しぇあわふで手軽にサイトを保護する¶

[更新: 2020年11月7日]

さくらのクラウドは、スタートアップスクリプトやOSイメージなど豊富なオプションを含めて提供するサービスです。WEBサイトも手軽に構築することができます。

しかし、サイトを守る為のセキュリティ対策は、複雑な設定が必要など難しいと感じるお客様も多いのではないでしょうか。

セキュリティ対策されていないWEBサイトは、不正アクセスや攻撃に対して脆弱であり、企業の信用と信頼性が低下する恐れがあります。そんな課題に解決するのが、低価格で手軽に導入できるクラウド型WAFサービス「しぇあわふ」です。

本TIPSではクラウド型WAFサービス「しぇあわふ」を利用するまでの流れを解説します。

しぇあわふとは ¶

しぇあわふは、さくらのサービスで提供するクラウド型WAFサービスです。WAFとは「Web Application Firewall」の略称で、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティサービスです。

しぇあわふは、シンプルかつコストパフォーマンスを重視しています。サブドメインの設定を変更して、サイトへのアクセスをしぇあわふ経由に変更をすることで、手軽なご利用を可能とするサービスです。

一律のポリシーによりサービス提供をするため、セキュリティルール・ポリシー設定は不要です。また、国別のアクセス・IPアドレスによる通過・遮断設定はお客様により任意の値を指定することが可能です。

※各機能の詳細やその他の機能など詳細についてはしぇあわふサービス仕様書を参照ください。

注釈

しぇあわふは、さくらのクラウド以外にもレンタルサーバやVPS・専用サーバ、さくらインターネット以外で構築したサーバでもご利用いただけます。

利用方法 ¶

しぇあわふの実際の使い方について、初めてご利用を予定されるお客様を対象に、申込・必要事項・確認事項を解説いたします。

ここでは2020年10月時点の機能を前提にして進めていきます。

しぇあわふを使うには大きく４つのSTEPとなります。

　１.さくらのクラウド　コントロールパネルからのお申し込み

　２.お客様情報を記載するヒアリングシートの送付・証明書の提出

　３.お客様より返送のヒアリングシートを確認・サービスの準備・開通試験

　４.開通書の送付・利用開始(日時・週次レポート送付開始)

１.コントロールパネルからのお申し込み ¶

さくらのクラウドのコントロールパネルを開き、マーケットプレイスから申込みを行います。マーケットプレイス画面を開き「追加」ボタンをクリックします。

追加画面上部に表示される「ライセンス」ポップアップメニューで「しぇあわふ」を選択します。選択後、以降のフォームが変化し、しぇあわふお申し込み用のフォームが追加表示されます。

フォーム入力後、下部の「作成」ボタンをクリックすることでライセンスのお申込みが完了します。1～2営業日を目安に、会員情報に登録のメールアドレスへヒアリングシートを送付いたします。

注意

現在、「カスタムレポート」は月次レポートをβ提供しております。ご利用の際は、しぇあわふをお申し込み後、追加でカスタムレポートをお申し込みください。

２.お客様情報を記載するヒアリングシートの送付 ¶

ヒアリングシートの内容に従い項目を埋めていきます。

また、HTTPSを予定される際は、ヒアリングシートと一緒に証明書の提出が必要です。サーバのどのディレクトリに証明書が保存されているのかは、下記を参考にConfigファイルから確認してください。

■保存先の確認

・Apacheの場合

　※Apache2.4.7以前

証明書	ディレクティブ
Webサーバ証明書	SSLCertificateFile
Webサーバの秘密鍵	SSLCertificateKeyFile
中間証明書	SSLCertificateChainFile

　※Apache2.4.8以降

証明書	ディレクティブ
Webサーバ証明書、中間証明書の結合ファイル	SSLCertificateFile
Webサーバの秘密鍵	SSLCertificateKeyFile

・Nginxの場合

証明書	ディレクティブ
Webサーバ証明書、中間証明書の結合ファイル	ssl_certificate
Webサーバの秘密鍵	ssl_certificate_key

■証明書ファイルの取り出し

さくらのSSL等で購入した証明書は、Let’s Encryptを使用される場合では対応が異なります。

・さくらのSSL等により購入した証明書の場合

　購入の証明書の場合は、設定されていたディレクトリにある証明書のファイルを取り出して下さい。

・Let’s Encryptを使用している場合

　Let’s Encryptは証明書の有効期限が90日で、証明書の更新処理を自動化出来るようにApacheやNginxには、シンボリックリンクを指定します。

　その為、証明書の実体のパスを確認する必要があります。証明書の更新処理が行なわれていると複数世代の証明書が保存されます。最新の証明書のファイルを取り出して下さい。

証明書	シンボリックリンクのパスディレクティブ	証明書の実体のパス
Webサーバ証明書	/etc/letsencrypt/live/[サーバーのドメイン]/cert.pem	/etc/letsencrypt/archive/[サーバーのドメイン]/cert[数字].pem
Webサーバの秘密鍵	/etc/letsencrypt/live/[サーバーのドメイン]/privkey.pem	/etc/letsencrypt/archive/[サーバーのドメイン]/privkey[数字].pem
中間証明書	/etc/letsencrypt/live/[サーバーのドメイン]/chain.pem	/etc/letsencrypt/archive/[サーバーのドメイン]chain[数字].pem

下記のコマンドを実行することで調査が可能です。

[root@server ~]# ls -l /etc/letsencrypt/live/[サーバーのドメイン]/
合計 4
-rw-r--r-- 1 root root 692  9月  6 16:45 README
lrwxrwxrwx 1 root root  39  9月  6 16:45 cert.pem -> ../../archive/[サーバーのドメイン]/cert2.pem
lrwxrwxrwx 1 root root  40  9月  6 16:45 chain.pem -> ../../archive/[サーバーのドメイン]chain2.pem
lrwxrwxrwx 1 root root  44  9月  6 16:45 fullchain.pem -> ../../archive/[サーバーのドメイン]/fullchain2.pem
lrwxrwxrwx 1 root root  42  9月  6 16:45 privkey.pem -> ../../archive/[サーバーのドメイン]/privkey2.pem
[root@server ~]# ls -all /etc/letsencrypt/archive/[サーバーのドメイン]/
合計 40
drwxr-xr-x 2 root root 4096  9月  6 16:45 .
drwx------ 3 root root 4096  7月  6 05:12 ..
-rw-r--r-- 1 root root 1923  7月  6 05:12 cert1.pem
-rw-r--r-- 1 root root 1923  9月  6 16:45 cert2.pem
-rw-r--r-- 1 root root 1647  7月  6 05:12 chain1.pem
-rw-r--r-- 1 root root 1647  9月  6 16:45 chain2.pem
-rw-r--r-- 1 root root 3570  7月  6 05:12 fullchain1.pem
-rw-r--r-- 1 root root 3570  9月  6 16:45 fullchain2.pem
-rw------- 1 root root 1704  7月  6 05:12 privkey1.pem
-rw------- 1 root root 1704  9月  6 16:45 privkey2.pem