すべてのプロダクト
Search

このプロダクト

    Edge Security Acceleration:WAF を使い始める

    ドキュメントセンター

    Edge Security Acceleration:WAF を使い始める

    最終更新日:Aug 15, 2025

    ESA セキュリティ保護は、スマート レート制限、セキュリティ分析、ルール テンプレート、カスタム ルールなど、複数の緩和ポリシーを提供します。このガイドは、Web サイトを保護するための適切なポリシーを選択および構成するのに役立ちます。

    4 つのポリシー

    Web サイトとアプリケーションを Web 攻撃から保護するために、最も一般的な 4 つの緩和ポリシーを利用できます。デプロイの難易度順に並べられています。

    ポリシー名

    シナリオ

    デプロイの難易度

    主な利点

    スマート レート制限

    個人開発者および新しい小規模 Web サイト向け

    ★☆☆☆ (非常に低い)

    ワンクリック、AI 搭載の保護、構成コストゼロ

    セキュリティ分析からルールを作成する

    潜在的な脅威を積極的に発見して処理したい安定した Web サイト向け

    ★★☆☆ (低い)

    データドリブン、異常トラフィックの正確な識別、迅速な対応

    テンプレートからルールを作成する

    一般的な攻撃からの保護または一般的なセキュリティ要件への対応向け

    ★★★☆ (中程度)

    ESA プリセット テンプレートは、効率的なデプロイのための一般的なシナリオをカバーしています

    カスタム ルールを作成する

    きめ細かい制御が必要な複雑または固有のセキュリティ ニーズがある場合

    ★★★★ (高い)

    あらゆる複雑なシナリオの保護ニーズに柔軟に対応

    スマート レート制限

    これは、Web サイトを保護する最も簡単で迅速な方法です。セキュリティを初めて使用するユーザーに最適です。

    スマート レート制限は、ESA AI エンジンを搭載した自動レート制限機能です。この機能を有効にして保護レベルを選択すると、エンジンは過去 7 日間の Web サイトのトラフィック データを学習し、通常の リクエスト頻度のベースラインを確立します。その後、学習したしきい値を超える悪意のある リクエストを自動的にブロックするため、手動で構成する必要はありません。スマート レート制限は、ほとんどの CC(HTTP フラッド)攻撃を軽減し、悪意のあるクローラーを抑制し、Web サイトに基本的な保護を提供します。

    シナリオ

    • 個人開発者またはスタートアップ: Web サイトは新しく、トラフィックが少ないです。最小限の構成コストで基本的な CC 攻撃保護が必要です。

    • 初心者: WAF の構成に慣れておらず、ワンクリック ソリューションが必要です。

    始める前に

    • 有効時間: スマート レート制限は、有効にしてから約 10 秒で有効になります。

    • ブロック期間: レート制限をトリガーした IP アドレスは約 24 時間ブロックされます。

    • 誤検知の処理: 正当なユーザーの IP アドレスがブロックされた場合は、WAF > ホワイトリスト ルールに移動し、IP アドレスをホワイトリストに登録してアクセスを許可します。

    構成例

    1. ESA コンソールで、サイト管理 を選択し、管理する Web サイトの名前をクリックします。

    2. 左側のナビゲーション ウィンドウで、セキュリティ保護 > WAF を選択します。

    3. 概要 タブの スマートなレート制限 セクションで、設定 をクリックします。ステータス スイッチをオンにします。保護等級アクション を構成します。保護等級 に、アクションブロック に設定します。

      image

    説明

    シナリオに適した 保護レベル操作 を選択できます。

    セキュリティ分析からルールを作成する

    Web サイトに一定量のトラフィックがある場合は、トラフィック パターンを積極的に理解し、潜在的な脅威に対応することをお勧めします。

    ESAは、強力な セキュリティ分析 ダッシュボードと イベント分析 ダッシュボードを提供します。これらのダッシュボードでは、IP アドレス、アクセス パス、ユーザー エージェントなど、すべての リクエストの詳細を表示できます。データをフィルタリングおよび分析することで異常トラフィックが見つかった場合は、ワンクリックで WAF ルールを作成してブロックできます。これにより、次のような特定の悪意のある攻撃ソースを正確に特定し、迅速にブロックできます。

