No210 犯罪者からサーバを守るIP制限
誰しも不正アクセスの被害になど会いたくありません。
ですから、大切なサーバを守るため、いろんな技法を駆使して、
悪意のあるアクセスからサーバを防禦します。
一方で犯罪者たちはそういった防禦をかいくぐって侵入しようと
します。
今回はそういった防禦技法であるアクセス制限方式のうちのIP
制限という方式を解説します。
1. アクセス制限
重要なデータを盗み取るという犯罪は今に始まったことではなく、
はるか昔からあり、アクセスできないような制御方法もいろいろと
考えられてきました。
例えば銀行には貸金庫というサービスがあります。
貸金庫は銀行の中でも外部の人が簡単には入れない金庫室に設置
されています。
もし金庫室に入られても、貸金庫には二つの鍵が付いていて、銀行
と契約者の二つの鍵が揃わないと開けられません。
このように二重三重のガードでセキュリティを確保しています。
この考え方は情報セキュリティ対策でも同じです。
データを保管しているサーバに簡単に接続できないような接続制限、
ログインID/パスワードによる利用制限、データ暗号化によるデータ
閲覧の制限、などの多重ガードを行います。
今回はそのうち、サーバに簡単に接続させないための接続制限手法
としてのIP制限方式を解説します。
2. IP制限の「IP」って?
IP制限というのは、特定のパソコン(PC)だけにサーバへのアク
セス権限を付える方法の一つです。
ですが、そもそもIPって何のことなんでしょうか?
これはInternet Protocol(インターネット用通信手順)のことで
IP通信を行う時の相手先のコンピュータ識別番号のことを言います。
インターネット上の全コンピュータはそれぞれ個有のIPアドレス
を持ちます。これはコンピュータがどこのネットワークにあるかを
示す情報で、よく「住所のようなもの」と例えられています。
このIPアドレスは、よく"192.168.0.1"といった形式で書かれます。
細かいことを書き出すときりがないので、ここでは「IPアドレス=
コンピュータを識別できる情報」と考えてください。
余談:
Googleで検索を行う時、次のようなURLを使います。
https://www.google.co.jp/
ここにはIPアドレスは出てきませんが、コンピュータ内ではDNSと
いうサービスを使って www.google.co.jp からIPアドレスを得、
それでサーバと通信を行っています。
実際、上記の www.google.co.jp の部分をIPアドレスに書き換え
ても、同じ画面が表示されます。
https://142.250.200.3/
何度も書いていますが、メールに書かれたURLをクリックするのは
避けましょうね。
3. IP通信を行うには相手の情報が必要
郵便を出す時だって、相手の住所がわからなければ届けようがあり
ません。
コンピュータが他のコンピュータとインターネット通信する場合も、
相手のIPアドレスがわからなければ通信のしようがありません。
ですから、必ず相手のIPアドレスを指定する必要があります。
そして、その時には同時に送信元(依頼する側)のIPアドレスも
必ず必要です。
郵便を送る時には差出人の記入は任意ですが、IP通信では必須です。
意外に感じるかもしれませんが、考えてみればあたりまえです。
通信を行うのは送付先に何かを依頼し、その結果(うまくいった
のか?うまくいったのならその内容)を知りたいからです。
結果を教えてもらうためには、送信元の情報が必要です。
だから、必ず送信元を指定することになっているのです。
だって、Googleで検索する時に結果はどうでもいいなんてことは
ないですものね。
4. 送信元(送り元)のIPを見て接続可否を決める
IP制限というのは、この送信元(送り元)のIPアドレスが必ず
含まれる仕組みを利用した方式です。
送信元が予定していた相手なら、IPアドレスもわかるはずです。
覚えのないIPアドレスから接続依頼がくるということ自体怪しい
話です。
つまり、送信元が予定のIPアドレスの場合だけ以降の接続手続き
に入るようにすれば招かざる客が入ってくるのを防げるという
ことです。
では、不審な相手の場合はどうするのでしょう?
