SQL インジェクションスコアが、設定された SQL インジェクションしきい値を超えた場合に作動 SQL インジェクションしきい値 ログまたはブロック & ログ

アプリケーション固有のルール

アプリケーション固有のルールは、特定のライブラリ、フレームワーク、コンポーネントのコンテキストで特定の脆弱性を利用するシグネチャを検出するために、受信した HTTP リクエストを確認します。アプリケーション固有のルールは、すぐに有効となります。アプリケーション固有のルールには 3 つのモードがあります。

  • Logging Mode (ログモード) :このモードは、ルールがアクティブで脅威を探していることを意味します。このモード内のルールは、ルールに完全に一致した場合に結果がログされます。結果は、現在設定されているログプロバイダーに記録されます。
  • Blocking Mode (ブロックモード) :このモードは、ルールがアクティブで脅威を探していることを意味します。このモード内のルールは、HTTP リクエストをブロックし、オリジンへの送信を防ぎます。ブロックモードのルールは、現在設定されているログプロバイダーに結果をログします。
  • Disabled (無効) : 無効モードは、ルールがアクティブでないことを意味します。ルールに一致する HTTP リクエストは、オリジンに直接送信されます。

ルールの検索

ルール検索ボックスでは、ルール ID またはキーワードを使用して特定のルールを検索できます。結果はルールビューに表示されます。

キーワード検索では、ルールソースに特定のクエリ文字列を含むルールを検索できます。例えば、 javaphploic または ddos のようなキーワードを含むルールを検索できます。キーワード検索では、ルールの mod_security ソースとクエリ文字列を比較します。

検索の範囲は、Include all (すべてを含める) および Exclude applied (適用を除外する) フィルターを使ってコントロールできます。Include all を選択すると、検索が WAF で現在アクティブなルールだけでなく、全体のルールに拡大されます。Exclude applied を選択すると、ライブラリ内の現在 WAF でアクティブではないルールのみ検索されます。

WAF ルールの検索

ルールのカテゴリー別フィルタリング

カテゴリー別のフィルタリングを行うことで、現在 WAF で設定されている異なるタイプのルールを表示できます。フィルターは組み合わせて検索することができます。

  • Status フィルター : ステータスフィルター では、ログ、ブロック、または無効のルールモードをフィルタリングできます。
  • Publisher フィルター : パブリッシャーフィルターでは、ルールパブリッシャー別でフィルタリングできます。現在サポートされているパブリッシャーには、OWASP、Trustwave、および Fastly が含まれます。
  • Attack type フィルター : 攻撃タイプフィルターでは、特定の攻撃カテゴリーを保護する WAF で有効なルールを表示できます。

新しいルールを WAF に追加する

アプリケーションに対する攻撃パターンとリスクの変化に基づいて、新しいルールを WAF に追加することができます。検索ボックスの下に表示されるスコープフィルターで新しいルールを参照、検索、選択し、新しいルールを追加することができます。**Include all (すべてを含める) ** を選択すると、ルールビューにて現在ルールライブラリにあるすべてのルールが表示されます。

ルールが閲覧可能になると、 検索ボックスを使用して特定のルール ID またはキーワードを検索できます。例えば、CVE-2017-9805 で公開された Apache Struts2 脆弱性に対する保護が必要な場合は、 struts2 または RCE を検索することができます。

Include all (すべてを含める)  が選択された WAF ルール検索

ルールビューは、次のように表示されます。

WAF ルールビューの検索結果

Details リンクをクリックすると、ルールソースが表示されます。ルールが VCL で実行される方法についての詳細が表示されます。

Options を選択して、モードを Log または Block に変更することで、ルールを有効化できます。

ルール有効化の確認

ルールモードを選択すると、ルールがルールビューの上部に表示されます。ルールが追加されたことを確認するには、Include all (すべてを含める) ** フィルターを解除し、StatusPublisher、またはAttack type**フィルターを使用し、ルールが WAF に追加されていることを確認してください。

ルールが追加されたことを確認したら、変更の有効化セクションの指示に従い、変更を有効化します。

変更の有効化

Fastly WAF のルール管理インターフェイスでは、潜在的な Web への攻撃発生時のルールの動作を左右するルールモードとしきい値の変更が可能です。ルールモード変更後、Activate (有効化) ボタンをクリックすることで、これらの変更を本番環境に適用できます。

Fastly WAF の有効化ボタン

Activate をクリックすると、変更の有効化を確認するメッセージが表示されます。Yes をクリックして続けます。

WAF ポリシーの実行

Fastly WAF がインバウンドリクエストを処理する際、先にスコアリングルールが実行された後、しきい値のルールが実行されます。アプリケーション固有のルールと Fastly ルールは最後に実行されます。

累積スコアが設定されたしきい値を超えた場合、しきい値のルールがアクションを実行します。しきい値カテゴリーとアクション条件の詳細については、しきい値のルールセクションの表を参照してください。

WAF プロセス

Back to Top