WAF設定のメリットとデメリット

修復の作業をしていると時折、「寄せられるご質問にサイトを更新しようとしてもエラーになってしまう。設定を見直しても不審な点はなく、理由が分からず困っている」といったご質問を受けることがあります。時には制作会社からも同様のご質問を寄せられます。この場合、一般的に多いのが、サーバー内のWAF設定が「有効」になっていることで更新が出来なくなっているということです。

そもそもWAF設定とは？

WAF（Web Application Firewall）とは、ウェブアプリケーションへの不正アクセスや攻撃を防ぐためのセキュリティシステムです。通常のファイアウォールがネットワーク層での攻撃を防ぐのに対して、WAFはウェブアプリケーション層に特化しており、SQLインジェクション、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）など、ウェブ特有の攻撃を防ぐ役割を持っています。

要はサーバー側で防御を張って不正な改ざんやマルウェア感染を防ぐための措置だと思ってくだされば結構です。

ただ、不正な改ざんを防ぐがために、正しいはずの更新作業すらが出来ないということが結構な頻度で生じます。正規の手順を踏んで記事やタグを更新したのにも関わらず、エラーになってしまうのはWAF設定による防御ともいえます。特に投稿ページでも固定ページでも英文での更新をしようとすると、WAFが勝手に作動して更新が出来ず、知らない方はここで途方に暮れてしまいます。

画像はさくらインターネットのコントロールパネルです。さくらインターネットを使っている方でも案外見落としている「セキュリティ」という項目、ここにカーソルを持っていくとWEF設定ドメインのタブが表示されますからクリックします。すると上記のような画面になり、登録しているドメイン一覧になります。

弊社で管理しているドメインはすぺて利用状態を有効にしています。

さくらインターネットの場合、設定をしなければ利用状況は「無効」です。

無効にしたままにいると、上記のように表示がされ、利用を強く推奨されます（料金は無料）。サイトを不正な改ざんから守る意味でも有効にした方がいいと思います。

WAF設定のメリットとデメリット

不正な改ざんを防ぐWAF設定にもメリットとデメリットが存在します。

WAF設定のメリット

1.セキュリティ強化
WAFは、SQLインジェクションやクロスサイトスクリプティング（XSS）といった一般的なウェブ攻撃からサイトを守ります。これにより、クライアントのビジネスを保護し、信頼性を高めることができます。

2.カスタマイズ可能なルール設定
WAFは、特定の業界やニーズに合わせてルールをカスタマイズできるため、クライアントごとに最適なセキュリティを提供できます。これにより、柔軟なセキュリティ対策が可能です。

3.リアルタイムのモニタリングとアラート
WAFはリアルタイムでトラフィックを監視し、疑わしいアクティビティが発生した場合にすぐにアラートを発します。これにより、迅速な対応が可能となり、セキュリティインシデントの影響を最小限に抑えることができます。

4.コンプライアンス対応
多くの業界で求められるセキュリティ基準や規制に対応するために、WAFの導入は有効です。特に、個人情報や機密データを扱うサイトでは、WAFが重要な役割を果たします。

こうしてみるとメリットしかなさそうに見えます。しかしながら、やはりデメリットも存在します。

WAF設定のデメリット

1.更新の際の煩雑さ
冒頭にも申したように更新する際、エラーになってしまうことがあるということです。特に文章をたくさん書いた後、エラーになってしまい、記事が無駄になってしまうと精神的にも堪えます。それゆえ、更新の際はイチイチサーバーにアクセスして、WAF設定をオフにする必要がありのます。面倒くさいといえば面倒くさいですね。

2.誤検知とユーザビリティの低下
WAFが正常なトラフィックを誤ってブロックする「誤検知」が発生することがあります。これにより、ユーザー体験が損なわれ、特にEコマースサイトでは機会損失につながる恐れがあります。

3.パフォーマンスへの影響
WAFのフィルタリング機能がウェブサイトのパフォーマンスに影響を与えることがあります。特に、アクセスが集中するサイトでは、レスポンスタイムが遅くなる可能性があります。

WAF設定の重要性

WAF設定が適切に行われることで、クライアントのウェブアプリケーションは、一般的なサイバー攻撃から効果的に保護されます。特に、顧客データやビジネスに直結する機密情報を扱うアプリケーションでは、WAFの設定が欠かせません。

一方で、設定が不十分であったり、誤った設定がなされると、逆にユーザー体験が損なわれたり、攻撃が防ぎきれないリスクもあります。そのため、WAFの設定は専門知識を持つセキュリティエキスパートによって行われるべきです。

まとめ

WAF設定は、ウェブアプリケーションをサイバー攻撃から守るための重要なプロセスです。適切に設定されたWAFは、WEBサイトを安全に保ち、信頼性を高める役割を果たしますのでWordPress救急隊では設定を強くお勧めいたします。しかしながら、その導入と設定には専門的な知識と継続的なメンテナンスが求められるため、信頼できるセキュリティ対策会社と協力することが重要です。もちろん、弊社でもご相談は承りますのでセキュリティ対策でお悩みの方はお気軽にお問い合わせください。