Webサイトセキュリティ
Cloudflare製品がどのようにお客様の資産を保護するかを詳細に理解して、ご自分に適した設定をお選びください。
通知
通知を管理して、警告してほしい内容と警告方法を定めます。当社では以下の有効化をお勧めしています。
- Passive Origin Monitoring Alerts(オリジンの受動的監視に基づく警告):当社のエッジネ�ットワークからお客様のオリジンWebサーバーに繋がらない状態が5分以上続いた時に通知し、速やかに問題を解決できるようにします。
- HTTPS DDoS Alerts(HTTPS DDoS攻撃の警告):お客様のインターネットプロパティを狙ったDDoS攻撃をCloudflareが自動検出・軽減した時に、リアルタイムでメール通知します。登録してください。
- Security Events Alert(セキュリティイベントの警告):関連のログエントリーを生成するCloudflareサービス全般で、ファイアウォール関連のイベントの急増が見られた場合は、2時間以内に警告します。
DNSレコードを管理する
Cloudflare DNSをご利用いただくと、お客様のドメインへのDNSクエリーはすべて、当社のグローバルエニーキャストネットワ�ークが応答します。DNSレコードは、訪問者や他のWebサービスに対して、お客様のドメインに関する情報を伝達する役割を果たします。
Cloudflare DNSを使うと、お客様のWebサイトのレコードすべてをDNSタブで管理することができます。利用可能なオプションについては、Cloudflareダッシュボードの説明動画をご覧ください。
オレンジ雲 対 グレー雲
オレンジ色の雲のシンボル は、そのホスト名へのトラフィックがCloudflareを経由していることを示しています。 このオレンジ雲で、オリジンIPの秘匿、キャッシング、SSL、Webアプリケーションファイアウォールなどの機能を有効化します。 当社では、Aレコード、AAAAレコード、CNAMEレコードについてオレンジ雲を有効化することをお勧めします。
グレーの雲 は、CloudflareはそれらのレコードをDNSで公開せず、すべてのトラフィックがCloudflareを経由せずにお客様のオリジンへルーティングされていることを示しています。 これは、レコードまたは非Webトラフィックに照らしてサービス(メールやFTPなど)を検証しようとする場合は、A、AAAA、CNAME以外のレコードのようないくつかのコンテキストで有用です。 Cloudflareでレコードの問題が発生した場合は、DNSタブでそのレコードの雲マークをグレーにすることによって、Cloudflareを一時停止することができます。
オンボーディング後に配信不能メールの問題が発生した場合は、DNSタブでメール受信に使われるDNSレコードの雲マークをグレーにしてください。 デフォルト設定ではHTTPトラフィックのプロキシ化しか認めておらず、メールトラフィックが中断されます。
オリジンIPアドレスを秘匿する
Cloudflareは、悪意のあるトラフィックを検出してブロックするために多くの機能を提供しています。しかし、悪意を持ったユーザーがお客様のサーバーのオリジンIP(実際にリソースがホストされている場所)を見つけてしまうと、そのサーバーに直接トラフィックを送ったり攻撃したりすることが可能になるかもしれません。
この情報が漏れないようにする対策をご検討ください:
- お客様のゾーンの DNSレコードを見直す。可能であれば、すべてのサブドメインをCloudflare上に置き、SPFレコードとTXTレコードにオリジンの情報がないかをチェックします。
- 保護したいWebリソースと同じサーバー上でメールサービスをホストしないようにします。存在しないアドレスへ送られたメールが攻撃者に返されて、メールサーバーのIPが知られてしまうからです。
- Webサーバーが、ユーザーが提供する任意のアドレスに接続しないようにします。
- DNSレコードがパブリックドメインにあるため、オンボードしたらオリジンIPをローテーションします。履歴が残されており、Cloudflare導入前のIPアドレスがその中にあるでしょう。
DNSSECを有効化する
DNSSECは、既存のDNSレコードに暗号署名を付すことによって、安全なドメインネームシステムを作成します。このデジタル署名は、A、AAAA、MX、CNAMEといった一般的なタイプのレコードと共にDNSネームサーバーに保存します。
リクエストされたDNSレコードは、関連づけられた署名をチェックすることによって、中間者攻撃で挿入された偽のレコードではなく、権威ネームサーバーからのもので、途中で改ざんされていないことを確認できます。
