【2024年版】さくらのレンタルサーバーで使えるWAFの特徴は?メリット・デメリットをまとめました!

さくらのレンタルサーバーで使えるWAFの特徴は?メリット・デメリットをまとめました!というタイトルが書かれたサムネイル画像
2024.12.09

この記事は、さくらのレンタルサーバーで使える「WAF」を実際に使ってみた感想をまとめたレビュー記事です。これから利用を検討している方に向けて、メリット・デメリット、注意点をユーザー目線で解説します。当サイトでは約数年間、このサービスを利用してきました。この経験をもとに、初めての方でも分かりやすい内容でお届けしますので、ぜひ参考にしてください。

ねこたびや
ねこたびや

この記事は、以下のような方におすすめです!

  • さくらのレンタルサーバーでWAFを利用したいと考えている方
  • WAFについて学びたい方

この記事は、以下の環境を元に執筆しています。

  • プラットフォーム:WordPress
  • テーマ:Cocoon
  • サーバー:さくらのレンタルサーバー スタンダードプラン

WAFとは

WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙った攻撃から守るためのセキュリティ対策の一つです。

Webアプリケーションの脆弱性を利用した攻撃には、以下のようなものがあります。

  • SQLインジェクション攻撃
  • クロスサイトスクリプティング(XSS)攻撃

これらの攻撃を受けると、情報漏洩やサイト改ざんといった深刻な問題が発生し、サイト運営に大きな悪影響を与える可能性があります。

以下は、「ロリポップ!レンタルサーバー」で2020年10月1日~2020年12月31日に検出された、WordPressを標的にした攻撃の傾向を示したデータです。

出典:SITEGUARD. “JP-Secure Labs Report Vol.06”. https://siteguard.jp-secure.com/tech/jpsecure-labs/report06., (引用日:2024/12/8)

このデータを見てみると、SQLインジェクション攻撃やXSS攻撃が行われていることが多かれ少なかれ確認できます。このため、これらの攻撃に対するセキュリティ対策としてWAFを導入する必要性が高いです。

しかし、WAFを個人で用意するとなると、設定が困難であったり、費用が高額だったりと課題が発生すると考えられます。

こうした課題を解決するために、さくらのレンタルサーバーでは、WAFとして「SiteGuard」を利用できます。このサービスを利用することで、サイトをこのような攻撃から高確率でブロックしてくれます。

次に、このさくらのレンタルサーバーで利用できるWAF(以下、さくらのWAF)について、実際に使用して感じたメリット・デメリット・注意点を詳しく解説します。

先に公式サイトを確認したい方は、こちらの「WAF(ウェブアプリケーションファイアウォール)」をご参照ください。

メリット

無料で利用できる

さくらのWAFは、対象のプランに加入していると無料でWAFを使えます。

このWAFが使える対象のプランは、以下のとおりです。

  • さくらのレンタルサーバ
    • ライト
    • スタンダード
    • ビジネス
    • ビジネスプロ
  • さくらのマネージドサーバ

上記のプランに該当している方であれば、無料で利用できるようです。当サイトでは、実際にスタンダードプランで利用していますが、無料でさくらのWAFを使えております。

もし、サイトにWAFを導入したいという方であれば、無料で利用できるのは心強いのではないかと思います。

初心者でも簡単に導入できる

さくらのWAFは、難しい操作をすることなく導入できます。

さくらのWAFを利用するまでの4STEP
  • STEP1
    さくらのレンタルサーバー管理者画面から、「セキュリティ」の「WAF設定ドメイン」を選択
  • STEP2
    WAFを設定したいドメイン欄にある「設定」ボタンをクリック
  • STEP3
    利用設定欄の「利用する」にチェックを入れて、「保存する」をクリック
  • STEP4
    WAFを設定したいドメインの利用状態が有効になっているか確認する