    • 悪意のある リクエストを継続的に送信する IP アドレスをブロックする。

    • 固有のユーザー エージェントに基づいて、ブラウザになりすました悪意のあるクローラー プログラムをブロックする。

    シナリオ

    • 成長している Web サイト: Web サイトのトラフィックが増加しています。アクセスを監視し、異常な リクエストを早期に検出したいと考えています。

    • プロアクティブなセキュリティ O&M: 攻撃が発生する前に疑わしい動作を検出して阻止したいと考えています。例として、Web サイト ディレクトリを高速にスキャンする IP アドレスが挙げられます。

    始める前に

    セキュリティ分析ダッシュボードとイベント ダッシュボードのデータには、約 5 分のレイテンシがあります。

    セットアップ

    1. ESA コンソールで、サイト管理 を選択し、ターゲット Web サイトをクリックします。

    2. 左側のナビゲーション ウィンドウで、セキュリティ保護 > セキュリティ分析 を選択します。

    3. フィルター 時間やその他のクエリ特性によってデータをフィルタリングします。

    4. [リクエスト分析] タブ > [フィルターからカスタム WAF ルールを作成] または [レート制限分析] > [フィルターから WAF レート制限ルールを作成] をクリックして、適用したフィルターに基づいて カスタム ルール を作成します。

      image

      説明

      Enterprise プランをご利用の場合は、[ボット分析] タブ > [フィルターからボット管理ルールを作成] をクリックできます。

    テンプレートからルールを作成する

    Web サイトが一般的で既知の攻撃タイプに直面している場合、テンプレートを使用するのが最も効率的です。

    ESA は、広範な脅威インテリジェンスに基づいて、事前に構成されたルール テンプレートのライブラリを提供します。例としては、「空の Referer を持つ リクエストをブロックする」、「ブルート フォース攻撃保護」、「特定の IP を許可する」などがあります。テンプレートを選択し、Web サイトのバックエンド ログイン アドレスなど、必要な情報を入力することで、ターゲットを絞った緩和ポリシーを迅速に生成してデプロイできます。このアプローチは、さまざまな既知の Web 攻撃方法に効果的に対抗し、Web サイトのセキュリティを強化します。

    シナリオ

    • 一般的な攻撃に直面している: Web サイトは、パスワードのブルート フォース攻撃や SQL インジェクションなどの一般的な攻撃を受けています。

    • 明確な保護目標を持っている: 必要な保護の種類を正確に把握しています。たとえば、「検索エンジンのクローラーだけに Web サイトへのアクセスを許可したい」などです。

    始める前に

    テンプレートを使用する前に、説明をよく読んで、その目的と必要なパラメーターを理解してください。これは、サービスに影響を与える可能性のある構成エラーを防ぐのに役立ちます。

    セットアップ

    1. ESA コンソールで、サイト管理 を選択し、ターゲット Web サイトをクリックします。

    2. 左側のナビゲーション ウィンドウで、セキュリティ保護 > WAF を選択します。

    3. 概要 タブで、ニーズに合った [ルール テンプレート] を選択してクリックします。

    4. ルール作成ページで、必要に応じてテンプレート パラメーターを入力します。次に、[OK] をクリックします。ルールはすぐに有効になります。

      image

    カスタム ルールを作成する

    最初の 3 つの方法では複雑で固有のセキュリティ ニーズを満たせない場合は、WAF ルール を使用して緩和ポリシーをカスタマイズします。

    カスタム ルールは、IP アドレス、URL、ヘッダー、Cookie などのさまざまな リクエスト属性を組み合わせて正確な条件を作成できるため、最高の柔軟性を提供します。 これらの条件に、ブロック、監視、許可などの操作を割り当てることができますESA は、IP アクセス ルール、ホワイトリスト、スキャン保護、マネージド ルール、カスタム ルール、レート制限ルールなど、複数のルール タイプをサポートしています。このアプローチは、事前定義されたポリシーではカバーできない高度にカスタマイズされたセキュリティ ニーズに対応できるため、Web サイト トラフィックを完全に制御できます。

