【激安】Amazon5日間のビックセール開催中【27日〜】

【無料】エックスサーバーのセキュリティ対策にはWAF設定!WAFとは何?初心者でもわかる設定方法を解説

hacker-Security

どうも!エックスサーバー使用中のもとゆき(@gudaogudao)です

 

突然ですが、ブログやHPのセキュリティ対策って何かしていますか?

『わからないから何もしていないよ!』という方が結構いるのではないかと思いますがそれは危険!

あなたの大事なサイトが乗っ取られてしまうかもしれませんよ?

 

そこで今回はエックスサーバー利用中の方に向けて『無料で出来るセキュリティ対策について』お話していきます。

そもそも『WAFって何?』って人にもわかりやすく解説していきますね。

 

やっぱりブログ・HPといえばWordpressだし、Wordpressといえばエックスサーバー

無料でこんな機能まで提供してくれるなんてXserverは神だよね



エックスサーバーでのセキュリティ対策にWAFの設定が無料に!

server room

Web運営している方で自前でサーバーを用意している人はかなり少ないのではないかと思います

そこで多くの方が利用するのがレンタルサーバー

その中でも人気があるのがエックスサーバー



WordPressでブログをしている人の大半がエックスサーバーじゃないかなー

 

私もエックスサーバーを使用していますが『Wordpress特化』というだけあって動作は軽いし速い

しかも価格も安いので最高です

最近ではオールSSDの構成になっており、ローカルサーバーかな?というくらい爆速

HPのSSL化も無料だから言うこと無しのWordpressブロガー必見のレンタルサーバーと言えるよね

そんなエックスサーバーが提供している無料のセキュリティ対策が『WAF設定』

では『WAF』とは何?を解説していきます。

 

エックスサーバーのセキュリティ対策
『WAF』誕生の背景とは何か?

Macbook

WAFとは『Web Application Firewall』の頭文字を取った略称です。

W:ウェブ
A:アプリケーション
F:ファイアーウォール

つまりWebアプリケーションの脆弱性を悪用してのサイバー攻撃からWebサイトなどを保護するためのセキュリティ対策のこと

 

多様化するサイバー攻撃の脅威からWebサイトを守るために、セキュリティ対策は必須です。

昔はサイバー攻撃というと大企業が狙われるというイメージが多かったけど最近では中小企業や個人サイトを狙ったサイバー攻撃が激増してるんだよ

 

世界で一番利用者の多いセキュリティソフトのノートンを販売するシマンテック社の発表によるとサイバー攻撃を受けた会社のうち従業員が250人以下の小企業が占める割合は43%と言われています。

つまり攻撃者(ハッカー)から見ると会社規模や個人かどうかは関係なく、利益を得られるかどうかにより攻撃を仕掛けます。

もっと踏み込むと攻撃は無差別に実行され、引っかかったサイトを攻撃するといった感じですね

つまりセキュリティ対策に脆弱性があると攻撃対象になりうるということ

エックスサーバーでもこのような背景からWAFの無料提供をスタートしました。

 

スポンサーリンク

WAFとは何?
ファイアウォールやIPSとの違いを解説!

Macbook

ではWAFにはどのような役割や特徴があるのでしょうか。

セキュリティ対策は大きく分けて下記のような通信レイヤー(段階)ごとに活用されます。

通信レイヤーごとのセキュリティ対策
  1. ファイアウォール:ネットワークレベルの保護
  2. IPS/IDS:サーバOS/ミドルウェアレベルの保護
  3. WAF:Webアプリケーションレベルの保護

つまりWAFは『ファイアウォール』や『IPS』などで保護が不可能なサイバー攻撃をWebアプケーションの前面に配置することで、アプリケーションレベルで保護するという役割を持ちます。

 

ファイアウォールとは何か?

Security

ファイアウォールとは『防火壁』を意味します。

簡単に説明するとネットワークとネットワークの間に立てる壁のことで不正なアクセスをブロックするシステムのこと

サイバー攻撃の際は外部のネットワークから内部のネットワークへ侵入する必要があります

そのため様々な方法で侵入を試みますが、ファイアウォールではそんな外部からのアクセスを監視し、不正アクセスが無いかを常に監視してくれる壁・ガードマンのような役割を果たします。

 

具体的にはパソコンに存在する『ポート』と呼ばれる出入り口を監視し、特定の通信を解放することで外部と内部の通信を制御しています。

代表的なポート番号
  • HTTP:80番
  • HTTPS:443番

このように通信ごとにポート番号は決まっています。

 

ポートは0〜65535番が存在し、49152番以降はユーザーが自由に使用可能です。

ただし閉じておかないと攻撃者の侵入経路になるので注意が必要ですね。

 

IPS/IDSとは何か?

