連載
» 2020年10月08日 05時00分 公開

親子の会話から学ぶクラウドセキュリティ(4):ファイルをクラウドに送ってもらうにはどうするの?――リモート管理とデータ転送を安全に行うための基礎知識

親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境でリモート管理とデータ転送を安全に行うための基礎知識について。

[青山桃子,株式会社日立ソリューションズ]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する本連載「親子の会話から学ぶクラウドセキュリティ」。

 初回は、クラウドを始める前に覚えておきたいセキュリティの基礎知識、第2回はネットワーク関連セキュリティ、第3回はセキュリティの運用・監視に関する内容について解説しました。今回は、クラウド環境でリモート管理とデータ転送を安全に行うために必要な基礎知識についてです。

管理者のアクセスはユーザーと同じじゃだめなの?

さて、今日もサーバを管理しようかな。


今日もがんばっているわね。あら、そのリンクから管理者の画面に行けるのかしら? ユーザーも管理者の画面が見られるの?


パスワードはかけてあるよ。でも、管理者のアクセスはユーザーと同じじゃだめなの?


ユーザーと同じようにインターネットから直接アクセスして、管理できるようにすると、攻撃を受けるリスクが高まるのよ。管理者は踏み台サーバを利用して、直接アクセスしないようにしましょうね。


 クラウドサーバにはリモート管理が必須です。一般的に、クラウドサーバの管理といえばSSH(Secure Shell)によるアクセスが主流だと思いますが、管理用のWebインタフェースなどが存在するサーバや機器なども存在します。専用のクライアントで特定のポートにアクセスするものもあるかもしれません。そういったものを、管理のためとはいえ、インターネットから直接アクセス可能な状態にしておくのは、攻撃を受けるリスクが高くなり、非常に危険です。インターネットからアクセス可能な機器は「SHODAN」や「Censys」などの検索エンジンで検索可能です。想定していないサービスがインターネットに公開されていないか、確認しておきましょう。

 管理アクセスには踏み台サーバを用意し、そこからのアクセスのみを許可する設定をお勧めします。踏み台サーバに対するアクセスは、SSHと公開鍵認証によるアクセスのみを許可する構成にすると安心です。

 インターネットに公開するポートが増えれば増えるほど、管理やセキュリティ対策のコストは増加します。特にデータベースサーバなどのインターネットに公開していない機器のポートを、管理のためだけに開けることはお勧めできません。管理アクセスはできるだけ集約し、不正なアクセスを検知・防御しやすくしましょう。

 Amazon Web Services(AWS)では、踏み台サーバ構築手順に関するドキュメントを公開しており、その中で高可用性とセキュリティに関するベストプラクティスについて触れています。

 踏み台サーバはPublic subnetに置き、Private subnet上のインスタンスに対して管理アクセスを行うようにします。セキュリティグループの設定により、必要なアクセスのみを許可するように設定しましょう。

AWSでのLinux踏み台ホストアーキテクチャ(出典:Linux Bastion Hosts on the AWS Cloud

どうやってファイルをクラウドに送ってもらうのがいいかな?

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。