すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:資産センター

    ドキュメントセンター

    Web Application Firewall:資産センター

    最終更新日:Nov 09, 2025

    Web Application Firewall (WAF) の資産センター機能は、Alibaba Cloud 内外のドメイン名資産を整理します。クラウドアセットの攻撃ステータスに基づいてリスクレベルを評価し、サービスの全体的なセキュリティ体制を把握するのに役立ちます。リスクの高いドメイン名資産の保護を有効にして、全体的なセキュリティを向上させることができます。

    背景情報

    ネットワークアプリケーション資産は、セキュリティ管理システムにおいてネットワークアプリケーションの最も重要なキャリアであり、業務システムにおける最も基本的なコンポーネントです。企業のビジネスが急速に発展するにつれて、より多くの業務システムが使用されるようになります。単一の企業が複数の業務システムを持つことがあり、従業員が Web サイトやテスト環境を構築した後にリソースの解放を忘れることがあります。その結果、業務システムに管理されていないゾンビ資産が含まれる可能性があります。業務システムで最も脆弱な部分が、システム全体のセキュリティを決定します。ほとんどの場合、ゾンビ資産は、共通の脆弱性を持つ古いバージョンのオープンソースシステム、コンポーネント、または Web フレームワークを使用しています。攻撃者はこれらの脆弱性を悪用して、企業の内部ネットワークに侵入する可能性があります。

    資産の検出機能は、ドメイン、SSL 証明書サービス、Alibaba Cloud DNS などの Alibaba Cloud サービスの構成を取得できます。その後、この機能はビッグデータによる相関分析と連携して、取得した構成に基づいてクラウド内外のドメイン名を特定します。これにより、すべてのドメイン名の全体的な状況を監視し、すべてのドメイン名が保護されていることを確認できます。資産の検出機能は、脅威インテリジェンスと Alibaba Cloud のデフォルトの攻撃検出機能に基づいてドメイン名のセキュリティスコアを計算します。これにより、攻撃に対して脆弱なドメイン名を特定できます。その後、ドメイン名を WAF に追加して攻撃を防ぐことができます。
    説明 資産の検出機能は、Alibaba Cloud およびサードパーティプロバイダーのドメイン名を特定できます。サードパーティプロバイダーのドメイン名には、サードパーティプロバイダーのサーバーのドメイン名と、データセンターにデプロイされているサーバーのドメイン名が含まれます。

    ステップ 1: 資産センターにアクセスし、WAF にクラウドリソースへのアクセス権限を付与する

    1. Web Application Firewall 3.0 コンソールにログインします。トップメニューバーから、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。

    2. 左側のナビゲーションウィンドウで、アセットセンター をクリックします。

    3. アセットセンター ページで、[今すぐ有効にする] をクリックします。

      説明

      これらの権限を付与する必要があるのは 1 回だけです。すでに付与している場合は、このステップをスキップできます。

      • 初めて資産センターを有効にすると、Alibaba Cloud は WAF のサービスリンクロール (AliyunServiceRoleForWAF) を自動的に作成します。Resource Access Management (RAM) コンソールにログインして、WAF 用に自動的に作成されたサービスリンクロールを表示できます。詳細については、「RAM ロールを表示する」をご参照ください。

        AliyunServiceRoleForWAF サービスリンクロールが作成されると、WAF インスタンスは、Elastic Compute Service (ECS)、Server Load Balancer (SLB)、Alibaba Cloud DNS、Alibaba Cloud CDN、Digital Certificate Management Service、Simple Log Service (SLS) などの関連する Alibaba Cloud サービスのリソースにアクセスできるようになります。

      • WAF にクラウドリソースへのアクセス権限が付与されると、Alibaba Cloud アカウントに関連付けられているドメイン名資産が自動的に検出され、その情報が アセットセンター ページに表示されます。

        説明

        資産センターは、Alibaba Cloud と Alibaba Cloud 以外のドメイン名の両方の検出をサポートしています。Alibaba Cloud 以外のドメイン名には、Alibaba Cloud 以外のサーバーに名前解決されるドメイン名や、オンプレミスのデータセンターで使用されるドメイン名が含まれます。

        資産の検出の精度を向上させるために、WAF はデフォルトでアクティブな指紋スキャンを有効にします。WAF に追加された資産については、パッシブなトラフィック分析とアクティブなプローブによって資産の指紋が特定されます。アクティブな指紋スキャンは 2 週間ごとに実行されます。この機能は有効にしておいてください。

