暗号化で守れる範囲は「経路」だけ:インターネットサービスの新基準(2/2 ページ)
リモート管理にはSSH/SFTPを用いるべき
Webアプリケーションの管理は、Web管理画面ですべてが行えるわけではない。例えばサーバ上のコマンドラインからの操作も必要であり、コンテンツのアップロード/ダウンロードも必要だろう。これらの場面では、従来までTelnetやFTPが用いられてきたが、これらは前述のように暗号化されないため使用率は低くなっている。そこで、代わりに暗号化通信が可能なSSHとSFTPを使うことが多い。
最近ではTelnetが使われることは少なくなったが、FTPは依然として現役という運用も多い。しかし、FTPは、送受信するデータそのものが暗号化されないのはもちろん、ユーザー名やパスワードすら暗号化されないため早急に利用を中止すべきだ。
メールと管理のアカウントは別にする
セキュリティで意外と見落としがちなのがメールだ。前述した通り、メールは暗号化されないため重要なデータをやり取りする場合には避けるべきだ。
しかしそれ以上に重要なのは、メールアカウントである。メールを受信する際、通常のプロトコルであるPOP-3を使うと、ユーザー名とパスワードも暗号化されずに流れてしまう。このため、SSHやSFTPのアカウントとPOP-3アカウントとで同じものを使っていると、せっかくSSHやSFTPで暗号化されていたとしても、POP-3アカウント側でパスワード漏えいする可能性があり、悪意ある第三者がSSHやSFTPでログインしてしまうかもしれない。
この解決策は、2つある。
一つは「SSHやSFTPなどのアカウントとメールアカウントは別のものにする」という方法だ。もう一つは「メールの認証パスワードを暗号化する」という方法である。後者は、APOPなどを用いることで対応できる(ただし、APOPで暗号化されるのはユーザー名とパスワードのみであり、メール本文は暗号化されない)。
メールは、インターネットユーザーなら誰もが使っているものであり、場合によっては外出先からネットカフェやケータイなどで受信することもあるだろう。このため、比較的パスワードが漏えいしやすいものだと考えられる。そのため、筆者としてはメールアカウントとSSHやSFTPのアカウントは別にすることを推奨したい。
安全な保守管理を可能とするSSL-VPN
このように、Telnet、FTP、POP-3は安全ではないので、その対策としてSSH、SFTP、APOPをそれぞれ使うのが望ましい。
しかし開発者ならまだしも、一般ユーザーが、SFTPやAPOPを使うのは難しい側面もある。なぜなら、すべてのソフトがSFTPやAPOPに対応していないからだ。そこで代わりに考えられるのが、サーバとの通信すべてをVPNで暗号化する方法だ。
そうとはいえ、本格的なVPN構築には手間を要し、手軽な導入とはいかない。そのような背景で注目されているのが、「SSL-VPN」だ。
SSL-VPNを用いるには、SSL-VPNサーバにWebブラウザを使ってアクセスする。アクセス先のページにはActiveXコントロールが入っており、正しいユーザー名とパスワードを入力すると、サーバとクライアントとがVPNで接続されるという仕組みだ(図3)。
SSL-VPNの利用者は、直接、サーバに対して通信するのではなく、自分のPCにインストールされたActiveXコントロールに対して(localhostに対して)接続する。するとActiveXコントロールが暗号化して、サーバへと通信をしてくれるのだ。
図3■SSL-VPNで通信するSSL-VPNを使うメリットは、通信経路に割り込んで暗号化をするため、暗号化対応していないソフトウェアをそのまま使えることだ。またSSL-VPNでは、通常のWebのSSLポート(TCPポートの443)しか使わないため、ファイアウォールで守られている環境でも使えるのがメリットだ。
そしてSSL-VPNには、サーバへの接続だけでなく拠点間を結ぶことが可能なサービスもある。例えば、GMOインターネットの「GMOどこでもLAN」というサービスでは、Webブラウザを使って仮想的なネットワークを作って拠点間を接続する。このようなサービスを利用すれば、拠点間をつなぐ仮想的なLANを構築でき、在宅勤務や外出先から社内のパソコンへの安全なアクセスも可能となる。
構築が比較的難しい暗号化の環境だが、このようにASPサービスも登場しているため、対策を講じていない場合の選択肢として良いだろう。
ここまで解説してきたように、Webサーバの暗号化は、SSLを使って利用者とのやり取りだけを実現すればいいというわけではない。最近のほとんどのホスティングサービスでは、SSLに対応している。しかし、SSH/SFTPやAPOP、さらにはSSL-VPNなどが提供されているかどうかは、サービスによって異なるのだ。
ホスティングサービスを選ぶ場合には、管理や運用時まで考えたトータル面のセキュリティ対策の考慮が不可欠だといえるだろう。
関連記事
- トレンドが求めたホスティングサーバの条件
- 共有型か占有型か、メール運用から見たホスティングサービス
- そのサイトは“ドメイン”に隠されたブランド力を生かしているか
- コンテンツサービス指向で“サーバ環境”の未来は
- ネットサービスのトレンド変遷
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。