このように、手順が確立されているため、難しい設定ファイルを直接編集することなく、さくらのWAFを利用できます。

管理が不要

さくらのWAFは、定義ファイル(シグネチャ)が自動的にアップデートされるため、利用者が手動で管理する必要がありません。

サイト運営においては、プラットフォームやプラグインのアップデートが欠かせません。特に、脆弱性を防ぐためのパッチが提供された場合、それを適用し忘れると重大なセキュリティリスクを招く可能性があります。

しかし、さくらのWAFでは定義ファイルが自動的に更新されるため、アップデート忘れによる問題を回避できます。

これにより、セキュリティに詳しくない方でも、管理の負担を軽減できる点がメリットです。

デメリット

WAF使用時にgzip圧縮ができない

さくらのレンタルサーバーは、WAFを有効化するとgzip圧縮が利用できないため、サイトの表示速度に影響がでる可能性があります。

さくらのレンタルサーバーで使えるWAFは、利用するにあたり前提条件があります。

「WAF機能を利用の際は、mod_deflateを利用することができません。(一部抜粋)」

出典:SAKURA internet. “Webアプリケーションファイアウォール(WAF)を設定したい”. https://help.sakura.ad.jp/rs/2233/., (引用日:2024/11/29)

上記の文章は、さくらのインターネットの記事から一部抜粋したものです。確認すると、mod_deflateが利用できないことが明記されています。

mod_deflateとは、Apacheサーバー上でgzip圧縮を行うための機能(モジュール)です※1。この機能が使えないと、gzip圧縮ができないので、ページの読み込み速度が低下する可能性があります。

ページの読み込み速度が低下すると、以下のような影響が考えられます。

  • ユーザーのサイト離脱促進:サイトの表示が遅れ、ストレスを感じたユーザーがサイトから離脱してしまう
  • SEOへの影響:ページの表示速度は検索ランキングに影響を与える要素の1つであり、SEOに影響を及ぼす可能性がある※2

ページの表示速度は、gzip圧縮が利用できても、サーバーの応答時間や画像の最適化、JavaScriptの最適化など、さまざまな要因で変化します。このため、gzipが利用ができないからといって、ページの表示速度に直接的な影響が出るのではなく、影響が部分的である点に注意です。

このような点から、さくらのレンタルサーバーは、WAFを使いながらサイトの表示速度を極めるには不向きなことが考えられます。

gzip圧縮って何?

  • Webサーバー(ApacheやNGINX)がHTML、CSS、JavaScriptなどのテキストベースファイルを圧縮し、ブラウザに送信する際に使用される圧縮方式の一つ。
  • gzip圧縮を有効化することで、サーバーとブラウザ間のデータ転送量を削減し、ページの読み込み速度を向上させることができます。gzip圧縮が有効でない場合、データサイズが大きくなるため、データ転送時間が長くなる可能性があります。

※1 参考:APACHE 「Apache モジュール mod_deflate」

※2 参考:Google検索セントラル「ページの読み込み速度をモバイル検索のランキング要素に使用します」

注意点

誤検知する可能性がある

さくらのWAFを利用していると、稀に誤検知が発生することがあるため注意が必要です。

WAFは、サイトを攻撃から守るための重要なセキュリティ対策ですが、正常な操作を攻撃と判断してブロックしてしまうことがあります。

このような問題を、「フォールスポジティブ(False Positive, 偽陽性)」といいます。

この問題の影響で、誤検知によって設定の保存ができなくなり、サイト運営に支障をきたす場合があります。当サイトでも、403エラーが発生したり、カスタムCSSが適用されなかったりする問題を経験しました。

