インターネットアプリケーション時代の企業ネットワーク再設計
>
いまさら聞けない!?ネットワーク機器再入門
|
|
インターネットで用いられるWebアプリケーションでは,データベースを使用することが多い。その利用範囲は,単純なアンケートの受付に始まり,B2CやB2Bなど,幅広い。いずれの場合も,Webベース型アプリケーションを基盤としたアプリケーションサーバー(SOAP対応のアプリケーションを含む)からデータベースを使用する構成を採用するのが一般的であるが,アンケートの受付,B2C,B2Bでは,それぞれデータベースに対する取り扱いが異なる。ここでは,そのそれぞれについて解説しておこう。もちろん,データベースで取り扱う情報の重要性や,セキュリティポリシー,危機管理ポリシーなどに応じて,下記の構成が変化することもある。ここで説明する構成が絶対的なものというわけではないので,留意していただきたい。
- アンケートの受付
- アプリケーションとしては,Webフォームに入力された内容をデータベースに蓄積するだけの単純な構成となる。蓄積されたアンケートのデータは,業務と直結したものではないため,即時性を必要としない。
このため,データベースサーバーをDMZ上に配置し,アンケートデータが必要になった時点で,データベースサーバーを直接操作し,データをMOなどに取り出すのが一般的である。この方式では,DMZインターフェイスとInternalインターフェイスとのあいだで通信は発生しないため,内部ネットワークの安全性は高い。Fig.3-16 アンケートのファイアウォール設定(図版をクリックすると拡大可能)
- B2C
- B2Cは,個人顧客を対象に,Webサイト上で購買を実現するサービスである。この場合,データベースには,個人顧客の購買情報や販売する製品などの情報が蓄積される。これらのデータは,アンケートとは異なり,ある程度の即時性が求められる(たとえば,15分おきにデータの入力状況を確認する必要がある)。また,データベースに格納されている製品情報なども,定期的に入れ替える必要がある。
このように,定期的なデータ取得または更新を必要とする場合,データベースサーバーはDMZに配置し,Internalネットワークで稼動するアプリケーションからデータベースサーバーにアクセスする構造をとる。このような構成を実現する場合には,InternalネットワークからDMZに配置されたデータベースサーバーに対するアクセスを許可しつつ,逆にDMZに配置されたサーバー群からはInternalネットワークに通信できないよう,ファイアウォールを構成する必要がある。そのような構成を採用することにより,万一DMZに配置されているサーバーがクラッキングされたとしても,その影響はInternalネットワークには及ばない。
また,ファイアウォール製品のフィルタリング機能を利用し,InternalネットワークからDMZ上のデータベースサーバーにアクセスできるクライアントPCやユーザーを限定することにより,組織内部の人員によるいたずらなども防止することができるだろう。Fig.3-17 B2Cのファイアウォール設定(図版をクリックすると拡大可能)
- B2B
- B2Bとは,企業間決済を実現するサービス形態を指す。B2Bにおけるデータベースは,蓄積されたデータを取引先に送信したり,取引先から受信したデータを蓄積したりする用途が主となる。このようなアプリケーションでは,即時性が要求される。社内業務システムから送信データを受け取った場合は,可能な限り即時的に取引先にそれを転送しなければならない。また,取引先からデータを受け取った場合も,社内業務システムに対して即時的にそれを伝える必要が生じる。
このように,ある程度の即時性が求められる場合には,個別のデータベースをDMZに配置するのではなく,DMZに配置されたサーバーから,Internalネットワークに配置された社内業務システムのデータベースを直接アクセスする構造にする。このような形態を実現するためには,DMZに配置されたサーバーからInternalネットワークに配置されたデータベースサーバーに対するアクセスを許可するようにファイアウォールを構成する必要がある。そのため,DMZに配置されたサーバーがクラッキングされた場合,その影響はInternalネットワークのデータベースサーバーにも及ぶこととなる。
 |
19/20 |  |
