「IPアドレスを制限する」と言えばファイアウォールを真っ先に思い浮かべる方が多いと思いますが、WAFでもIPアドレスを制限できる製品があることをご存知でしたでしょうか。
WAFの最も特徴的な機能は、不特定多数からのアクセスを受け付ける中でWebアプリケーションの脆弱性をついた攻撃を見分けて遮断することですが、攻撃元が特定のIPアドレスを使う場合にはそのIPアドレスに対してアクセス制限をかけることもWebサイトを守る1つの方法として有効と考えられます。今回はIPアドレスを用いたセキュリティの防御設定について考えてみたいと思います。
IPアドレスを制限する手法
まず初めに、Webサイトに対してIPアドレスの制限を入れたい時とは一体どのようなケースが考えられるでしょうか。
例えば
- 特定のIPアドレスから大量の通信を受けてしまい、サーバやネットワークがまともに機能していないので遮断したい
- 脆弱性をついた攻撃と判断される通信が特定のIPアドレスから送られてくるので遮断したい
- 開発中のWebサイトなので開発メンバーだけがアクセスできるようにしたい
- 管理者専用ページに対して一般のユーザはアクセスできないようにしたい
などのように、アクセスできるIPアドレスを制限したいケースは多岐にわたると思います。ですが、その制御方法に着目してみた場合、大きく分けると「指定のIPアドレスからのアクセスを遮断する」、「指定のIPアドレスからのアクセスを許可する」の2つのパターンになることが分かります。先に挙げた4つの例ですと、前半2つが前者で後半2つが後者になりますね。制御するIPアドレスを後で追加したり削除したりする際の作業量や実現性を考慮して、どちらのパターンがよりふさわしいかを事前に検討しておくことが大事です。
それでは次に、IPアドレスによるアクセス制限を行う対象について考えてみましょう。代表的なものを挙げると以下になります。
【 IPアドレスによるアクセス制限の設定対象】
- ファイアウォール
- Webサーバ(Nginx、Apache等)
- WAF
それぞれIPアドレスによる制限を行うという目的は共通ですが、対応するレイヤーや設定方法がそれぞれ異なります。詳細な設定につきましては割愛いたしますが、IPアドレスによる制限を行う方法が複数存在するということをご理解いただければと思います。
IPアドレスを使ったアクセス遮断
ここからは特定のIPアドレスを遮断するようなアクセス制限について、セキュリティの観点で考えてみましょう。
Webサイトに対して何かしらの攻撃があった場合を始めとして、前述したいずれかの方法で攻撃元IPアドレスに対する遮断設定を投入すると、Webサイトへのアクセスは出来なくなります。
特にファイアウォールへ設定を投入する場合には、Webサイトを表示する際に通常用いられるHTTPという通信だけでなく、サーバを保守するために遠隔での操作が可能となるSSHやファイルを転送するためのFTPといったあらゆる通信を遮断できます。攻撃者がネットワーク経由でどんなにWebアプリケーションの脆弱性を突こうとしても、IPアドレスが遮断されている限りは成す術がありません。
また、WebサーバやWAFに対して設定を投入した場合は、遮断できる対象がHTTPという通信に限定されますが、それでもWebアプリケーションの脆弱性をつくような攻撃をそもそも受け付けなくなります。
では、Webアプリケーションの脆弱性をつく攻撃への対策の優先度を下げてでも、IPアドレスの遮断をしっかり実施しておけば、Webサイトがサイバー攻撃の脅威から解放されると考えてよいのでしょうか。答えはノーです。極端な話ですが、実際に悪さを行っている攻撃者のIPアドレスをすべて把握し、そのIPアドレスに対して即時遮断の設定を入れることができれば、Webサイトの安全性は確かに担保できると思います。
しかし、実際に存在するIPアドレスの数は約43億個(IPv4のみ)になり、その中から攻撃者が使用するIPアドレスのみを特定し、設定を投入し、運用すると考えると莫大な時間と労力が必要となるため現実的とは言えません。また、
- IPスプーフィングのようななりすまし攻撃
- 攻撃者が新しいIPアドレスを取得した
といった具合に、必ずしも攻撃者が使用しているとは断定できないIPアドレスに対しては、アクセス遮断を適用するという判断がしづらくなってしまいます。
IPアドレスを遮断する際の恩恵や注意点について触れてみましたが、お伝えしたかったのは、IPアドレスによるアクセス遮断はセキュリティ対策の有効な手段の1つであることと、それだけではセキュリティに対する防御設定が完璧とは言えないということです。
もちろん理想としては、ひとつのセキュリティ対策で世の中すべての攻撃が防御できれば、機能面、運用面からも非常に良いと思われます。しかし、技術の進歩によってWebサイトを構成するシステムが多様化すればするほど、それに対応するかのように複雑な攻撃手法が生み出されていき、それまで有効だった対策だけではどうしても防ぎきれなくなってしまいます。よほどの資金がなければ、新たな攻撃手法が出現するたびにセキュリティ対策全体を入れ替えるような対応は難しいでしょう。IPアドレスによる遮断やWAFを含めたセキュリティ対策全体の構成を検討し、それらを適材適所で活用しながら、Webサイトをサイバー攻撃の脅威から守ることが重要となります。
IPアドレスを遮断する上での注意点が見えた!
インターネットを利用していれば、おそらく大半の方はIPアドレスという名称を聞いたことがあると思います。WAFが得意とするWebアプリケーションの脆弱性に対する攻撃と比べて、IPアドレスを使った遮断設定は説明もしやすく、比較的馴染みやすいものとして分類されると考えています。
一方で、IPアドレスの遮断設定は、Webサイトへのアクセスができなくなるという強力な設定とも言えます。効果が強力であるが故に、IPアドレスの遮断設定については慎重に行う必要があるでしょう。また、IPアドレスの遮断設定においては、1つ1つのIPアドレスを個別に指定するだけでなく、ある特定の範囲を示すIPアドレスを指定するケースもあります。広範囲の設定を行う際は、正常なアクセスを遮断することがないように、より一層の確認を行った上で設定していただければと思います。
セキュリティ対策はとても重要ですが、お客様がWebサイトを正しく利用できなくなってしまうのは本末転倒です。お客様のアクセスを誤って遮断するなどしてWebサイトに対する信頼性が低下すると、利用者数の減少を招く可能性も考えられますのでご留意ください。
まとめ
IPアドレスを制限する手法とアクセス遮断時の注意点について今回取り上げてみました。IPアドレスを使ったアクセス遮断を行う際は、対象のIPアドレスが攻撃者のものであるかどうかを判断してから設定を投入する、という工程が発生します。本ブログでもお伝えした通り、IPアドレスを利用したアクセス遮断は強力なので、この判断は慎重に行うことを改めてお伝えしておきます。
セキュリティ対策としてこれだけやれば完璧という方法は残念ながら存在しません。そしてIPアドレスを使ったアクセス遮断も、数多くあるセキュリティ対策のひとつとして存在しています。Webアプリケーションの脆弱性を狙った攻撃を防ぐだけ、あるいは特定のIPアドレスに対するアクセスを遮断するだけ、ではなくてそれらを組み合わせた多層防御が必要であることが少しでも伝われば幸いです。
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。