「サーバにおけるアクセス制御」の基本――ネットワークで防ぎ切れない脅威からサーバを守るセキュリティ・テクノロジー・マップ(2)(2/2 ページ)

» 2016年04月18日 05時00分 公開
前のページへ 1|2       

ネットワークアクセス制御機能

 サーバが行うネットワークアクセスの制御の基本的な概念は、前回説明した「ファイアウォール機能」「アプリケーションファイアウォール機能」と同じです。違うのは、ネットワーク上の通信を対象とするのではなく、個々のサーバから出入りする通信を制御の対象とするという点です。そのため「Webサーバでは80/tcp、443/tcp以外の通信を拒否する」といったように、サーバの役割などに合わせた細かな制御ができます。

ネットワークアクセス制御機能の比較

 実際の製品では、Microsoft Windowsの場合「Windowsファイアウォール」によるアプリケーション単位でのネットワーク制御や、アンチウイルス製品による独自のファイアウォール機能が利用されています。GNU/Linuxでは一般的に「netfilter」を用いた「iptables」や「firewalld」などのソフトウェアによってファイアウォールが実現されています。

 ちなみに、IaaSなどのクラウド環境では複雑なネットワーク構成が難しいためか、Microsoft Azureの「ネットワーク セキュリティ グループ」や、Amazon AWSの「セキュリティグループ」などのように、サーバ単位でネットワークアクセスを制御しますが、これらも同様の目的を持つ機能だといえます。

アクセス制御が防ぐサーバへの脅威

 それでは最後に、サーバにおける2つのアクセス制御機能が、具体的にどのような攻撃を防ぐのかを見ていきましょう。

 例えば、攻撃者にWebアプリケーションの脆弱性を利用され、外部からサーバに侵入されてしまったとします。このとき、Webサーバのサービスが使用しているユーザーの権限が十分に低ければ、管理ユーザーの持つパスワードや管理用SSHの秘密鍵などへのアクセスを防げます(ユーザーのアクセス制御機能)。さらに、関連性のないサーバ間の通信を制限するなど、サーバ上で適切なネットワークアクセス制御設定が行われていれば、最初に侵入されたサーバを踏み台とした二次攻撃の被害を防ぐことができます(ネットワークアクセスの制御機能)。ネットワーク上のファイアウォールでは同一ネットワーク内のアクセスは制御できませんから、サーバ上での制御は非常に重要な設定だといえます。

 このように、ネットワークと同様にサーバにおいてもアクセス制御は欠かせません。次回は、攻撃の検知・防止のための技術について解説します。

著者プロフィール

▼ 若居 和直(わかい かずなお)

株式会社ラック

小学生の頃よりプログラミングをはじめる。高校生でカスケードウイルス、大学でCERN httpdのphfの脆弱性をついた侵入の洗礼を受け、小規模ISPのアルバイトでネットワークについて学んだ後、大学院でセキュリティについて研究する。

ラック入社後は、JSOC監視サービスの初代セキュリティアナリストとなる。IPAの脆弱性関連情報届出制度や、情報セキュリティ白書の初期に参画、セキュリティコンサルティングやネットワークフォレンジックを使ったセキュリティ診断を経て、現在は研究部門に所属。積み上げてきた幅広い技術的視野を生かし、ビジネス化を見据えた研究に従事している。


著書に「萌え萌えうにっくす! UNIXネットワーク管理ガイド」


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。