当社では、DNSSECを有効化して、Cloudflare上のドメインのDNSにもう一層認証を追加することを強くお勧めします。
SSL暗号化を有効化する
SSL証明書は、ユーザー情報を暗号化して、インターネット上におけるユーザーの安全を確保します。SSLを手動構成するには、いくつかのステップを踏む必要がありますが、構成を間違うとユーザーがWebサイトにアクセスできなくなってしまいます。
Cloudflareを使えば、ボタンをクリックするだけでHTTPSを有効化できます。当社では、エッジ証明書とオリジンサーバー証明書を提供しています。
- エッジ証明書:デフォルトとして、すべてのCloudflareドメインに対し、公的に信頼される非共有のSS証明書を無料で発行し、更新します。お客様のドメインは、ドメイン有効化から24時間以内にUniversal SSL証明書を自動的に受け取るはずです。当社では、お客様のサイト上のデータの機密性を確保するための設��定として、フルまたはフル(厳密)の有効化をお勧めしています。
- オリジン用証明書発行機関(認証局):Cloudflareとお客様のオリジンWebサーバー間のトラフィックの暗号化には、認証局発行の証明書をお使いください。それらの証明書は、デプロイされればSSL(厳密)モードとの互換性を持ちます。
WAFによる保護を得る
Webアプリケーションファイアウォール(WAF)をデプロイすることにより、送受信トラフィックのタイプによって許可するか否かを一式のルール(しばしばポリシーと呼ばれます)で定めることができます。WAFは、SQLインジェクション攻撃、クロスサイトスクリプティング、クロスサイトフォージェリといった攻撃から保護します。
当社のWAFは、自動防御とカスタムルールを作成できる柔軟性を提供します。
- レート制限ルール:表現と一致する受信リクエストのレート制限と、その限度に達した時に取るべきアクションを定めます。
- WAFマネージドルールセット:あらかじめ設定したポリシーを有効化して、高度なゼロデイ脆弱性に対するものも含め、即時保護を実現します。
- 露出資格情報のチェック:盗まれた資格情報や露出した資格情報を使ったアカウント乗っ取りを監視し、ブロックします。
- ファイアウォール分析:セキュリティ脅威を調査し、アクティビティログに基づいてお客様のセキュリティ設定を最適化します。
WAF設定のヒント
マネージドルールセットを使う場合:
- 自社のテクノロジー�スタックに対応するルールグループだけを有効化します。 例えば、WordPressをご利用なら、Cloudflare WordPressグループを有効化します。 カスタムルールを作成することもできます。
- 当社では、WAFをオンにして Cloudflare Specialsを有効化し、最新の攻撃ベクトルに対して自動防御することをお勧めしています。
キャッシングの基本を理解する
キャッシングとは、ファイルのコピーを一時的な保管場所に保存して、すばやくアクセスできるようにするプロセスをいいます。WebブラウザはHTMLファイル、JavaScript、画像をキャッシュして、読み込み時間を短縮します。DNSサーバーはDNSレコードをキャッシュして、ルックアップを高速化します。CDNサーバーはコンテンツ�をキャッシュして、遅延を少なくします。
- 当社のデフォルトのキャッシュ挙動について知りましょう。
- HTMLをキャッシュする場合は、CloudflareのPage Rulesで、動的コンテンツのキャッシュ方法に関するルールを設定できます。
ブラウザキャッシュTTLとエッジキャッシュTTLを理解する
これらの重要な機能は、お客様のサイトを保護し、最新のコンテンツが表示されるようにするのに役立ちます。
- エッジキャッシュTTL(Time to Live) は、当社のエッジネットワークでリソースをキャッシュする期間を指定します。 キャッシュしたリソースの保存期間(オリ�ジンから再取得するまでの期間)を、お客様が設定できます。
- ブラウザキャッシュTTL は、訪問者のブラウザ内にキャッシュされるリソースの保存期間を設定します。
たとえば、選挙結果ページを当社が20分ごとに自動キャッシュするリソースで更新する場合は、エッジキャッシュTTLを20分、ブラウザキャッシュTTLを約1分に設定して、ユーザーが新鮮なデータを入手できるようにします。 あるいは、ファイルを更新するたびに、ファイルURLまたはホスト名によってキャッシュを手動で削除することもできます。