    シナリオ

    • 高度なセキュリティ O&M: きめ細かい複数条件の保護ロジックを構築する必要がある経験豊富なセキュリティ エンジニアです。

    • 特別なシナリオ: アプリケーションには、緊密に統合された緩和ポリシーを必要とする固有のビジネス ロジックがあります。たとえば、特定の Cookie を持つユーザーだけに API へのアクセスを許可するなどです。

    • 複雑な攻撃に直面している: 攻撃者が常に方法を変更する高度な持続的脅威 (APT) に直面しています。柔軟で適応性のある緩和ポリシーを作成する必要があります。

    構成例

    単一の IP アドレスから www.example.com および image.example.com への リクエスト数が 10 秒以内に 20 を超えた場合、その IP アドレスからの後続のすべての リクエストに対して 1 分間スライダー チャレンジを設定します。

    説明

    Pro プラン以上でのみ、レート制限ルールがサポートされます。

    1. ESA コンソールで、[サイト管理] を選択し、ターゲット サイトの 操作 列をクリックし、image > WAF 設定 をクリックします。

    2. 左側のナビゲーション ウィンドウで、セキュリティ保護 > WAF を選択します。

    3. WAF ページで、レート制限ルール を選択し、ルールを追加 をクリックし、インターフェースのプロンプトに従ってルール情報を入力します。

      image

      • ルール名 を入力します。

      • リクエストが以下のルールと一致する場合...: 一致ルールを満たす ユーザー リクエストをフィルタリングします。リクエスト一致フィールドについては、「ルール式のコンポーネント」をご参照ください。この例では、一致タイプ フィールドに「ホスト名」を選択し、一致演算子フィールドに「次のいずれかを含む」を選択し、一致値フィールドに www.example.comimage.example.com を入力できます。

      • キャッシュリソースに適用: レート制限は、同じ特性を持つクライアント リクエストの数を効果的に制限できるため、オリジン サーバーへのリクエストの負荷を軽減できます。ただし、キャッシュにヒットした リクエストは、ESA によってクライアントに直接応答され、オリジン サーバーに負荷をかけません。これらのキャッシュヒット リクエストにレート制限を適用したくない場合は、このオプションをオフにすることができます。

      • 以下の同様の特性を有します…: 一致ルールを満たす リクエストをさらにフィルタリングします。

      • レートが以下の値を超えた場合…: 統計期間内に統計オブジェクトが一致条件にヒットすることが許可される最大回数を設定します。

        説明

        • 実行操作が [一致したリクエストに適用] に設定されている場合、処理期間は頻度時間です。

        • WAF は リクエストの応答が終了した後にカウントします。したがって、大きなファイル リクエストが多い場合、ダウンロード時間が長いため、実際のブロック開始時間が遅延します。

      • 次を実行:: 一致した リクエストの頻度がしきい値に達したときに実行される保護操作。しきい値を超えた リクエストに対してのみ操作を実行するか、しきい値を超えた後に特性に一致するすべての リクエストに対して操作を実行するかを選択できます。実行操作については、「実行操作の説明」をご参照ください。

        たとえば、上の図は次のことを示しています。ホスト www.example.com または image.example.com を持つすべてのクライアント リクエスト (キャッシュヒット リクエストとすべてのオリジン リクエストを含む) について、リクエストの送信元 IP アドレスを統計ディメンションとして使用し、頻度が 20 回/10 秒を超える場合、すべての リクエストは 1 分間 JavaScript チャレンジを受けます。