WebサーバーにおけるFTPやSSHのIP制限について解説します

こんにちは。「SiteCloud」プリセールスの高瀬です。

先日レンタルサーバーからクラウドへ移行を進める中、お客様からなぜレンタルサーバーと違ってFTPやSSHにIP制限をかけて社外からFTPやSSHで接続できないような設定をするのか、と聞かれる機会がありましたので、WebサーバーにおけるIP制限について解説します。

IP制限とは何か

FTPやSSHでサーバー操作を行う際はインターネットを介した通信を利用します。インターネットを介した通信ではIPアドレスという携帯電話の通信と同じように発信先や着信元を特定するための電話番号のようなものがあります。

そこで、サーバーに通信できるIPアドレスを特定の番号のみに制限することをIP制限と呼んでいます。

なぜ必要なのか

Webサーバーのコンテンツを編集したりサーバーを操作するためにFTPやSSHを用いますが、誰かれ構わず操作できてしまうとサイトを改ざんされてしまいます。

そこで、パスワードや秘密鍵で操作するユーザーの本人確認を行いますが、認証はサーバー上で行われるため、サーバー設定の不備や脆弱性を狙った悪意のある接続元から総当たりで認証を繰り返されることがあります。

場合によっては総当たりのアクセスが原因でサーバーの負荷が上昇してサイト表示に影響してしまうこともあるため、サーバーへのアクセスIPに制限をかける必要があります。

リモートワークに対応するには

関係各社のIPアドレスでIP制限を行うことで、外部からサーバーを操作される危険性をなくせる一方で、関係者が社外からサーバーを操作できなくなってしまう、というデメリットもあります。

昨今のリモートワークなどで社外からサイトを更新したい、というケースについてはいくつかの対策が考えられます。

固定IPサービスやVPNを利用する

固定IPサービスやVPNを利用することで、社外からは固定IP、もしくはVPN経由のIPのみに制限をかけることができます。サーバー台とは別にユーザー数に応じて費用がかかりますが、安全にIP制限を設定することができます。

不正アクセスをセキュリティツールで自動的に遮断する

どうしてもIP制限をかけたりVPNを経由することが難しい場合は、せめてFail2banなどで認証に失敗したIPアドレスを自動的に遮断する方法もあります。ただし、一定数は外部からのアクセスを許容する形になるため、ある程度リスクのある方法となります。

踏み台のサーバーを用意する

Webサーバーの手前にもう一台踏み台になるようなサーバーを立てて、Webサーバーへのアクセスは踏み台を経由するように運用します。

接続ユーザー数がある程度増えても同じ仕組みを使うことができますが、踏み台サーバーもセキュリティを考慮して運用する必要があり、各ユーザーも踏み台を経由して接続するため、ある程度の技術知識が必要になります。

さいごに

弊社ではお客様のご要望をお伺いしつつ、制作会社様とも連携させていただき、最適なインフラ構成をご提案可能です。

サイトの立ち上げや移行でインフラ構成や保守にお悩みの際はぜひご相談くださいませ。