Webアプリケーションの管理は、Web管理画面ですべてが行えるわけではない。例えばサーバ上のコマンドラインからの操作も必要であり、コンテンツのアップロード/ダウンロードも必要だろう。これらの場面では、従来までTelnetやFTPが用いられてきたが、これらは前述のように暗号化されないため使用率は低くなっている。そこで、代わりに暗号化通信が可能なSSHとSFTPを使うことが多い。
最近ではTelnetが使われることは少なくなったが、FTPは依然として現役という運用も多い。しかし、FTPは、送受信するデータそのものが暗号化されないのはもちろん、ユーザー名やパスワードすら暗号化されないため早急に利用を中止すべきだ。
セキュリティで意外と見落としがちなのがメールだ。前述した通り、メールは暗号化されないため重要なデータをやり取りする場合には避けるべきだ。
しかしそれ以上に重要なのは、メールアカウントである。メールを受信する際、通常のプロトコルであるPOP-3を使うと、ユーザー名とパスワードも暗号化されずに流れてしまう。このため、SSHやSFTPのアカウントとPOP-3アカウントとで同じものを使っていると、せっかくSSHやSFTPで暗号化されていたとしても、POP-3アカウント側でパスワード漏えいする可能性があり、悪意ある第三者がSSHやSFTPでログインしてしまうかもしれない。
この解決策は、2つある。
一つは「SSHやSFTPなどのアカウントとメールアカウントは別のものにする」という方法だ。もう一つは「メールの認証パスワードを暗号化する」という方法である。後者は、APOPなどを用いることで対応できる(ただし、APOPで暗号化されるのはユーザー名とパスワードのみであり、メール本文は暗号化されない)。
メールは、インターネットユーザーなら誰もが使っているものであり、場合によっては外出先からネットカフェやケータイなどで受信することもあるだろう。このため、比較的パスワードが漏えいしやすいものだと考えられる。そのため、筆者としてはメールアカウントとSSHやSFTPのアカウントは別にすることを推奨したい。
このように、Telnet、FTP、POP-3は安全ではないので、その対策としてSSH、SFTP、APOPをそれぞれ使うのが望ましい。
しかし開発者ならまだしも、一般ユーザーが、SFTPやAPOPを使うのは難しい側面もある。なぜなら、すべてのソフトがSFTPやAPOPに対応していないからだ。そこで代わりに考えられるのが、サーバとの通信すべてをVPNで暗号化する方法だ。
そうとはいえ、本格的なVPN構築には手間を要し、手軽な導入とはいかない。そのような背景で注目されているのが、「SSL-VPN」だ。
SSL-VPNを用いるには、SSL-VPNサーバにWebブラウザを使ってアクセスする。アクセス先のページにはActiveXコントロールが入っており、正しいユーザー名とパスワードを入力すると、サーバとクライアントとがVPNで接続されるという仕組みだ(図3)。
SSL-VPNの利用者は、直接、サーバに対して通信するのではなく、自分のPCにインストールされたActiveXコントロールに対して(localhostに対して)接続する。するとActiveXコントロールが暗号化して、サーバへと通信をしてくれるのだ。
SSL-VPNを使うメリットは、通信経路に割り込んで暗号化をするため、暗号化対応していないソフトウェアをそのまま使えることだ。またSSL-VPNでは、通常のWebのSSLポート(TCPポートの443)しか使わないため、ファイアウォールで守られている環境でも使えるのがメリットだ。
そしてSSL-VPNには、サーバへの接続だけでなく拠点間を結ぶことが可能なサービスもある。例えば、GMOインターネットの「GMOどこでもLAN」というサービスでは、Webブラウザを使って仮想的なネットワークを作って拠点間を接続する。このようなサービスを利用すれば、拠点間をつなぐ仮想的なLANを構築でき、在宅勤務や外出先から社内のパソコンへの安全なアクセスも可能となる。
構築が比較的難しい暗号化の環境だが、このようにASPサービスも登場しているため、対策を講じていない場合の選択肢として良いだろう。
ここまで解説してきたように、Webサーバの暗号化は、SSLを使って利用者とのやり取りだけを実現すればいいというわけではない。最近のほとんどのホスティングサービスでは、SSLに対応している。しかし、SSH/SFTPやAPOP、さらにはSSL-VPNなどが提供されているかどうかは、サービスによって異なるのだ。
ホスティングサービスを選ぶ場合には、管理や運用時まで考えたトータル面のセキュリティ対策の考慮が不可欠だといえるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.