「サーバにおけるアクセス制御」の基本――ネットワークで防ぎ切れない脅威からサーバを守る:セキュリティ・テクノロジー・マップ(2)(2/2 ページ)
さまざまなセキュリティ技術の基本を一望できる「世界地図」を提供する本連載。第2回は、前回の「ネットワークアクセス制御」に続き、「サーバにおけるアクセス制御」について解説します。
ネットワークアクセス制御機能
サーバが行うネットワークアクセスの制御の基本的な概念は、前回説明した「ファイアウォール機能」「アプリケーションファイアウォール機能」と同じです。違うのは、ネットワーク上の通信を対象とするのではなく、個々のサーバから出入りする通信を制御の対象とするという点です。そのため「Webサーバでは80/tcp、443/tcp以外の通信を拒否する」といったように、サーバの役割などに合わせた細かな制御ができます。
実際の製品では、Microsoft Windowsの場合「Windowsファイアウォール」によるアプリケーション単位でのネットワーク制御や、アンチウイルス製品による独自のファイアウォール機能が利用されています。GNU/Linuxでは一般的に「netfilter」を用いた「iptables」や「firewalld」などのソフトウェアによってファイアウォールが実現されています。
ちなみに、IaaSなどのクラウド環境では複雑なネットワーク構成が難しいためか、Microsoft Azureの「ネットワーク セキュリティ グループ」や、Amazon AWSの「セキュリティグループ」などのように、サーバ単位でネットワークアクセスを制御しますが、これらも同様の目的を持つ機能だといえます。
アクセス制御が防ぐサーバへの脅威
それでは最後に、サーバにおける2つのアクセス制御機能が、具体的にどのような攻撃を防ぐのかを見ていきましょう。
例えば、攻撃者にWebアプリケーションの脆弱性を利用され、外部からサーバに侵入されてしまったとします。このとき、Webサーバのサービスが使用しているユーザーの権限が十分に低ければ、管理ユーザーの持つパスワードや管理用SSHの秘密鍵などへのアクセスを防げます(ユーザーのアクセス制御機能)。さらに、関連性のないサーバ間の通信を制限するなど、サーバ上で適切なネットワークアクセス制御設定が行われていれば、最初に侵入されたサーバを踏み台とした二次攻撃の被害を防ぐことができます(ネットワークアクセスの制御機能)。ネットワーク上のファイアウォールでは同一ネットワーク内のアクセスは制御できませんから、サーバ上での制御は非常に重要な設定だといえます。
このように、ネットワークと同様にサーバにおいてもアクセス制御は欠かせません。次回は、攻撃の検知・防止のための技術について解説します。
著者プロフィール
▼ 若居 和直(わかい かずなお)
小学生の頃よりプログラミングをはじめる。高校生でカスケードウイルス、大学でCERN httpdのphfの脆弱性をついた侵入の洗礼を受け、小規模ISPのアルバイトでネットワークについて学んだ後、大学院でセキュリティについて研究する。
ラック入社後は、JSOC監視サービスの初代セキュリティアナリストとなる。IPAの脆弱性関連情報届出制度や、情報セキュリティ白書の初期に参画、セキュリティコンサルティングやネットワークフォレンジックを使ったセキュリティ診断を経て、現在は研究部門に所属。積み上げてきた幅広い技術的視野を生かし、ビジネス化を見据えた研究に従事している。
著書に「萌え萌えうにっくす! UNIXネットワーク管理ガイド」
Copyright © ITmedia, Inc. All Rights Reserved.