何もしないのです。
なんと、ガン無視です。
接続依頼が送信されてきても、何もなかったかのように無視する
のです。
送信元から見ると、依頼を投げたのにいつまでたっても返信がない
状態になります。
なんだか不親切に感じますが、それで良いのです。
そもそも、覚えのないIPアドレスからの通信ということだけで十分
に不審な話ですから、親切にする必要などないのです。
5. IP制限は非常に強力なセキュリティ対策
IP制限は正しく運用すれば非常に強力なセキュリティ対策です。
何せ、予定外のコンピュータからの接続は全て無視されます。
門前払いとなりますから、例えログインIDやパスワードを知って
いても、IDやパスワードの入力すらさせてもらえません。
接続させてもらえなければ、サーバに侵入などできるはずもない
のです。
この機構は悪意のアクセスを防ぐだけでなく、システム開発現場
での事故防止にもよく使われます。
システム開発の過程では既存サーバと正しく通信が行えるかどうか
の確認が必要となるケースもあります。
この際に、間違って本番用(実運用している)システムにテスト
データを送ったりすると、公開システムの誤動作など大変な事故に
なりかねません。
IP制限を付けておけば、間違って開発用サーバから接続依頼が来
ても無視できます。無視すれば事故が起きるはずもありません。
6. IP制限が使われる場面
IP制限が有効なのは、特定のサーバからのアクセスさえできれば
よく、それ以外からのアクセスが必要ない場合です。
その典型がデータベースサーバです。
データベースというのは情報のかたまりです。
情報漏洩を防ぐためにも、一番ガードを固めておきたいサーバです。
一方で、データベースサーバはそのデータを使いたいサーバからの
リクエストに応えさえすれば用が足ります。
それ以外からのサーバからの接続依頼など全て拒否しても問題に
ならないのです。
このようなパターンのサーバはIP制限にはおあつらえ向きです。
また、本社のサーバは支店からの接続依頼だけに応える、特定の
お客様サーバからのリクエストだけに応える、といったケースも
IP制限が有効です。
7. IP制限が使えない場面
ですが、全てのパターンでIP制限が使えるわけではありません。
IP制限が使えない(役に立たない)ケースもあります。
まず、送信元のIPアドレスが一定でない場合は使えません。
上でも書きましたが、インターネットに接続している全てのコン
ピュータはIPアドレスを持ちます。
ですが、常に同じIPアドレスを使い続ける(固定IPと呼びます)
のはサーバなどの一部の機器だけです。
家庭内や企業内で使うパソコン(PC)は、タイミングによって
違うIPアドレスを使う方式とするのが一般的です。
管理者のパソコンからだけアクセスOKというのを実現したいと
しましょう。
管理者のパソコンのIPアドレスが時によって変わってしまうよう
では、IPアドレスが特定できません。つまり、接続可能なIPアド
レスが決められないため、IP制限は難しいわけです。
同様に、テレワークなどで社外から社員のパソコンで接続をする
といった場合もIP制限はあまり向いているとは言えません。
こういった場合は、IDとパスワードによる保護やや電子証明書と
いった別の方式によるアクセス制限方式が必要となります。
8. まとめ
インターネットでは全ての機器にIPアドレスという番号が割り当て
られ、通信を行う際には常にこの番号を相手に通知することに
なっています。
それを利用したのがIP制限というアクセス制限方法です。
IP制限は送信元(送り元)が許可されたIPアドレスかどうかを調べ
OKだった場合のみ、接続手続きを行うという方式です。
許可されていないIPアドレスからの通信は単純に無視します。
考え方はシンプルですが非常に強力な保護方法で多くのサーバで
使われています。
ただし、IPアドレスが変化したり定まっていない場合は使えません。
こういった場合は、IP制限以外の例えばログインID+パスワードと
いったアクセス制限方法を用いる必要があります。
今回は、サーバで用いられるIP制限について解説しました。
次回もお楽しみに。
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?