ドキュメントCommerceCommerce on Cloud

Web Application Firewall (WAF)

最終更新日: 2026年6月2日

作成対象:

  • {"id":"c66ffd68-0f65-42bb-aa23-b4020f12e0bd"},{"id":"ff6a42d2-313e-452e-93a6-792e4fad9ff8"}

Fastlyを活用したweb アプリケーションファイアウォール(WAF)は、Adobe Commerceクラウドインフラストラクチャ向けのサービスで、サイトやネットワークに損害を与える前に、悪意のあるリクエストトラフィックを検出、記録、ブロックします。 WAF サービスは、実稼動環境でのみ使用できます。

WAF サービスには、次の利点があります。

  • PCI コンプライアンス:WAF イネーブルメントにより、本番環境のAdobe Commerce ストアフロントがPCI DSS 6.6のセキュリティ要件を満たすことができます。

  • デフォルトのWAF ポリシー - Fastlyが設定および管理するデフォルトのWAF ポリシーは、インジェクション攻撃、悪意のある入力、クロスサイトスクリプティング、データ流出、HTTP プロトコル違反、その他OWASP トップ 10のセキュリティ脅威など、幅広い攻撃からAdobe Commerce web アプリケーションを保護するためにカスタマイズされたセキュリティルールのコレクションを提供します。

  • WAFのオンボーディングとイネーブルメント:Adobeは、プロビジョニングが完了してから2~3週間以内に実稼動環境にデフォルトのWAF ポリシーをデプロイして有効にします。

  • 運用および保守サポート

    • AdobeとFastlyは、WAFサービスのログ、ルール、アラートを設定および管理します。
    • Adobeは、正当なトラフィックをブロックするWAF サービスの問題に関連するカスタマーサポートチケットを優先度1の問題としてトリガーします。
    • WAFのサービス版に自動アップグレードを適用することで、新たな脆弱性や進化する脆弱性に迅速に対応できます。 WAFのメンテナンスとアップグレード ​を参照してください。
TIP
Adobe Commerce on cloud infrastructure ストアのPCI コンプライアンスの維持について詳しくは、PCI コンプライアンス ​を参照してください。

WAFの有効化

Adobeを使用すると、プロビジョニングが完了してから2~3週間以内に、新しいアカウントでWAF サービスを有効にできます。 WAFは、Fastly CDN サービスを通じて実装されます。 ハードウェアやソフトウェアをインストールしたり保守したりする必要はありません。

NOTE
WAF サービスを使用する前に、Adobe Commerce on cloud infrastructure プロジェクトへのすべての外部トラフィックをFastly サービス経由でルーティングする必要があります。 Fastlyの設定を参照してください。

仕組み

WAF サービスはFastlyと統合し、Fastly CDN サービス内のキャッシュロジックを使用して、Fastly グローバルノードでトラフィックをフィルタリングします。 実稼動環境でWAF サービスを有効にするには、Trustwave SpiderLabs🔗のModSecurity RulesとOWASPの上位10個のセキュリティ脅威に基づくデフォルトのWAF ポリシーを使用します。

WAF サービスは、WAF ルールセットに対してHTTPおよびHTTPS トラフィック(GET リクエストおよびPOST リクエスト)を検査し、悪意のあるトラフィックや特定のルールに準拠しないトラフィックをブロックします。 このサービスは、キャッシュを更新しようとするオリジンバウンドのトラフィックのみを検査します。 その結果、Fastly キャッシュでほとんどの攻撃トラフィックを停止し、オリジントラフィックを悪意のある攻撃から保護します。 オリジンのトラフィックのみを処理することで、WAF サービスはキャッシュのパフォーマンスを保持し、キャッシュされていないリクエストごとに推定1.5 ミリ秒から20 ミリ秒の遅延が発生するだけです。

ブロックされたリクエストのトラブルシューティング

WAF サービスが有効になっている場合、すべてのweb トラフィックと管理者トラフィックがWAF ルールに照らし合わせて調べられ、ルールをトリガーするすべてのweb リクエストがブロックされます。 リクエストがブロックされると、ブロック イベントの参照IDを含むデフォルトの403 Forbidden エラーページが依頼者に表示されます。

WAF エラーページ ​

このエラー応答ページは、管理者からカスタマイズできます。 WAFの回答ページのカスタマイズ ​を参照してください。

Adobe Commerce管理ページまたはストアフロントで、正当なURL リクエストに応じて403 Forbidden エラーページが返された場合は、Adobe Commerce サポートチケット ​を送信します。 エラー応答ページから参照IDをコピーし、チケットの説明に貼り付けます。

New Relicを使用した特定のリクエストに対するWAFのレスポンスを特定するには、次を参照してください。

  • Agent_response - WAF応答コードを示します(200は良好を意味し、406はブロックを意味します)
  • sigsci タグ – リクエストの性質に基づいて、リクエストを特定のsignal sciences タグにタグ付けします

WAFのメンテナンスとアップデート

Fastlyは、商用のサードパーティ、Fastlyの調査、オープンソースからのルール更新に基づいて、新しいCVEやテンプレート化されたルールに対するパッチを更新し、展開します。 公開されたルールは、必要に応じてポリシーに更新されるか、ルールの変更がそれぞれのソースから利用可能になったときに更新されます。 また、Fastlyは、WAF サービスが有効になった後、公開されたルールクラスに一致するルールを、任意のサービスのWAF インスタンスに追加できます。 これらのアップデートにより、新しいエクスプロイトや進化するエクスプロイトを即座にカバーできます。

AdobeとFastlyで更新プロセスを管理することで、更新がブロッキングモードでデプロイされる前に、新しいルールまたは変更されたWAFルールが本番環境で効果的に機能することを確認できます。

問題

WAFが正当なリクエストをブロックしていることに気づいた場合、これらは多くの場合、誤検出となり、WAF サービスで回避するか、回避策を実装する必要があります。 サポートチケットを送信し、影響を受けるURL、エラーを再現するための正確な手順、および文字起こしエラーを回避するための(スクリーンショットではなく)テキスト形式でのエラー参照を含めます。

制限

Fastlyを搭載した標準のWAF サービスは、次の機能をサポートしていません。

  • マルウェアまたはボットの緩和に対する保護 – ​ アクセス制御リスト ​またはサードパーティのサービスの使用を検討してください。
  • レート制限 – Fastly ドキュメントの​ レート制限を参照するか、Commerce Web API セキュリティセクションの​ レート制限を参照してください。
  • お客様のロギングエンドポイントの設定 – 代替手段としてPrivateLink サービス ​を参照してください。

WAF サービスでは、IP アドレスに基づいてトラフィックをブロックまたは許可できます。 Fastly サービスにアクセス制御リスト(ACL)とカスタム VCL スニペットを追加して、トラフィックをブロックまたは許可するためのIP アドレスとVCL ロジックを指定できます。 ​ カスタム Fastly VCL スニペット ​を参照してください。

TCP、UDP、またはICMP リクエストのフィルタリングは、WAF サービスではサポートされていません。 ただし、この機能は、Fastly CDN サービスに含まれている組み込みのDDoS保護機能によって提供されます。 DDoS保護対策を参照してください。

recommendation-more-help
commerce-on-cloud-help-cloud-guide