すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:データリスク管理の設定

    ドキュメントセンター

    Web Application Firewall:データリスク管理の設定

    最終更新日:Apr 01, 2026

    データリスク管理は、レジストレーション、ログイン、キャンペーン、フォーラムなど、高価値なウェブサイトのエンドポイントを、レートベースの検出をバイパスするボットによる不正行為から保護します。Alibaba Cloud のビッグデータ技術を基盤として構築されており、リスク意思決定エンジンと CAPTCHA 検証(コンピュータと人間を区別するための完全自動公開チューリングテスト)を活用して、人間ユーザーと自動スクリプトを識別します。Web Application Firewall(WAF)にご利用のウェブサイトを追加する以外に、サーバーまたはクライアント側での構成は一切不要です。

    重要

    WAF のシナリオ固有の設定機能は、現在、より細かい制御が可能なクローラー対策にも対応しています。クローラー対策のルールを設定した後は、クローラー保護のためにデータリスク管理を使用する必要はありません。Alibaba Cloud では、データリスク管理の更新およびメンテナンスを今後提供しません。クローラー脅威を対象とした新規デプロイメントについては、代わりにシナリオ固有の設定をご利用ください。

    ユースケース

    データリスク管理は、リクエストレートが正常に見えるが、HTTP フラッド攻撃対策では悪意あるトラフィックと正当なトラフィックを区別できないボットによる攻撃に適しています。

    • スパムによるユーザー登録

    • SMS フラッド攻撃

    • 認証情報の総当たり攻撃(Credential stuffing)

    • ブルートフォース攻撃

    • 自動購入ボット

    • キャンペーンの悪用

    • スナッチャーボット

    • 投票操作

    • スパム

    仕組み

    image

    WAF は、ユーザーがサイトにアクセスしてからリクエストを送信するまでの間に、ウェブページに JavaScript プラグインを挿入し、行動および環境に関する信号を収集します。リクエストが保護対象の URL に到達した際の処理は以下のとおりです。

    • 行動信号が通常のユーザーを示す場合、リクエストは中断されることなく通過します。

    • 信号が疑わしい場合、またはソース IP に悪意ある活動の履歴がある場合、スライダー式 CAPTCHA 検証がトリガーされます。

    • スクリプトがスライダー操作を模倣した場合、ユーザーが検証を通過するか、リクエストがブロックされるまで、追加の検証手法が適用されます。

    前提条件

    開始する前に、以下の条件を満たしていることを確認してください。

    • WAF コンソール中国本土でデプロイされた WAF インスタンスがあり、ボット管理モジュールが有効化されていること

    • 以下の要件を満たす Web Application Firewall インスタンスを有効化していること:

      • インスタンスが中国本土リージョンにあること

      • Bot Managementモジュールが有効化されていること

    • WAF にウェブサイトが追加されていること (詳細は「クイックスタート: 最初のウェブサイトを追加する」をご参照ください)

    制限事項

    データリスク管理は、ウェブページおよび HTML5 環境でのみ動作します。JavaScript プラグインは、以下のページタイプと互換性がない場合があり、スライダー式 CAPTCHA のエラーが発生することがあります。

    ページタイプ回避策
    URL ナビゲーション、location.href リダイレクト、window.open、またはアンカータグ <a>HTML 詳細ページ、共有ページ、ホームページ、ドキュメントJavaScript プラグインの挿入を互換性のあるページのみに制限する(「JavaScript プラグインを挿入するページの指定」を参照)
    リクエストを書き換えまたはインターセプトするページカスタムフォーム送信、XMLHttpRequest(XHR)の書き換え、カスタム Ajax リクエスト上記と同じ
    Webhook を使用するページWebhook コードが実行されるすべてのページ上記と同じ
    プラグインの挿入を特定のページに限定すると、行動データのカバー率が低下し、検出精度が劣化する可能性があります。

    ネイティブアプリの保護には、代わりに Anti-Bot SDK をご使用ください。「アプリケーション保護の設定」をご参照ください。

    データリスク管理の有効化

    1. WAF コンソールにログインします。画面上部のナビゲーションバーから、ご利用の WAF インスタンスがデプロイされているリソースグループおよびリージョン(中国本土または中国本土以外)を選択します。

    2. 左側のナビゲーションウィンドウから、保護構成 > ウェブサイト保護 を選択します。

    3. ウェブサイト保護ページの上部にあるドメイン名の切り替えドロップダウンリストから、ご利用のドメイン名を選択します。

      切换域名

    4. ボット管理タブで、データリスク管理セクションを見つけ、今すぐ設定をクリックします。

    5. ステータストグルを有効化します。

      データリスク管理を有効化すると、WAF は特定のウェブページまたはすべてのウェブページに JavaScript プラグインを挿入します。ウェブページ上のデータは、GZIP 形式ではない圧縮ファイルとしてユーザーに返されます。ご利用のウェブサイトが非標準ポートを使用している場合でも、追加の構成は一切不要です。