    ステップ 2: 資産を追加する

    監視したいプライマリドメイン名が資産リストにない場合は、手動で追加できます。

    1. アセットセンター ページの 概要 タブで、Add Asset をクリックします。

    2. Add Asset ダイアログボックスで、Web サイトのドメイン名を入力し、その所有権を検証します。

      • DNS 検証 (推奨): ドメインの DNS プロバイダーで WAF が提供する TXT レコードを手動で追加します。

      • ファイル検証: WAF が提供する検証ファイルをオリジンサーバーの指定されたルートディレクトリにアップロードします。これには、オリジンサーバーへの運用アクセスと、WAF がインターネットからファイルを検証できるようにパブリック IP アクセスを許可するセキュリティグループポリシーが必要です。

      DNS 検証

      1. 検証プロンプトエリアで、Method 1: DNS Record タブをクリックします。

      2. WAF コンソールの レコードタイプHost NameRecord Value を使用して、ドメイン名解決サービスプロバイダーに TXT レコードを追加します。

        Alibaba Cloud DNS を使用する場合は、次の手順に従います。そうでない場合は、それぞれのシステムで同様の手順を実行してください。

        1. パブリックゾーン ページで、プライマリドメイン名を見つけ、右側の [DNS 設定] をクリックします。

        2. [ゾーンの追加] をクリックし、次のパラメーターを構成し、他のパラメーターはデフォルト値のままにして、[OK] をクリックします。

          • [レコードタイプ] で、[TXT] を選択します。

          • [ホスト名]: ドメイン名のプレフィックスを入力します。例: verification

          • [レコード値]: WAF によって生成されたレコード値を入力します。例: verify_8fca29dec226****

      3. TXT レコードが有効になるのを待ちます。新しい TXT レコードはすぐに有効になりますが、既存の TXT レコードへの変更は通常 10 分後に有効になります。正確な時間は、ドメインの DNS 設定で構成された Time to Live (TTL) によって異なり、デフォルトでは 10 分です。

      4. WAF コンソールに戻り、Verify をクリックします。

        • 検証が成功すると、ドメインの所有権が確認されます。

        • 検証が失敗した場合エラーメッセージに原因の詳細が表示されます。次のようにトラブルシューティングします。

          1. TXT レコードの確認: 追加したホストレコードとレコード値が、WAF コンソールで提供された情報と完全に一致していることを確認します。不一致がある場合は、間違ったレコードを削除し、再度追加して、もう一度検証します。

          2. DNS レコードが有効になるのを待つ: DNS レコードはすぐに有効にならない場合があります。DNS レコードが有効になるまでにかかる時間は、DNS サーバーに設定されている TTL キャッシュ時間によって異なります。10 分待ってから再度検証することをお勧めします。

          3. 検証方法の切り替え: 検証が繰り返し失敗する場合は、方法 2: ファイル検証 を使用することをお勧めします。

      ファイル検証

      1. 検証プロンプトエリアで、Method 2: Verification File タブをクリックします。

      2. リンクをクリックして検証ファイルをダウンロードします (図の ①)。image..png

        重要

        • 検証ファイルはダウンロード後 3 日間のみ有効です。この期間内にファイル検証を完了しない場合は、再度ダウンロードする必要があります。

        • 編集や名前の変更など、検証ファイルをいかなる方法でも変更しないでください。

        • WAF は選択されたプロトコルタイプに基づいてオリジンサーバーにアクセスします。オリジンサーバーのセキュリティグループまたはファイアウォールルールが対応するトラフィックを許可していることを確認してください:

          • [HTTP] を選択した場合は、0.0.0.0/0 からのポート 80 でのインバウンド TCP トラフィックを許可します。

          • [HTTPS] を選択した場合は、0.0.0.0/0 からのポート 443 でのインバウンド TCP トラフィックを許可します。

      3. 検証ファイルを、ドメインのオリジンサーバー (Elastic Compute Service (ECS) インスタンス、Object Storage Service (OSS) バケット、Cloud Virtual Machine (CVM) インスタンス、Cloud Object Storage (COS) バケット、Elastic Compute Cloud (EC2) インスタンスなど) の Web ルートディレクトリに手動でアップロードします (図の ②)。

        説明

        ワイルドカードドメイン名 (例: *.aliyun.com) を追加する場合は、検証ファイルを aliyun.com のルートディレクトリにアップロードする必要があります。

        アップロードが完了したら、以下の方法で検証ファイルが正常にアップロードされたかどうかを確認できます。

      4. WAF コンソールに戻り、Verify をクリックします。

        • 検証が成功すると、ドメインの所有権が確認されます。

        • 検証が失敗した場合エラーメッセージに原因の詳細が表示されます。エラーメッセージに基づいて問題をトラブルシューティングします。

          問題

          解決策

          ドメイン名にアクセスできません。

          1. ドメインの DNS レコードをチェックして、オリジンサーバーを指すレコードがあることを確認します。Alibaba Cloud DNS の場合は、「DNS レコードを追加する」をご参照ください。

