ブロックアクションのレスポンスが改善されました

カスタムルールでは、ブロックアクションの応答をカスタマイズすることができます。

デフォルトのブロックレスポンスは、 CIS 標準HTMLページです。 ブロックアクションに対してカスタム応答を送信する必要がある場合は、カスタムルールを設定して、カスタム応答コード（デフォルトでは403）とカスタムボディ（HTML、JSON、XML、またはプレーンテキスト）を固定応答として返すようにします。

単一のルールに対してカスタム応答を定義するには 、「セキュリティ」>「WAF」>「カスタムルール」 の順にアクセスし、カスタムルールを編集して、ブロック関連のオプションをすべて入力します。

カスタムブロックレスポンスの設定は、ファイアウォールルールAPIでは返されません。 この新機能の管理には 、Rulesets API をご利用ください。

ブロックされたリクエストに対する異なるエラーページ

ブロックアクションを持つファイアウォールルールによってブロックされたリクエストには、 CIS 1020エラーコードの応答 が返されます。 CIS ユーザーは、 カスタムページ > 1000クラスのエラーでこのエラーページをカスタマイズできる場合があります。

WAFのカスタムルールによってブロックされたリクエストには、WAFブロック応答という異なる応答が返されます。 デフォルトのブロック応答をカスタマイズするには、次のいずれかの方法があります

• カスタムページ > WAFブロックで、ゾーン全体に対するカスタムWAFブロック応答を定義します。 このカスタムページは常にHTMLコンテンツタイプとなります。
• 特定のWAFカスタムルールによってブロックされたリクエストに対する カスタム応答を定義します。 このカスタムレスポンスは、HTML以外の他のコンテンツタイプもサポートしています。

ファイアウォールルールによってブロックされたリクエスト用のカスタムページで 1xxx エラーページをカスタマイズした場合は、前述のいずれかの方法を使用して、ブロックされたリクエスト用の新しい応答ページを作成する必要があります。

新しいスキップアクションが、許可とバイパスアクションの両方に置き換わる

ファイアウォールルールは、よく一緒に使用される「許可」と「バイパス」のアクションをサポートしていました。 これらのアクションは、既知の正当なリクエスト（例えば、信頼されたIPアドレスからのリクエスト）を処理するために一般的に使用されていました。

リクエストがAllowをトリガーした場合、残りのファイアウォールルールはすべて評価されず、事実上、リクエストは次のセキュリティ製品に継続されます。 Bypassアクションは、どのセキュリティ製品（WAF管理ルール、レート制限ルール、ユー ザーエージェントブロックなど）がアクションのトリガーとなるリクエストで実行されな いかを指定するために設計されました。

ファイアウォールルールを使用する場合、特定のリクエストに対してすべてのセキュリティ製品の実行を停止したい場合は、2つのルールを作成します

• バイパスアクションのルール（すべてのセキュリティ製品を選択）が1つあります。
• Allow アクションに関するルール（他のファイアウォールルールを実行しないようにする）。

このよくあるシナリオに対処するための2つのルールという要件は、WAFのカスタムルールにはもはや適用されません。 次に、[スキップ] アクションを使用します。これは、[許可] と [バイパス] アクションを組み合わせたものです。 スキップアクションは、WAFカスタムルールではサポートされていない許可アクションとバイパスアクションを完全に置き換えます。

スキップアクションでは、以下の操作が可能です

• 残りのすべてのWAFカスタムルール（Allowアクションに相当）を停止する
• 他のセキュリティ製品の実行を避ける（バイパス動作に相当）
• 両方の組み合わせ。

また、カスタムルールに一致するイベントをスキップアクションでログに記録するかどうかを選択することもできます。 これは、大量の正当なトラフィックを記録しないようにするポジティブなセキュリティモデルを作成する際に特に役立ちます。

ファイアウォールルールAPIは、スキップアクションをサポートしていません。 スキップアクションを含むカスタムルールを作成すると、ファイアウォールルールAPIでは「許可」と「バイパス」に変換されます。 新しいスキップアクションの機能をフルに活用するには 、Rulesets API を使用します。

カスタムルールは順番に評価されます

ファイアウォールのルールアクションは、 優先順位付け を使用する場合、特定の優先順位がありました。 これに対して、WAFのカスタムルールアクションにはそのような順序はありません。 カスタムルールは常に順番に評価され、ブロックなどの一部のアクションは他のルールの評価を停止します。

例えば、優先順位付けを使用しており、同じ優先順位を持つ以下のファイアウォールルールが両方とも着信リクエストに一致する場合：

• ファイアウォールルール #1 — 優先度：2 / アクション：ブロック
• ファイアウォールルール #2 — 優先度：2 / アクション：許可

ファイアウォールルールの「許可」アクションが「ブロック」アクションよりも優先されるため、リクエストは許可されます。

これに対して、2つのWAFカスタムルールを作成し、両方のルールが受信リクエストに一致する場合：

• カスタムルール #1 — アクション：ブロック
• カスタムルール #2 — アクション：スキップ（残りのカスタムルールをすべてスキップするように設定）

WAFのカスタムルールは順番に評価され、ブロックアクションは他のルールの評価を停止するため、リクエストはブロックされます。

既存のファイアウォールルールから変換されたWAFカスタムルールについては、 CIS は現在の実行順序を維持します。

ログとイベント

WAFカスタムルールによって記録されたイベントは、ソースとして Custom rules が記載された状態で、 セキュリティ > イベントから利用できます。 詳細については 、「 CIS セキュリティイベント機能の使用 」を参照してください。

WAFカスタムルールへの移行が発生した日を含む時間枠を選択すると、セキュリティイベントページでファイアウォールルールによって生成されたイベントがまだ表示される場合があります。 同様に、移行期間中は、同じビューに「スキップ」と「許可」の両方のアクションがあるイベントがまだ表示される場合があります。

新規 API

WAFカスタムルールを管理するための推奨APIは 、ルールセットAPI です。 ルールセットAPIは、 IBM APIとのやり取りにおいて統一されたユーザー体験を提供するために、すべての最新の CIS セキュリティ製品で使用されています。 Rulesets API への移行に関する詳細は 、「API ユーザー向けの関連変更 」を参照してください。

ファイアウォールルールAPIとフィルターAPIは、2025年7月30日まで動作する。 ファイアウォールルールとカスタムルールの両方に対して、ルールは1つのリストにまとめられ、このリストにはWAFカスタムルールが含まれます。 内部変換プロセスにより、ファイアウォールルールAPIとフィルターAPIは、これらのWAFカスタムルールから変換されたファイアウォールルール/フィルターを返します。