SiteGuard Server Edition(WAF)

[更新: 2021年11月1日]

WAF(Web Application Firewall)は、これまでのL3ファイアウォールでは防御することが難しかった、Web上で動作するアプリケーションなどのL7への攻撃検知・防御や、アクセス制御機構などを提供するものです。
L7に対する攻撃はSQLインジェクジョンやクロスサイトスクリプティングなどの脆弱性を標的とすることが多く、これにより人間が直接可読可能なデータを入手される可能性が高くなり、個人情報など機密性の高い情報の漏えいにつながるケースが増加しつつあります。
これらのリスクを最小限に抑えるWAF機能として、さくらのVPSではEGセキュアソリューションズ株式会社が開発する純国産のホスト型WAF製品「SiteGuard Server Edition」をさくらのVPS向け特別版として無料で提供しています。

はじめに

さくらのVPS にて提供される「SiteGuard Server Edition」での管理・運用上、有用と思われる情報を紹介しています。
実行時に十分な注意が必要とされるものも含まれています。
特に実運用環境下でのオペレーションの際には、必ず注意事項に従って作業をおこなうようにしてください。
注意事項に記載があるにもかかわらず、誤った設定をおこなってしまったことによりシステムに深刻な打撃を与えてしまった場合、一切の責任を負いませんのでご注意ください。
SiteGuard Server Edition やOSのアップグレードなどにより、記載されている内容が予告なく変更される可能性があります。
SiteGuard Server Edition の設定代行作業は承っておりません。

さくらインターネットが提供する「SiteGuard Server Edition」のOSセットアップ仕様は以下の通りとなります。

SiteGuard Server Editionの特長

SiteGuard Server Editionでは、WAFとして以下のような豊富な特長を備えます。

ウェブサイトへの攻撃をブロック

ウェブサイトを対象にしたクロスサイトスクリプティングやSQLインジェクションなどの攻撃を高確率でブロックします。
SiteGuard Server Editionが備える主な機能は以下の通りです。
  • トラステッド・シグネチャ検査(ブラックリスト)

  • トラステッド・シグネチャ更新(自動、手動)

  • カスタム・シグネチャ検査(ブラックリスト、ホワイトリスト、しきい値)

  • Cookie保護(シグネチャ検査)

  • URLデコードエラー検出

  • DoS・ブルートフォース防御

  • パラメータ数制限

対応する脅威(攻撃手法)は以下の通りです。

  • SQLインジェクジョン

  • クロスサイトスクリプティング

  • OSコマンドインジェクション

  • HTTPヘッダインジェクション

  • ブルートフォース(ログインアタック等)

  • Apache Killer

  • hasdos

  • ShellShock 等

ご利用方法

さくらのVPS において、以下の2パターンにてSiteGuard Server Editionをご利用いただけます。
詳細につきましては画面下部の「EGセキュアソリューションズ株式会社 SiteGuard Server Edition ご利用ガイド」をご参照ください
  • 「標準OSインストール」時に「スタートアップスクリプト」でパッケージの追加インストール(初期設定はお客様にて実施いただきます)

  • ご利用中のサーバーへパッケージを追加でインストールする(インストール・初期設定はお客様にて実施いただきます)

スタートアップスクリプトでインストールする場合

さくらインターネット公式スクリプトの「SiteGuard Server Edition」は、CentOS 7/8/Stream 8 でご利用いただけます。
上記以外のOSをご利用の場合は、マニュアルをご参考いただきお客様自身でインストールをお願いいたします。

「サーバー」から対象サーバを選択して、「OS再インストール」をクリックします。

「標準OS」で利用するOSを選択し、「スタートアップスクリプト」から「SiteGuard Server Edition(Apache版)」または「SiteGuard Server Edition(Nginx版)」を選択します。

マニュアル・操作手順


リンク先のサイトを閲覧する際はアカウントとパスワードが必要です。
コントロールパネルにログインし、右上のメニューにある「SiteGuard利用」からサイト閲覧用のアカウントとパスワードを参照してください。