WAFカスタムルールへの移行
CIS 既存の ファイアウォールルールを ルールセットエンジン を使用するようにアップグレードしました。現在では カスタムルール として知られています。 カスタムルールにより、ユーザーはいくつかの追加機能とともに最大限の保護を得ることができます。 CIS ダッシュボードでは、これらのルールは 「セキュリティ」ページ > 「ファイアウォールルール」タブで確認できます。
WAFカスタムルールへの移行がまだの場合は、移行を妨げる無効な設定があるかもしれません。 この場合、WAFカスタムルールへの移行について、アカウントチームに連絡してサポートを受けてください。
ファイアウォールルールとカスタムルールの主な違い
ファイアウォールルールとWAFカスタムルールの主な違いは以下の通りです
- ブロックアクションのレスポンスが改善されました。
- ブロックされたリクエストに対する異なるエラーページ
- 新しいスキップアクションが、許可とバイパスアクションの両方に置き換わる
- カスタムルールは順番に評価されます。
- ログとイベント
- 新規 API
ブロックアクションのレスポンスが改善されました
カスタムルールでは、ブロックアクションの応答をカスタマイズすることができます。
デフォルトのブロックレスポンスは、 CIS 標準HTMLページです。 ブロックアクションに対してカスタム応答を送信する必要がある場合は、カスタムルールを設定して、カスタム応答コード(デフォルトでは403)とカスタムボディ(HTML、JSON、XML、またはプレーンテキスト)を固定応答として返すようにします。
単一のルールに対してカスタム応答を定義するには 、「セキュリティ」>「WAF」>「カスタムルール」 の順にアクセスし、カスタムルールを編集して、ブロック関連のオプションをすべて入力します。
カスタムブロックレスポンスの設定は、ファイアウォールルールAPIでは返されません。 この新機能の管理には 、Rulesets API をご利用ください。
ブロックされたリクエストに対する異なるエラーページ
ブロックアクションを持つファイアウォールルールによってブロックされたリクエストには、 CIS 1020エラーコードの応答 が返されます。 CIS ユーザーは、 カスタムページ > 1000クラスのエラーでこのエラーページをカスタマイズできる場合があります。
WAFのカスタムルールによってブロックされたリクエストには、WAFブロック応答という異なる応答が返されます。 デフォルトのブロック応答をカスタマイズするには、次のいずれかの方法があります
- カスタムページ > WAFブロックで、ゾーン全体に対するカスタムWAFブロック応答を定義します。 このカスタムページは常にHTMLコンテンツタイプとなります。
- 特定のWAFカスタムルールによってブロックされたリクエストに対する カスタム応答を定義します。 このカスタムレスポンスは、HTML以外の他のコンテンツタイプもサポートしています。
ファイアウォールルールによってブロックされたリクエスト用のカスタムページで 1xxx エラーページをカスタマイズした場合は、前述のいずれかの方法を使用して、ブロックされたリクエスト用の新しい応答ページを作成する必要があります。
新しいスキップアクションが、許可とバイパスアクションの両方に置き換わる
ファイアウォールルールは、よく一緒に使用される「許可」と「バイパス」のアクションをサポートしていました。 これらのアクションは、既知の正当なリクエスト(例えば、信頼されたIPアドレスからのリクエスト)を処理するために一般的に使用されていました。
リクエストがAllowをトリガーした場合、残りのファイアウォールルールはすべて評価されず、事実上、リクエストは次のセキュリティ製品に継続されます。 Bypassアクションは、どのセキュリティ製品(WAF管理ルール、レート制限ルール、ユー ザーエージェントブロックなど)がアクションのトリガーとなるリクエストで実行されな いかを指定するために設計されました。
ファイアウォールルールを使用する場合、特定のリクエストに対してすべてのセキュリティ製品の実行を停止したい場合は、2つのルールを作成します
- バイパスアクションのルール(すべてのセキュリティ製品を選択)が1つあります。
- Allow アクションに関するルール(他のファイアウォールルールを実行しないようにする)。
このよくあるシナリオに対処するための2つのルールという要件は、WAFのカスタムルールにはもはや適用されません。 次に、[スキップ] アクションを使用します。これは、[許可] と [バイパス] アクションを組み合わせたものです。 スキップアクションは、WAFカスタムルールではサポートされていない許可アクションとバイパスアクションを完全に置き換えます。
スキップアクションでは、以下の操作が可能です
- 残りのすべてのWAFカスタムルール(Allowアクションに相当)を停止する
- 他のセキュリティ製品の実行を避ける(バイパス動作に相当)
- 両方の組み合わせ。
