IBM Cloud Docs
WAF管理ルールへの移行

WAF管理ルールへの移行

CIS ウェブ・アプリケーション・ファイアウォール(WAF)の機能は、ルールセット・エンジン(Ruleset Engine)スイートの下に移動している。 この変更には手動での移行が必要ですが、 CIS UI移行ウィザードの使用をお勧めします。 そのためには、アップデートを終了する前に、コンフィギュレーションを見直し、 セキュリティイベントを 確認する必要がある。

マイグレーションが完了すると、WAF に関連する API、CLI、または Terraform を使用する自動化は機能しなくなり、新しい管理対象ルール・セットを使用するように更新する必要があります。

2024年6月以降に作成されたインスタンスは、新しいRuleset Engine言語を使用しており、移行する必要はありません。

インスタンスを管理対象ルールにマイグレーションするには、以下の手順を実行します。

  1. セキュリティ・ セクションに移動する。
  2. WAF タブを選択する。 CISインスタンスがアップグレードされていない場合、新しいWAFに更新するメッセージが表示されます。
  3. 「構成の確認」 をクリックします。
  4. レビュー設定パネルでは、ルールセットは適用された順番に表示されます。
  5. ステータス列のスイッチを使用して、ルールセットを有効または無効にします。
  6. 各ルールセットの横にある 「アクション」メニュー から、ルールセットの編集、並び替え、または完全な削除を選択できます。 これらのアクションは、デフォルトからのオーバーライドと見なされます。
  7. 管理されたルールセット 」セクションでは、まだ追加されていないルールセットを追加または設定することができます。
    • 追加したいルールセットの「追加」 をクリックし、新しいルールのスイッチを 「無効」 から 「有効」に切り替えます。
    • 移行する前に設定するルールセットの 「設定」 をクリックします。 「デプロイメントの構成」 サイド・パネルでは、すべての着信要求を受け入れることも、式ビルダーで行ったカスタマイズ・フィルターを使用して実行範囲を更新することもできます。 続いて、**「保存」**をクリックします。
  8. サイドパネルのデプロイをクリックして続行します。
  9. (Enterprise のみ) Security > Events タブでセキュリティイベントを確認し、イベントが正しいと感じたら Ready to update を選択します。
  10. 移行を完了するには 、[以前のバージョンをオフにする ] を選択します(この手順は元に戻すことができません)。または、編集を続行するには、[キャンセル] を選択します。 この移行では、ダウン時間は発生しません。

ルールセットの編集

アクションメニューから、以下のアクションを選択できます:

  • 編集: ルールセット内のルールのバッチ編集を行うだけでなく、ルールセットのアクションやステータスを変更できるパネルを開きます。 編集は、デフォルト・ルールのオーバーライドと見なされます。
  • 削除: リストからルールセットを削除します。
  • 上へ移動 :ルールセットが実行される順序を変更し、優先度を1つ高くします。
  • 移動する ルールセットが実行される優先順位を変更します。

例外の追加

独自の例外を追加するには、以下の手順を実行します。

  1. 「例外の追加」 をクリックします。
  2. 「例外の追加」 サイド・パネルで、例外の名前を入力します。
  3. 「着信要求が一致する場合 ... (When incoming requests match ...)」 セクションでオプションを選択するか、式ビルダーを使用して例外を微調整します。
  4. 一致する要求をログに記録する場合は、スイッチを 「オン」 の位置に移動します。
  5. 例外として、残りのすべてのルールをスキップするか、管理されたルールセットから特定のルールをスキップするかを選択します。
  6. 保存 をクリックします。

管理対象ルールの FAQ

マイグレーションしない場合はどうなりますか?

手動で移行しないユーザーは、2025年6月12日に自動的にマネージドルールに移行され、現在のWAFポリシーやセキュリティに影響が出ることはない。 この日以降、WAFおよびマネージドルールの設定を行うには、ルールセットエンジンAPI を使用する必要があります。

新しいマネージド・ルールには、より強固なOWASPセキュリティ・カバレッジが追加されたため、ルールとコンフィギュレーションは以前とは若干異なるかもしれない。 このルールセットは、OWASP v2.x から OWASP v3.x; に更新され、パラノイア・レベルが追加され、誤検知率が改善されています。

移行によるWAFのダウンタイムはありますか?

移行中にWAFの保護が停止することはありませんが、移行完了後最大1時間は、レガシーWAFと新しいWAFの管理ルールの両方からセキュリティイベントが発生する可能性があります。

以前の WAF API はどうなりますか?

非推奨化後は、以前のWAF APIは利用できなくなり、エラーが発生し、マネージドルール機能への切り替えを促すメッセージが返されます。

マイグレーションが完了したことを確認するにはどうすればよいですか?

マイグレーション状況 API チェックを実行します。 WAF ページで UI にウィザードが表示されるかどうかを確認することもできます。 ウィザードが表示されたら、移行する必要があります。

以前の WAF に戻すことはできますか?

いいえ 管理されたルールセットへの移行は最終的なものであり、元に戻すことはできません。

マイグレーション・ウィザードが表示されなくなるのはなぜですか?

このウィザードは、前の WAF が使用可能になっている場合にのみ表示されます。 ウィザードが表示されない場合は、既にマイグレーションされている可能性があります。

IBM UI またはマイグレーション・ウィザードを使用せずにマイグレーションするにはどうすればよいですか?

API は使用可能ですが、ウィザードが推奨される方法です。

移行時に予想される変更

新バージョンのWAF管理ルールに移行する場合、更新プロセスでは、旧バージョンで使用されていたOWASP ModSecurity Core Rulesetの設定が部分的に引き継がれます。

以下のOWASP設定が移行される:

  • 感度以前のルールセットの 感度レベルは、新しい OWASP ルールセットの パラノイアレベル(PL )と スコア閾値の 組み合わせに移行されます:

    OWASP ルールセットの感度値
    古い感受性 新しいPL 新しいスコアのしきい値
    PL2 ミディアム - 40以上
    PL1 高 - 25以上
    PL1 ミディアム - 40以上
    デフォルト PL2 ミディアム - 40以上
  • アクション :以前の OWASP ルールセットのほとんどのアクションは、新しいルールセットに直接マッピングされます。 しかし、 Simulate アクションは Logにマッピングされるようになった。

以下のOWASPの設定は、2つのバージョンのルールの間に直接的な等価性がないため、移行されない:

  • OWASPグループのオーバーライド
  • OWASPルールのオーバーライド

これらの設定を置き換えるには、WAF の管理ルールに新しい OWASP コアルールセットを再設定する必要があります。 これには、タグやルールのオーバーライドなどのカスタマイズも含まれます。 詳細については、 CIS OWASPコアルール セットを参照のこと。

マイグレーションに関する既知の問題

以下のエラーについて支援が必要な場合は、 IBM Cloud サポートにお問い合わせください。

  • マイグレーションするファイアウォール・ルールの数が 200 を超えている場合。
  • ファイアウォール・ルール式の長さが 4 KB より長い場合。