1. Home
  2. Next-Gen WAF
  3. まずはじめに

スタートガイド (Next-Gen WAF)

ようこそ!このガイドでは、Next-Gen WAF プロダクトのセットアップと設定に必要な手順の概要をご説明します。Fastly の Sales and Solutions Engineering チームのスタッフと共に、以下を実践してみましょう。

  • お客様に適したプラットフォームのプランデプロイ方法を選択します。

  • (オプション) ステージング Web サイトに Next-Gen WAF を追加します。

    ヒント : 任意ではありますが、本番環境の Web サイトの前にステージング Web サイトに Next-Gen WAF を追加することを推奨します。これにより、Next-Gen WAF がビジネスロジックに対応し、望むとおりに機能し、すべての正規のトラフィックを許可することが保証されます。

  • (オプション) ステージング Web サイトの保護を、ブロッキングレベルを上げながらテストして調整します。

  • Next-Gen WAF を本番環境の Web サイトに追加します。

  • 本番環境の Web サイトの保護を、ブロッキングレベルを上げながらテストして調整します。

  • 本番トラフィックをモニタリングし、問題に対処します。

ヒント : このページは、Fastly の Next-Gen WAF の使用開始時に役立つよう作成されました。Full-Site Delivery について詳しく知りたい場合は、Full-Site Delivery のスタートガイドをご覧ください。

1. 実装計画を立てる

Next-Gen WAF の使用を開始するには、Fastly のセールスチームにお問い合わせください。お客様のビジネスニーズに基づき、ご利用いただける Next-Gen WAF の機能を決定するパッケージの選定をお手伝いいたします。プランの階層が高いほど、アクセスできる機能が増えます。

次に、デプロイ方法を選択します。これは、Next-Gen WAF プロダクトをリクエストフローに統合する方法です。選択したパッケージによって、利用可能なデプロイ方法が決まります。Security Core、Security Core Plus、または Security Total パッケージの一部として Next-Gen WAF を購入した場合、Fastly の Edge Cloud Platform (エッジ WAF) 上、またはお客様のインフラストラクチャ内の Web サーバー (オンプレミス WAF) に直接デプロイできます。Security Starter、Security Advantage、または Security Ultimate パッケージの一部として Next-Gen WAF を購入した場合、エッジ WAF およびオンプレミス WAF オプションに加えて、Fastly のクラウドホスト型インフラストラクチャ (クラウド WAF) にもデプロイできます。

その後、Fastly は Next-Gen WAF コンソールまたは Fastly コンソールで Next-Gen WAF プロダクトへのアクセス権を付与します。Next-Gen WAF へのアクセスに使用するコンソールから、企業 (アカウント) とサイト (ワークスペース) を管理できます。

2. ステージングまたは本番環境の Web サイト用に Next-Gen WAF をセットアップする

Next-Gen WAF プロダクトにアクセスできるようになったら、ステージングまたは本番環境の Webサイトのデプロイ方法をセットアップし、Next-Gen WAF がトラフィックを監視していることを確認します。

デプロイ方法をセットアップする

デプロイ方法をセットアップするには、該当するセットアップガイドの指示に従います。

デプロイ方法が決定すると、Next-Gen WAF はすぐに Webサイトへのトラフィックの監視を開始し、悪意のあるリクエストや異常なリクエストを検出し、リクエストデータをコンソールに入力します。正規のトラフィックがブロックされないように、Next-Gen WAF は最初はすべてのリクエストをブロックしません。ステップ3では、エージェントモード (保護モード) の設定によってブロックを有効にします。

正規のトラフィックをログに記録するリクエストルールを一時的に作成する

重要 : Essential プラットフォームを使用している場合は、ステージングまたは本番環境の Webサイトをテストする手順をスキップし、ブロッキングレベルを徐々に上げるテストに移行してください。このステップでは、カスタムシグナルを使用する必要がありますが、Essential プラットフォームではサポートされていません。

デフォルトでは、Fastly のストレージポリシーに従って、Next-Gen WAF は正規のトラフィックではなく、悪意のある異常なトラフィックからのリクエストデータのみを取得します。このストレージに特化したアプローチにより、表示されるデータの攻撃や疑わしい行動を制限できます。また、Next-Gen WAF がすべてのトラフィックを監視していることや、Next-Gen WAF がどのリクエストを許可するかを確認するために、正規のトラフィックのサンプルからのリクエストデータを一時的にログに記録することも可能です。

これを実行するために、Fastly ではシグナルを活用します。シグナルは、重要なリクエストプロパティを識別するラベルです。ペイロードによっては、Next-Gen WAF は単一のリクエストに複数のシグナルをタグ付けする場合があります。Next-Gen WAF は、ログに記録してブロックするリクエストを決定する際に、シグナルに依存しています。

Webサイトへのすべてのトラフィックのサンプルからリクエストデータをログする手順は、以下のとおりです。

  1. すべてのトラフィックに対してカスタムシグナルを作成します。

  2. すべてのリクエストにシグナルを適用するリクエストルールを作成します。リクエストルールは、Next-Gen WAF が特定のリクエストを許可、ブロック、偽装、またはタグ付けするタイミングを個別に定義する設定です。