Security

IDSとは「Intrusion Detection System」のことで日本語にすると『不正侵入検知システム』と呼ばれます

対してIPSは『Intrusion Prevention System』のことで、日本語にすると『不正侵入防御システム』と呼ばれています

IDS:Intrusion Detection System:不正侵入検知システム
IPS:Intrusion Prevention System:不正侵入防御システム

ファイアウォールでは正常な通信と異常な通信を判断することは出来ないためこのIDSで検知し・管理者に通知します。

対してIPSは異常な通信を通知して、ブロックまで実施します。

 

通常IDS/IPSなどはWebサーバーのファイアウォールなどで活用されています。

ただIPSで必ずしも通信をブロックすべき、というわけではなくシステムの運用上、通過させるべき通信もあるためIDSとIPSは用途に応じて使い分ける必要があるよ

 

WAFとは何か?

hacker-Security

ここでようやく本題のWAFについて

少し技術的な話になりますが、ファイアウォールはあくまでパターンマッチングという方法で『ネットワークレベル』での攻撃を検出します

またIPS/IDSはサーバーOSまでは防御可能ですが、Webアプリケーションまでは保護できません

Wordpress自体の脆弱性を突くサイバー攻撃の場合はファイアウォールやIPS/IDSでは防ぎ切ることは出来ません

 

そのためWordpressなどのWebアプリケーションを保護するためにWAFが存在します。

Webサーバーの前面に配置することで不正なアクセスがWebサーバーに到達する前に、データをアプリケーションレベルで解析し保護します

これによりファイアウォール外のDMZ(非武装地域・つまりノーガードな場所・今回でいうWebアプリ)であっても保護できるのが特徴です。

 

つまりWAFではファイアウォールなどで対応できない攻撃を検知し遮断することができます。

またWAFはWebアプリケーション自体に脆弱性がある場合でも有効なため、ブロガーなどにも持ってこいです

 

スポンサーリンク

【設定方法を解説】エックスサーバーではWAFが無料で簡単!

Macbook 半分

ここまででWAFの必要性は理解してもらえたかと思います。

  • 必要なのはわかったけどどうやって設置するの?
  • 設定は簡単なの?
  • お金はかかるの?

こんな質問にお答えします

エックスサーバーでは無料でWAFを設定することができます!しかも設定はとても簡単!

ということで設定方法を解説していきます。

 

エックスサーバーでWAFを設定する方法!

まずはエックスサーバーの管理画面に移動します。

画面の右下に『WAF設定』というボタンがあるかと思います。

WAF設定ボタン

こちらをクリック。

 

次にドメインの選択画面に移ります。

今回WAF設定をしたいドメインを選択します。

すると次のような画面が現れます。

WAF設定画面 off初期値だと各設定項目が全てOffになっているとおもいます。

これを全部ONにして、右下の『確認画面へ進む』をクリック。

あとは次に表示される画面も『OK』を押せば完了。

 

変更後は『反映待ち』にステータスが変わります。

WAF設定画面 反映待ち

一時間もすれば『反映待ち』も消えるのでこれでOKです。

WAF設定画面 ON

 

スポンサーリンク

まとめ:Xserverを使うならWAF設定は必ず設定すべき!

hacker-Security

XserverのWAFについてや設定方法を解説してきました

めちゃくちゃ簡単じゃないですか?しかも無料なのがすごい!

そして設定変更後も特に不具合などもありませんのでご安心を!

WAFはエックスサーバー利用者でWordpressを使用しているなら必ず設定しとくべき機能です

hacker-Security

インターネットの世界において『日本だから大丈夫』っていうことはありません。

インターネットは国の管理するインフラとは違い原則は自由参加かつ自己責任の世界

ですがグローバルで全て同じ『インターネット』という規格の中で動いています。

だからアメリカのサーバーにも繋がるし、北朝鮮にもつながっている。

『日本だから安心』という考えは捨てて、現状出来る最高レベルのセキュリティ対策を是非行ってもらえれば幸いです

どうも、もとゆき(@gudaogudao)でした



スポンサーリンク

この記事が気に入ったらシェアしてね!

ブロガー必見!

ブログで副業したいけど本当に儲かるの?

何をすればブログで稼げるの?

100記事もブログを書いたのに稼げない・・・

そんな方のために『月3万円の不労所得は誰でも作れる!』をキーワードに実例を公開していきます!

超上級者の世界の違う内容とは異なり、初心者目線の共感しやすい内容になっています!

 

\\\詳細はこちらから///

グダグダブログでも使用中!
WPテーマ『アルバトロス』

HTMLやCSSなんてわからない人でも安心! 誰が使っても美しく、スマホにも自動対応するので初心者ブロガーにもオススメのテーマです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です