          2. オリジンサーバーのセキュリティグループまたはファイアウォールルールをチェックして、パブリックアクセスリクエストが許可されていることを確認します。ECS セキュリティグループの場合は、「セキュリティグループルールを追加する」をご参照ください。

          検証ファイルが存在しません。

          検証ファイルをドメインのオリジンサーバーに再アップロードします。

          ファイルの内容が正しくありません

          1. ドメインのオリジンサーバーに移動し、間違った検証ファイルを削除します。

          2. 正しい検証ファイルを再アップロードします。

      5. すべての IP アドレス (0.0.0.0/0) からのアクセスを許可するルールはセキュリティリスクがあるため、オリジンサーバーの初期セキュリティ構成にすでに含まれていない限り、所有権が確認された後にこの一時的なルールを削除することをお勧めします。

    3. 上記の設定が完了したら、Add をクリックします。

    説明

    資産を手動で追加すると、翌日 (T+1) に資産センターのリストに表示されます。

    ステップ 3: 資産を表示する

    アセットセンター ページで、ドメイン名資産の詳細を表示できます。

    资产中心

    データタイプ

    説明

    関連する操作

    ドメイン名資産データ (図のエリア ①)

    Alibaba Cloud アカウントに関連付けられているドメイン名資産に関するデータを表示します。これには、プライマリドメイン名の総数、サブドメインの総数とその前日からの変化、および高リスク、中リスク、低リスクに分類された保護されていないサブドメインの数が含まれます。

    なし

    ドメイン名資産の詳細 (図のエリア ②)

    WAF は、検出されたドメイン名資産をプライマリドメイン名でグループ化して集約および表示します。各プライマリドメイン名には、次の情報が含まれます。

    • [プライマリドメイン名]: Web サイトにバインドされているプライマリドメイン名。

    • [解決済み IP]: Web サイトサーバーの IP アドレスまたは CNAME。

    • [保護されているサブドメインの数]: WAF によって保護されているサブドメインの数。

    • [保護されていないサブドメインの数]: WAF によって保護されていないサブドメインの数。これには、高リスク、中リスク、低リスクのサブドメインの数が含まれます。

    • ドメイン名資産リストの上にある検索ボックスにキーワードを入力して、特定のプライマリドメイン名を検索できます。あいまい検索がサポートされています。

    • ドメイン名資産リストで、プライマリドメイン名の左側にある 展开 アイコンをクリックして、構成ステータスとリスクレベルでサブドメインをフィルターします。サブドメイン情報には以下が含まれます。

      • Subdomain: Web サイトにバインドされているサブドメイン。

      • IP Address: Web サイトサーバーの IP アドレスまたは CNAME。

      • Fingerprint: パッシブなトラフィック分析とアクティブな指紋スキャンによって識別される、Web サイトサーバーの指紋情報。

        アクティブな指紋スキャンスイッチは、資産センターに権限を付与した後に有効になります。ドメイン名資産リストの右上隅にあるスイッチを使用して、アクティブな指紋スキャンを有効または無効にできます。

      • Severity: 過去 30 日間の攻撃トレンドと脅威インテリジェンスデータに基づいて評価されるドメイン名のリスクレベル。高リスクのドメイン名については、侵入を防ぐためにできるだけ早く WAF に追加して保護することをお勧めします。

      • ステータス: Web サイトのドメイン名が WAF によって保護されているかどうかを示します。次のステータスが利用可能です。

        • 未追加: Web サイトのドメイン名は WAF によって保護されていません。操作 列の 追加 をクリックして、ドメイン名を WAF に追加できます。詳細については、「CNAME レコードを使用して WAF にドメイン名を追加する」をご参照ください。

        • Added: Web サイトのドメイン名は WAF によって保護されています。WAF は Web サイトのトラフィックを検出し、ドメイン名に包括的な保護を提供します。

    • サブドメインの 操作 列にある Details をクリックして、その脅威情報を表示します。

      説明

      この機能は、エンタープライズ版およびアルティメット版の WAF インスタンスでのみ利用できます。

    ステップ 4: 資産をエクスポートする

    1. アセットセンター ページの 概要 タブで、エクスポートするプライマリドメイン名を選択し、右上隅のダウンロード 下载 アイコンをクリックしてエクスポートファイルを生成します。

    2. アセットセンターExport Record タブで、Download をクリックしてドメイン名資産ドキュメントをエクスポートします。

      エクスポートされたファイルは一時的に Alibaba Cloud に保存され、3 日後に自動的に削除されます。この期間内にファイルをダウンロードする必要があります。

      説明

      資産リストをダウンロードできるのは Alibaba Cloud アカウントのみです。この機能は RAM ユーザーではサポートされていません。