Next-Gen WAF の攻撃検知機能に慣れたら、このルールを無効にすることを推奨します。

Next-Gen WAF が動作していることを確認する

Next-Gen WAF が Webサイトを監視していることを確認するには、複数のリクエストを送信します。Next-Gen WAF は受信したリクエストのサンプルをログに記録し、Next-Gen WAF との通信に使用するコンソールで個々のリクエストデータを利用できるようにします。

3. ステージングまたは本番環境の Webサイトをブロッキングレベルを上げながらテストする

Next-Gen WAF を Webサイトに追加したら、保護のテストと調整を開始できます。

お客様にとって新しい環境であることから、Next-Gen WAF は Webサイトを監視し、すべてのトラフィックを許可します。まだブロックは実行しません。ブロッキング行動は、エージェントモード (保護モード) の設定によってコントロールされます。この設定に応じて、リクエストの処理方法が決定します。オプションは以下のとおりです。

  • Blocking : リクエストのブロックとログ記録を有効にします。このオプションは、Web アプリケーションを能動的に保護し、Web トラフィックの可視性を提供します。正規のトラフィックは引き続き許可されます。

  • Not Blocking (Logging とも呼ばれます) : リクエストのログ記録を有効にします。このオプションは Web トラフィックの可視性を提供しますが、Web サイトを積極的に保護するものではありません。

  • Off : リクエスト処理を無効にします。Next-Gen WAF はリクエストのブロックもログ記録も行いません。

デフォルトでは、サイト (ワークスペース) のエージェントモード (保護モード) は Not Blocking (Logging) に設定されます。

検知した攻撃をテストして理解する

Not Blocking (Logging) モードでは、Next-Gen WAF は悪意のあるリクエストデータや異常なリクエストデータを検出して取得し、すべてのトラフィックを許可します。Next-Gen WAF が攻撃ペイロードを含むリクエストを正しく識別していることを確認するには、攻撃ツールを使用して Webサイトをスキャンし、攻撃をシミュレートします。さまざまな脆弱性をシミュレーションできるため、テストには Nikto の使用をお薦めします。

スキャンが開始されると、どのリクエストに攻撃ペイロードが含まれていたかを確認できます。攻撃ペイロードを含むリクエストには、攻撃シグナル (例 : ディレクトリトラバーサルや XML エンコーディングエラー) がタグ付けされます。

Nikto IP アドレスは、短期間に攻撃を含む大量のリクエストを送信するため、Next-Gen WAF は Nikto IP アドレスにフラグを立てる可能性があります。攻撃しきい値の設定は、フラグ付けのパラメータを定義します。具体的には、IP アドレスからのリクエスト数が定義された攻撃シグナルの制限に達すると、その IP アドレスにフラグが付けられ、選択された IP アドレスからの後続のリクエストは一定期間ブロックされるか、ログに記録されます。

お客様の Webサイトは Not Blocking (Logging) モードであるため、Nikto IP アドレスからの後続のリクエストはログに記録され、かつ許可されます。Blockingモードにしている場合、Next-Gen WAF は、Nikto IP アドレスからの攻撃シグナルを含むリクエストをブロックします。Nikto IP アドレスからの正規のトラフィックは引き続き許可されます。一定期間が経過すると、Nikto IP アドレスからのリクエストはブロックされなくなります。

しきい値ベースのブロックを実装する

IP アドレスがフラグされるタイミングを十分に理解したら、エージェントモード (保護モード) を Blocking に変更し、攻撃ツールを実行して動作をテストします。Next-Gen WAF は、フラグが付けられた IP アドレスから送信され、攻撃シグナルがタグ付けされたリクエストをブロックするはずです。

即時ブロックを実装する

しきい値ベースのブロックは、大量の攻撃で Webサイトを狙う攻撃者からの攻撃に対処しますが、攻撃ペイロードを含むリクエストを即座にブロックするわけではありません。少なくとも1つの攻撃シグナルを含むすべてのリクエストを即座にブロックするには、即時ブロックの設定を有効にする必要があります。

あるいは、既知の悪意のある攻撃者からの攻撃を即座にブロックすることもできます。

保護とデータプライバシーを調整する

Blocking モードを有効にすると、以下の機能を使用して Webサイトの保護を調整し、Next-Gen WAF が適切なトラフィックをブロックおよび許可していることを確認できます。

リクエストデータのプライバシー設定を調整することもできます。デフォルトでは、リクエストがプラットフォームのバックエンドに到達する前に、機密データは削除されます。デフォルトで削除する内容に加えて、リクエストを修正する追加フィールドを指定できます。例えば、password ではなく foobar という名前のパスワードフィールドに対して、カスタム修正を作成できます。また、IP アドレスを匿名化することも可能です。

4. 本番トラフィックを監視して問題に対処する

Next-Gen WAF が本番環境の Webサイトを積極的に保護し始めた後は、Webサイトのトラフィックと WAF が実行するすべてのブロッキングを監視できます。詳細については、以下のガイドをご覧ください。

懸念される行動に気付いた場合は、Webサイトの保護とデータプライバシーの設定を調整するか、Fastly のサポートチームに連絡してサポートを受けてください。

次のステップ

Fastly のプロダクトと機能について詳しくは、https://docs.fastly.com のドキュメントをご覧ください。ご質問がある場合は、サポートチームにお問い合わせください。

関連コンテンツ

Fastly
© Fastly 2026