Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

WAFをあらゆるお客様に!

Loading...

3 min read

Cloudflareでは常識を覆すようなアイデアを尊重します。「セキュリティはすべての人が利用できるべきもの」という根本にある信念とそうしたアイデアを組み合わせたことで、あらゆる人々のためにより良い、安全なインターネットへとつながりました。

これはよもやま話ではありません。たとえば、2014年のことですが、CloudflareはUniversal SSLを発表しました。その翌日、100万件を超えるインターネットプロパティにSSL/TLSの暗号化機能を提供しました。このサービスはすべて無料で、証明書の設定も不要でした。これは、Cloudflareのお客様にとって有益であっただけでなく、Webを利用するすべての人に価値あるものとなりました。

2017年、定額制のDDoS軽減を発表しました。お客様にDDoSの帯域幅分をご請求することが適切と考えたことはありませんでした。そのため、お客様にその費用の負担をお願いしたことはありません。しかし、有料・無料を問わず、すべてのお客様に定額制の軽減をご提供できるネットワーク規模に到達するのに時間がかかりました。

ところが、これの実現方法について、今でも問い合わせを受けます。実際にこれはとてもシンプルです。私たちは自在にスケール可能な高度で効率的なテクノロジーを構築することにより、これを実現します。それがコストを低く抑えることにもつながります。

本日、Cloudflare WAF(Webアプリケーションファイアウォール)のマネージドルールセットをCloudflareの全プランに無料で提供することで、再びこれを実現します。

Cloudflareがこの取り組みを実施する理由は?

注目度の高い脆弱性は、あらゆる規模の組織に影響を与えながらインターネット上で深刻な影響を及ぼします。 最近では「Log4J」がこれに該当しますが、それ以前にも「Shellshock」「Heartbleed」といった深刻な脆弱性がインターネット上に傷跡を残しています。

小規模なアプリケーションの所有者やチームは、セキュリティ関連のパッチを迅速に適用するだけの時間がないため、多くのアプリケーションが危険にさらされたり、不正な目的で使用されたりすることがあります。

Cloudflareのプロキシの背後には何百万ものインターネット資産が存在しているため、当社にはWebの安全を守るための支援をする義務があります。Log4Jの対応では、FREEゾーンを含むすべてのトラフィックに緩和ルールの展開を実施しました。当社では現在、新しいWAFエンジン上のすべてのプランにCloudflare Freeマネージドルールセットを提供することで、当社のコミットメントを正式なものにしていきます。

Cloudflareがこの取り組み参加するメリットは?

FREEプランをご利用の方は、すでに保護を受けています。また、今後数ヶ月の間にすべてのFREEゾーンプランのユーザーは、ダッシュボードからCloudflare WAFのユーザーインターフェースにアクセスして新しいルールセットの導入・設定が可能になります。このルールセットには、「Shellshock」や「Log4J」などの良く知られた脆弱性に対する緩和ルールの提供が予定されています。

より広範なWAFルールセット(Cloudflare管理ルール、Cloudflare OWASPコアルールセット、Cloudflare資格情報漏えいチェックルールセット)と高度なWAF機能をご利用いただくには、PRO以上のプランへのアップグレードが必要です。

課題

Cloudflareのグローバルネットワークでは、毎秒3200万以上のHTTPリクエストがプロキシされており、すべてのリクエストに対してWAFを実行することは容易ではありません。

WAFは、悪意のあるペイロードを表す特定のパターンを探す一連のルール(シグネチャとも呼ばれる)を実行することによって、ボディを含むすべてのHTTPリクエストのコンポーネントを保護します。これらのルールは複雑さが異なり、ルールが多いほどシステムを最適化するのが難しくなります。また、多くのルールで正規表現機能を採用しているため、複雑なマッチングロジックを適用したルールを作成することができます。

セキュリティにパフォーマンス上のマイナス要素があってはなりません。多くのアプリケーションオーナーからは、パフォーマンスの利点を求めてCloudflareをご利用いただいているため、これらはすべてレイテンシへの影響を無視できる程度に抑える必要があります。

新しいWAFが構築された基盤である新しいEdge Rules Engineを活用することで、利用者が快適性を感じるレベルのパフォーマンスとメモリのマイルストーンが達成でき、これによって、すべての人に優れた基本的なWAF保護を提供することができるようになりました。新しいCloudflare Freeマネージドルールセットの登場です。

無料のCloudflareマネージドルールセット

このルールセットは、Cloudflareの新規ゾーンに自動的に導入され、非常に幅広い種類のトラフィックに対して誤検知を最小限に抑えるよう特別に設計されています。お客様は、必要に応じてこのルールセットを無効にしたり、トラフィックフィルタや個々のルールを設定したりすることができます。本日現在、このルールセットには以下のルールが含まれています。