    6. モードを設定します。警告モードから開始してトラフィックを観察し、ログを確認した後に厳格なモードへ切り替えてください。

      ステータストグルを有効化しないと、モードや保護ルールの設定ができません。
      モード動作
      警告(デフォルト)すべてのリクエストを転送します。リスクレポートで確認できるよう、疑わしい活動をログ記録します。JavaScript プラグインは引き続き静的ページに挿入され、行動データの収集を行います。
      ブロック攻撃が検出された場合、多要素認証(MFA)を要求します。
      厳密な遮断攻撃が検出された場合、厳密な多要素認証(MFA)を要求します。

    保護対象の URL の追加

    保護対象の URL とは、サービスオペレーションが送信されるエンドポイントであり、ユーザーがブラウザで表示するページの URL ではありません。

    例: www.aliyundoc.com/new_user という登録ページでは、バックエンドに対して 2 つのエンドポイントが呼び出されることがあります。www.aliyundoc.com/getsmscode(検証コードの取得)および www.aliyundoc.com/register.do(登録の送信)です。これらの 2 つのエンドポイントを保護対象の URL として追加してください。代わりにページ URL www.aliyundoc.com/new_user を追加した場合、登録ページにアクセスするすべてのユーザーが、フォーム入力前にスライダー式 CAPTCHA 検証を通過する必要があります。これにより、通常のユーザー体験が損なわれます。

    URL マッチングルール:

    ルール動作
    完全一致www.aliyundoc.com/test はそのパスのみを保護し、サブディレクトリは保護対象外です。
    ディレクトリワイルドカードwww.aliyundoc.com/book/*/book 配下のすべてのパスを保護します。
    www.aliyundoc.com/*この設定では、ホームページにアクセスするすべての訪問者が CAPTCHA を通過する必要があります。
    API 専用エンドポイントデータリスク管理は、マシンプロセスによって呼び出される純粋な API エンドポイントには適用されません。ただし、ユーザーがボタンをクリックして API 呼び出しをトリガーする場合は、検証が正常に機能します。

    保護対象の URL を追加する手順:

    1. データリスク管理ページで、保護対象の URLタブをクリックし、その後保護対象の URL を追加をクリックします。

    2. 保護対象の URL を追加ダイアログボックスで、保護対象のリクエスト URLフィールドにエンドポイント URL を入力します。

    3. OK をクリックします。

    新しい URL は約 10 分で有効になります。URL 一覧に表示された後は、必要に応じて変更または削除できます。

    JavaScript プラグインを挿入するページの指定

    デフォルトでは、WAF はご利用のウェブサイトのすべてのページに JavaScript プラグインを挿入します。プラグインと互換性のないページがある場合は、挿入対象を互換性のあるページに限定してください。

    1. データリスク管理ページで、JavaScript プラグインを挿入するページタブをクリックします。

    2. 特定のページに JavaScript プラグインを挿入を選択し、ウェブページを追加をクリックします。

    3. URL を追加ダイアログボックスで、URL パス(各パスは / で始まる必要があります)を入力し、OK をクリックします。最大 20 個の URL パスを追加できます。

    パスを追加した後、JavaScript プラグインはそのパス配下のすべてのページに挿入されます。

    プラグインの挿入を特定のページに限定すると、データリスク管理がユーザーの全体的な操作フローを観察できず、検出精度が低下する可能性があります。

    ホワイトリストの設定

    特定のリクエストをデータリスク管理のチェック対象から除外するには、ボット管理モジュールのホワイトリストを設定します。「ボット管理のホワイトリスト設定」をご参照ください。

    保護結果の確認

    ドメインのログ収集を有効化した後、ログ照会タブに移動し、不正行為防止高度な検索セクションで選択することで、データリスク管理の結果を確認できます。「ログの照会および分析」をご参照ください。

    例:登録エンドポイントの保護

    www.aliyundoc.com のウェブサイトでは、ユーザーが www.aliyundoc.com/register.html で登録できます。攻撃者はスクリプトを用いて通常のレートで登録リクエストを送信し、懸賞抽選への参加用アカウントを作成します。リクエストレートが正常であるため、HTTP フラッド攻撃対策ではこれらのリクエストが検出されません。

    構成: www.aliyundoc.com/register.html を保護対象の URL として追加します。

    構成後の保護の仕組み:

    • JavaScript プラグインは www.aliyundoc.com のすべてのページに挿入され、ユーザーがサイトにアクセスした瞬間から行動信号を収集します。

    • ユーザーが /register.html に対して登録リクエストを送信すると、WAF はそのセッション全体を通して収集された行動および環境データを評価します。

    • サイトを通常通りナビゲートしてフォームを埋め、送信したユーザーは中断されることなく通過します。

    • /register.html に直接ジャンプしてリクエストを送信するスクリプトは、疑わしいと判定され、スライダー式 CAPTCHA 検証が提示されます。

    • スクリプトがスライダー操作を模倣した場合、追加の検証が適用されます。検証に失敗した場合は、リクエストがブロックされます。

    次のステップ

    • ブロックモードまたは厳密な遮断モードに切り替える前に、まず警告モードを有効化し、WAF ログサービス を使用してログを確認し、互換性テストを実行してください。

    • ネイティブアプリの保護を行うには、Anti-Bot SDK の設定を行ってください。「アプリケーション保護の設定」をご参照ください。

    • クローラー保護におけるデータリスク管理の代替として、シナリオ固有の設定を構成してください。「シナリオ固有の設定の概要」をご参照ください。