また、カスタムルールに一致するイベントをスキップアクションでログに記録するかどうかを選択することもできます。 これは、大量の正当なトラフィックを記録しないようにするポジティブなセキュリティモデルを作成する際に特に役立ちます。
ファイアウォールルールAPIは、スキップアクションをサポートしていません。 スキップアクションを含むカスタムルールを作成すると、ファイアウォールルールAPIでは「許可」と「バイパス」に変換されます。 新しいスキップアクションの機能をフルに活用するには 、Rulesets API を使用します。
カスタムルールは順番に評価されます
ファイアウォールのルールアクションは、 優先順位付け を使用する場合、特定の優先順位がありました。 これに対して、WAFのカスタムルールアクションにはそのような順序はありません。 カスタムルールは常に順番に評価され、ブロックなどの一部のアクションは他のルールの評価を停止します。
例えば、優先順位付けを使用しており、同じ優先順位を持つ以下のファイアウォールルールが両方とも着信リクエストに一致する場合:
- ファイアウォールルール #1 — 優先度:2 / アクション:ブロック
- ファイアウォールルール #2 — 優先度:2 / アクション:許可
ファイアウォールルールの「許可」アクションが「ブロック」アクションよりも優先されるため、リクエストは許可されます。
これに対して、2つのWAFカスタムルールを作成し、両方のルールが受信リクエストに一致する場合:
- カスタムルール #1 — アクション:ブロック
- カスタムルール #2 — アクション:スキップ(残りのカスタムルールをすべてスキップするように設定)
WAFのカスタムルールは順番に評価され、ブロックアクションは他のルールの評価を停止するため、リクエストはブロックされます。
既存のファイアウォールルールから変換されたWAFカスタムルールについては、 CIS は現在の実行順序を維持します。
ログとイベント
WAFカスタムルールによって記録されたイベントは、ソースとして Custom rules
が記載された状態で、 セキュリティ > イベントから利用できます。 詳細については 、「 CIS セキュリティイベント機能の使用 」を参照してください。
WAFカスタムルールへの移行が発生した日を含む時間枠を選択すると、セキュリティイベントページでファイアウォールルールによって生成されたイベントがまだ表示される場合があります。 同様に、移行期間中は、同じビューに「スキップ」と「許可」の両方のアクションがあるイベントがまだ表示される場合があります。
新規 API
WAFカスタムルールを管理するための推奨APIは 、ルールセットAPI です。 ルールセットAPIは、 IBM APIとのやり取りにおいて統一されたユーザー体験を提供するために、すべての最新の CIS セキュリティ製品で使用されています。 Rulesets API への移行に関する詳細は 、「API ユーザー向けの関連変更 」を参照してください。
ファイアウォールルールAPIとフィルターAPIは、2025年7月30日まで動作する。 ファイアウォールルールとカスタムルールの両方に対して、ルールは1つのリストにまとめられ、このリストにはWAFカスタムルールが含まれます。 内部変換プロセスにより、ファイアウォールルールAPIとフィルターAPIは、これらのWAFカスタムルールから変換されたファイアウォールルール/フィルターを返します。
ダッシュボード・ユーザーに関連する変更
ファイアウォールルール]タブは引き続き存在し、期待通りに機能する。 主な違いは、バックグラウンドで使用されるAPIである。
APIユーザーに関連する変更
Firewall Rules APIと 関連する Filters APIは 非推奨となりました。 2025年7月30日以降、これらのAPIはサポートされなくなる。 ファイアウォールルールAPIまたはフィルターAPIに基づく自動化は、この日までに ルールセットAPIに 移行し、問題を未然に防いでください。 ルールIDはファイアウォールルールとカスタムルールで異なるため、特定のルールIDを扱う自動処理に影響を与える可能性がある。
廃止日まで、3つのAPI(Firewall Rules API、Filters API、Rulesets API)はすべて利用可能です。 CIS、 Firewall Rules APIと Filters APIの 呼び出しは、内部的に対応するRulesets APIの呼び出しに変換されます。 ファイアウォールルールとWAFカスタムルールの両方について、単一のルールリストが存在することになる。
ブロックされたリクエストに対するカスタムレスポンスやSkipアクションのようなカスタムルールのいくつかの新機能は、従来のFirewall Rules APIではサポートされていません。 CIS これらの機能を利用するには、 CIS ダッシュボードの WAF カスタムルールページまたは Rulesets API を使用することをお勧めします。
ルールセットAPIを使用するWAFカスタムルールの管理例については、「 WAFカスタムルールについて 」を参照してください。