  • URIとHTTPヘッダーのペイロードにマッチさせるLog4Jのルール。
  • Shellshockのルール。
  • 非常に一般的なWordPressのエクスプロイトにマッチさせるルール。

ルールが一致すると、「セキュリティの概要」タブ内にイベントが生成され、リクエストを検査できるようになります。

デプロイとコンフィグレーション

新しいFREEゾーンはすべて、ルールセットが自動的に導入されます。ルールはCloudflareネットワーク上でバトルテストが実施されており、ほとんどのアプリケーションにそのまま安全に導入することができます。お客様は、いずれの場合も次の方法でルールセットをさらに設定することができます。

  • すべてのルールをLOGまたは他のアクションに上書きする。
  • LOGまたは他のアクションにのみ特定のルールを上書きする。
  • ルールセットまたは特定のルールを完全に無効する。

すべてのオプションは、ダッシュボードから簡単にアクセスできますが、APIを介して実行することもできます。ルールセットの設定方法に関するドキュメントは、UIでの提供後、当社の開発者サイトへの掲載を予定しています。

次は何が起きるでしょう?

Cloudflare Freeマネージドルールセットは、広範囲に及ぶ関連する脆弱性発見の都度、Cloudflareによる更新を予定しています。ルールセットの更新は、当社の変更ログで公開され、お客様は新しいルールの最新情報を入手することができるようになります。

私たちは、クールで新しい技術を作ることをこよなく愛しています。しかし、それを広く普及させること、より簡単に使えるようにすることに対しても同じように愛を持っています。当社では、お金をかけずに使えるWAFで、すべての人のWebをより安全なものにできることを嬉しく思います。ご興味をお持ちいただけましたら、こちらからFREEプランにご登録ください。

Cloudflareは 企業のネットワーク全体 を保護し、お客様が インターネット規模のアプリケーションを効率的に 構築するためのお手伝いをします。また、すべての Webサイトまたはインターネットアプリケーション を迅速化し、 DDoS攻撃を阻止して、 ハッカーを封じ込めます。 さらに、 Zero Trustを始める、あるいは導入のあらゆるフェーズにいる お客様を支援します。

インターネットを高速化し、安全性を高めるには、ご使用のデバイスから 1.1.1.1 にアクセスすることで、Cloudflareの無料アプリをご利用いただけます。

より良いインターネットの構築を支援するというCloudflareの使命について詳しくは、 こちら をご覧ください。新たなキャリア形成をお考えの方は、 求人情報 にアクセスしてください。

セキュリティウィーク WAF (JP) 日本語 セキュリティ

Follow on Twitter

Michael Tremante |@MichaelTremante
Cloudflare |Cloudflare

Related Posts

March 25, 2021 1:01PM

Page Shield:ブラウザ上のユーザーデータを保護する

本日、新たにクライアント側のセキュリティ製品であるPage Shieldをご紹介いたします。この製品は、お客様側で、エンドユーザー側のブラウザで発生した攻撃を検出するためにご利用いただく製品です。...

March 18, 2022 1:00PM

Zero Trustへの架け橋

本日、従来のネットワークアーキテクチャからZero Trustへの移行を支援するパズルのピースをもう一つ発表できることを嬉しく思います。それが、軽量ローミングエージェント( WARP )をインストールしたユーザーデバイスからのトラフィックを、マジックIP層トンネル(エニーキャストGRE 、 IPsec 、またはCNI )に接続された任意のネットワークにルーティングすることができる機能です...

March 16, 2022 12:59PM

Cloudflare APIゲートウェイを発表

本日は、CloudflareAPIゲートウェイを発表します。既存のゲートウェイをわずかな費用で完全に置き換えることができます。また、当社のソリューションでは、Workers、ボット管理、Access、および変換ルールの背後にあるテクノロジーを使用した、市場で最も高度なAPIツールセットを提供します...

March 30, 2021 4:14PM

エンドユーザーセキュリティ:Cloudflareでのアカウント乗っ取り対策

エンドユーザーアカウントのセキュリティは常に最優先事項ですが、解決するのは難しい問題です。さらに厄介なことに、ユーザーの認証は困難です。 認証情報のデータセットの流出が一般的になり、Webをクローリングする高度なボットがクレデンシャルスタッフィング攻撃が仕掛けられる中で、認証エンドポイントの保護や監視をすることは、セキュリティに重点を置いたチームにとって課題となります。これに加えて、多くの認証エンドポイントは依然として正しいユーザー名とパスワードを提供することだけに依存しているため、検出されないクレデンシャルスタッフィングが、悪意のある行為者によるアカウントの乗っ取りにもつながります。...