EGセキュアソリューションズ株式会社
評価版申し込み
お問い合わせ

ModSecurityのCore Rule SetからみるWAFのルールとは

 2021.02.15  2022.07.04 EGセキュアソリューションズ

近年、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するソリューションとして、WAFの導入が進んでいます。

本稿では、オープンソースのWAFであるModSecurity のCore Rule Set(CRS)から「WAFのルール」について解説します。

WAF(Web Application Firewall)とは

WAF(ワフ:Webアプリケーションファイアウォールは、Webアプリケーションの脆弱性を悪用した「個人情報の窃取」や「Webサイト改ざん」などの攻撃からWebサイトを保護するツールです。

Webアプリケーションを利用するユーザーは、HTTP通信によって情報をやり取りします。ユーザーが書き込みや参照などの操作をすると、要求(リクエスト)がWebサイトに送られ、その結果(レスポンス)をユーザーに返します。このとき、データベースを不正に操作するような通信が紛れていると、情報漏えいなどの事件につながる恐れがあります。

WAFは、HTTP通信の内容を1つ1つ検査することで、不正アクセスがないかを監視します。不正アクセスをブロックし、正規のユーザーからのアクセスは許可するという考え方で、シグネチャによるパターンマッチングを基本とし、シグネチャ以外の機能や独自の検査ロジックを組み合わせることで検査の精度を高めているWAFが多くなっています。

WAF

導入事例

導入事例

WAF製品/SiteGuard(サイトガード)シリーズの導入事例をご紹介しています。

詳細はこちら

ModSecurityとは

ModSecurityは、Apache HTTP ServerやNginx、Microsoft IISのモジュールで、Webサーバーのモジュールとしてインストールするホスト型WAFです。オープンソースで開発されているため、ライセンスにしたがえば無償で利用できることが大きなメリットです。 

Core Rule Set(CRS)

ModSecurityには、攻撃を検出するためのルールセットであるCore Rule Set(CRS)が準備されており、このルールセットがシグネチャに該当します。

CRSは、要求と応答の脅威カテゴリごとにルールを有効にできます。また、URI、ヘッダー、Cookie、リクエストボディ、応答本文などの対象を指定することが可能です。

ルールセット内には、偽陽性が発生した場合に個々のルールを無効にするオプションがあります。

偽陽性とは、本来「正常な HTTP 通信」であるにもかかわらず、「不正な HTTP 通信」と判定されるエラーです。偽陽性が生じると、利用者の正当な HTTP 通信が WAF で遮断されることになります。防御力はもちろんのこと、偽陽性が少ないということは、WAFの導入・運用において重要なポイントとなります。

要求ルールセット

要求ルールセットは、Webサーバーに対するHTTP要求を検査し、不正アクセスがないかを判定するために用いられます。

  • Scanner detection (スキャナ検出)
  • Protocol enforcement (プロトコル強制)
  • Protocol attack (プロトコル攻撃)
  • Local file inclusion (ローカルファイルインクルージョン)
  • Remote file inclusion (リモートファイルインクルージョン)
  • Remote code execution (リモートコード実行)
  • PHP injectionPHP (インジェクション)
  • Cross-site scripting (クロスサイトスクリプティング)
  • SQL injection (SQL インジェクション)
  • Session fixation (セッション固定)
  • Session Java (Java攻撃)

CRSを活用することで、SQLインジェクションやクロスサイトスクリプティング(XSS)、OSコマンドインジェクションなどのWebアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護することができます。

応答ルールセット

応答ルールセットには、以下のようなものがあります。

  • Data leakages (データ漏洩)
  • SQL data leakages (SQL データ漏洩)
  • Java data leakages (Java データ漏洩)
  • PHP data leakages (PHP データ漏洩)
  • IIS data leakages (IIS データ漏洩)

応答ルールセットは、Webサーバーからの応答をチェックして、応答に存在すべきでない情報(SQLエラーやphpinfoの情報など)がないかを検査します。

検出時は、遮断(ブロック)のほか、攻撃を検出しても記録(ロギング)のみといったアクションを指定することができます。

まとめ

本稿では、ModSecurityのCore Rule Set(CRS)をもとに、WAFの役割とルールについて簡単にご紹介しました。

WAFを活用したWebサイトのセキュリティ対策を検討するにあたり、オープンソースWAFを検討するのは一つの案です。ModSecurityには、無料ながら自由度が高いというメリットがあります。WAF導入によるセキュリティ対策の強化を検討している場合は、低コストでWAFを導入・運用する場合の一つの選択肢として、ModSecurityの導入も考えておきたいところです。

とはいえ、ある程度専門的な知識がなければ、運用することが難しいのも事実です。実際「一度はModSecurity によるセキュリティ強化を試みたものの、使いこなすのが難しく、サポート面が心配」といった事情から、当社にご相談いただくこともあります。必要に応じた商用製品のWAF導入は、結果としてコスト低減につながることがあります。

WAFとは

WAFとは

Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。

詳細はこちら
  • カテゴリ:
  • WAF
ModSecurityとは?オープンソースWAFのメリット・デメリットを解説
SiteGuard Server Edition ディレクティブの設定について

RECENT POST「WAF」の最新記事

WAF

2023.01.26

気になるWAFのコスト!価格・料金プランを徹底解説
WAF

2022.05.17

WAF導入と運用のポイント!WAFのチューニングに必要なものとは
WAF

2021.03.01

証明書はどうするの?WAFによるSSL通信の検査
WAF

2021.02.15

ModSecurityとは?オープンソースWAFのメリット・デメリットを解説
ModSecurityのCore Rule SetからみるWAFのルールとは
5分でまるわかり!WAFによるサイバー攻撃対策
1分でわかる「SiteGuardシリーズ」
RECENT POST 最新記事
気になるWAFのコスト!価格・料金プランを徹底解説

気になるWAFのコスト!価格・料金プランを徹底解説
WAF導入と運用のポイント!WAFのチューニングに必要なものとは

WAF導入と運用のポイント!WAFのチューニングに必要なものとは
証明書はどうするの?WAFによるSSL通信の検査

証明書はどうするの?WAFによるSSL通信の検査
ModSecurityとは?オープンソースWAFのメリット・デメリットを解説

ModSecurityとは?オープンソースWAFのメリット・デメリットを解説
DDoS攻撃はいかに防御すべきか!?WAF導入による対策の有効性

DDoS攻撃はいかに防御すべきか!?WAF導入による対策の有効性
ブログ無料購読
RANKING人気記事ランキング
TOPIC トピック一覧
SEARCHブログ内検索