マネージドルールは、ESA に組み込まれたインテリジェントな保護ルールで、OWASP 攻撃や最新のオリジンサーバーの脆弱性 (SQL インジェクション、XSS、コード実行、CRLF、リモートファイルインクルード、Web シェルなど) から保護します。手動でのルール設定や更新を行わずに保護を有効化できます。
マネージドルールの有効化
ルールセットを有効化することで、ワンクリックでサイトを保護できます。
-
ESA コンソールで [サイト管理] を選択し、サイト 列で対象のサイトをクリックします。
-
サイト詳細ページで、セキュリティ保護 > WAF > マネージドルール に移動します。
-
マネージドルール タブの 推奨されるルールセット セクションで、マネージドルールセット を有効にして、サイト全体を一般的な Web 攻撃や脆弱性から保護します。
マネージドルールセットの編集
推奨されるルールセットを有効にすると、その設定を編集できます。
-
ESA コンソールで、[サイト管理]に移動し、サイト 列の対象サイトをクリックします。
-
「サイト詳細」ページで、セキュリティ保護 > WAF > マネージドルール に移動し、編集 をクリックします。リクエストタイプ で、すべてのリクエスト または カスタムルール を選択します。カスタムルールは ルール式構造 に従います。
-
保護レベル (インテリジェントレート制限の保護レベル) とアクション (アクション) を選択し、OK をクリックします。

マネージドルールセットの削除
推奨されるルールセット を有効にした後、無効化または削除できます。
-
ESA コンソールで、[サイト管理]に移動し、サイト 列で対象のサイトをクリックします。
-
サイト詳細ページで、セキュリティ保護 > WAF > マネージドルール に移動し、削除 をクリックします。
プラン別の利用可否
Entrance プランは、27 個のデフォルトの基本保護ルールのみをサポートしており、XSS、SQL インジェクション、CSRF、RFI、プロトコル違反、Web シェル、パストラバーサル、デシリアライゼーション、式インジェクションには対応していません。
|
機能 |
[Entrance] |
[Pro] |
[Premium] |
[Enterprise] |
|
マネージドルール |
基本ルールをサポート |
すべてのルールをサポート |
すべてのルールをサポート |
すべてのルールをサポート |
完全なルールリスト
|
ルール |
説明 |
|
基本保護ルール |
ゼロデイ脆弱性や Log4j エクスプロイトなどの一般的な攻撃から保護します。 |
|
SQL インジェクション |
入力フィールドに悪意のある SQL を挿入して不正なデータベースクエリを実行し、データの漏洩、削除、または変更を引き起こす可能性があります。 |
|
クロスサイトスクリプティング (XSS) |
Webページに悪意のあるスクリプトを挿入し、ユーザーのブラウザで実行させることで、Cookie を盗んだり、悪意のあるコードを埋め込んだりします。反射型、格納型、DOM ベースに分類されます。 |
|
コード実行 |
脆弱性を悪用したり、悪意のあるファイルをアップロードしたり、コードを挿入したりすることで、対象システム上で任意のコードを実行します。 |
|
CRLF インジェクション |
レスポンス構造を操作して HTTP レスポンスに追加のヘッダーを挿入し、XSS や HTTP レスポンス分割を引き起こす可能性があります。 |
|
ローカルファイルインクルード |
アプリケーションの脆弱性を悪用して、悪意のあるパスを介してローカルサーバーのファイルを読み込み、機密情報の漏洩やコード実行を引き起こす可能性があります。 |
|
リモートファイルインクルード |
外部URLを介してアプリケーションにリモートの悪意のあるファイルを含めさせ、コード実行を引き起こす可能性があります。 |
|
Web シェル |
侵害されたサーバーにアップロードされたWebベースのバックドアで、攻撃者がWebインターフェースを介してコマンドを実行し、ファイルを管理できるようにします。 |
|
OS コマンドインジェクション |
アプリケーションに悪意のある OS コマンドを埋め込み、サーバー側で実行させます。 |
|
式インジェクション |
サーバーが実行する悪意のある式を埋め込み、不正な操作を実行させます。 |
|
Java デシリアライゼーション |
悪意のある Java オブジェクトをデシリアライズして、サーバー上で任意のコードを実行します。 |
|
PHP デシリアライゼーション |
悪意のある PHP オブジェクトをデシリアライズして、サーバー上で任意のコードを実行します。 |
|
サーバーサイドリクエストフォージェリ (SSRF) |
サーバーを騙して、攻撃者に代わって内部または外部リソースへのリクエストを行わせます。 |
|
パストラバーサル |
|
|
任意ファイルアップロード |
サーバー側で実行するための悪意のあるファイルをアップロードします。 |
|
.NET デシリアライゼーション |
.NET アプリケーションの安全でないデシリアライゼーションを悪用して、悪意のあるシリアル化データを介して任意のコードを実行します。 |
|
スキャナー動作 |
大量のリクエストを生成して脆弱性を調査するWebアプリケーションスキャナーの動作を識別します。 |
|
ビジネスロジックの欠陥 |
ビジネスプロセスの実装における脆弱性を検出します。攻撃者がワークフローを操作して不正アクセスを行うことを可能にします。これらの欠陥は、従来の入力検証や出力エンコーディングをバイパスすることがよくあります。 |
|
任意ファイル読み取り |
操作されたファイルパスパラメータを介して任意のシステムファイルを読み取り、設定ファイル、認証情報、個人データを公開する可能性があります。 |
|
任意ファイルダウンロード |
任意のシステムファイルをダウンロードし、機密情報を公開したり、システムバックアップのオフライン分析を可能にしたりする可能性があります。 |
|
XML 外部エンティティ (XXE) インジェクション |
XML パーサーによる外部エンティティの処理を悪用して、システムファイルを読み取ったり、SSRF 攻撃を実行したり、サービス拒否を引き起こしたりします。 |
|
その他のルール |
特定のバックエンドシステムに対する脆弱性攻撃を対象とします。 |