その事例の詳細は、下記の記事で解説しています。

Cocoon設定ができない!403エラーになってしまう原因がWAFだったのでまとめます!
この記事は、WordPressのCocoonテーマで発生する、Cocoon設定を行うと403エラーが発生してしまう問題をまとめた記事です。以前に、Cocoon設定の変更を行うとエラーが発生して、変更ができないという問題に遭遇しました。この問題は、WAFを一時的にオフにしてから変更を行うことで解決できましたので、色々とまとめていきたいと思います。
www.nekotabiya.com
2024.12.17
固定ページのカスタムCSSが使えない!WAFが原因だったので解決するまでをまとめます!
この記事は、WordPressで起こるカスタムCSSが使えなくなる問題をまとめた記事です。以前に、固定ページのカスタムCSSを保存するとCSSが反映されず、さらに保存したはずのCSSが消えてしまうという現象が起こりました。この問題は、WAFを一時的にオフにしてからカスタムCSSを保存することで解決できたので、色々とまとめていきたいと思います。
www.nekotabiya.com
2024.12.17

この問題は、フォールスポジティブという言葉があるように、一般的に起こりうるセキュリティ対策の課題です。そのため、もし上記のような問題が発生したと感じたら、さくらのWAFが原因ではないか疑ってみましょう。

このため、さくらのWAFを使っていて、うまく設定ができない場合があるので注意です。

余談

  実際は陽性 実際は陰性
陽性と判断 トゥルーポジティブ フォールスポジティブ
陰性と判断 フォールスネガティブ トゥルーネガティブ

ウイルスの検知ができない

さくらのWAFでは、ウイルスの検知ができないので、別途対策が必要です。

さくらのWAFは、Webアプリケーションへの攻撃を防ぐことに特化したセキュリティ対策ですが、ウイルスの検知機能は備わっていません。そのため、ウイルスがサーバーに侵入した場合、それを検知・駆除することができず、最悪の場合、サーバーが悪用されるリスクがあります。

具体的なウイルス対策としては、以下のような方法があります。

  • ウイルススキャン機能を持つプラグインの導入
  • 安全なファイルのアップロードを徹底する
  • 外部からセキュリティ対策をお願いする

このため、さくらのWAFを使っているからと安心せずに、セキュリティ対策を心がけていきましょう。

まとめ

さくらのWAFは、Webアプリケーションの脆弱性を狙った攻撃から守るためのセキュリティ対策の一つです。このサービスを利用することで、サイトをSQLインジェクション攻撃やクロスサイトスクリプティング攻撃から高確率でブロックすることができます。

 

使ってみた感想

メリット デメリット
  • 対象のプランに加入していると、無料で利用できる
  • 難しい設定ファイルを直接編集することなく、利用できる
  • 自動的にアップデートされるため、利用者側の管理が不要
  • WAFを有効化すると、gzip圧縮が利用できない

 

注意点

1.さくらのWAFを使用すると、稀に誤検知が発生することがある
2.ウイルスの検知ができないので、別途ウイルス対策が必要

 

これらの特徴から、初心者でも簡単にWEBアプリケーションの脆弱性のセキュリティ対策をしたいという方にとって非常に有用なサービスではないかと思いました。

ただし、どんなセキュリティ対策も100%攻撃を防ぐことはできません。攻撃手法は常に進化しており、新たな脆弱性が狙われる可能性があります。そのため、普段からしっかりと情報収集を行い、セキュリティ対策を徹底していくことが重要です。WAFに加えて、他のセキュリティ手段も併用し、サイトの防御力をさらに高めていきましょう。

さらに詳しく、公式ホームページを見たい方は、こちらの「WAF(ウェブアプリケーションファイアウォール)」をご参照ください。

さくらのレンタルサーバーを詳しく知りたい

これから、WordPressでサイト運営をしてみたいという方に向けて、WordPressが運用できる「さくらのレンタルサーバー」のメリット・デメリットを分かりやすくまとめました。

さくらのレンタルサーバーの主な特徴は、以下の通りです。

・高いコストパフォーマンス
・無料で使えるサービスが多い
・分かりやすい操作画面

当サイトでは約3年間、さくらのレンタルサーバーを使用しており、その使用感を基にしたリアルな情報をお届けします。「どのレンタルサーバーを使うべきか?」で悩んでいる方は、ぜひ参考にしてください!

この記事を読む