「サーバにおけるアクセス制御」の基本――ネットワークで防ぎ切れない脅威からサーバを守る:セキュリティ・テクノロジー・マップ(2)(2/2 ページ)
ネットワークアクセス制御機能
サーバが行うネットワークアクセスの制御の基本的な概念は、前回説明した「ファイアウォール機能」「アプリケーションファイアウォール機能」と同じです。違うのは、ネットワーク上の通信を対象とするのではなく、個々のサーバから出入りする通信を制御の対象とするという点です。そのため「Webサーバでは80/tcp、443/tcp以外の通信を拒否する」といったように、サーバの役割などに合わせた細かな制御ができます。
実際の製品では、Microsoft Windowsの場合「Windowsファイアウォール」によるアプリケーション単位でのネットワーク制御や、アンチウイルス製品による独自のファイアウォール機能が利用されています。GNU/Linuxでは一般的に「netfilter」を用いた「iptables」や「firewalld」などのソフトウェアによってファイアウォールが実現されています。
ちなみに、IaaSなどのクラウド環境では複雑なネットワーク構成が難しいためか、Microsoft Azureの「ネットワーク セキュリティ グループ」や、Amazon AWSの「セキュリティグループ」などのように、サーバ単位でネットワークアクセスを制御しますが、これらも同様の目的を持つ機能だといえます。
アクセス制御が防ぐサーバへの脅威
それでは最後に、サーバにおける2つのアクセス制御機能が、具体的にどのような攻撃を防ぐのかを見ていきましょう。
例えば、攻撃者にWebアプリケーションの脆弱性を利用され、外部からサーバに侵入されてしまったとします。このとき、Webサーバのサービスが使用しているユーザーの権限が十分に低ければ、管理ユーザーの持つパスワードや管理用SSHの秘密鍵などへのアクセスを防げます(ユーザーのアクセス制御機能)。さらに、関連性のないサーバ間の通信を制限するなど、サーバ上で適切なネットワークアクセス制御設定が行われていれば、最初に侵入されたサーバを踏み台とした二次攻撃の被害を防ぐことができます(ネットワークアクセスの制御機能)。ネットワーク上のファイアウォールでは同一ネットワーク内のアクセスは制御できませんから、サーバ上での制御は非常に重要な設定だといえます。
このように、ネットワークと同様にサーバにおいてもアクセス制御は欠かせません。次回は、攻撃の検知・防止のための技術について解説します。
著者プロフィール
▼ 若居 和直(わかい かずなお)
小学生の頃よりプログラミングをはじめる。高校生でカスケードウイルス、大学でCERN httpdのphfの脆弱性をついた侵入の洗礼を受け、小規模ISPのアルバイトでネットワークについて学んだ後、大学院でセキュリティについて研究する。
ラック入社後は、JSOC監視サービスの初代セキュリティアナリストとなる。IPAの脆弱性関連情報届出制度や、情報セキュリティ白書の初期に参画、セキュリティコンサルティングやネットワークフォレンジックを使ったセキュリティ診断を経て、現在は研究部門に所属。積み上げてきた幅広い技術的視野を生かし、ビジネス化を見据えた研究に従事している。
著書に「萌え萌えうにっくす! UNIXネットワーク管理ガイド」
特権的な操作を制限するUAC(ユーザーアクセス制御)
5分で絶対に分かるWebフィルタリング(初級編)
5分で絶対に分かるWebフィルタリング(上級編)Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。