「顧客リストが外部に流出」といったニュースを耳にする機会が増えており、データ流出は外部からサーバーに侵入されて、発生することが多いようです。
例えば、企業のWebサイトが書き換えられたケースのほとんどは、外部からWebサーバーに不正アクセスされ、ファイルが改ざんされています。
このようなサーバー内の重要データを不正なアクセスから守る手段として、踏み台サーバーの利用がいま注目されています。
そこで、踏み台サーバーとはどのような仕組みなのか、またどのように運用していくべきか、その基本を解説します。
踏み台サーバーとは
踏み台サーバーとは、顧客データやWebサイトのコンテンツなどの重要なデータに、外部から直接アクセスできないよう、設ける中継用のサーバーです。
目的のサーバーへアクセスするための踏み台となる役割を果たすことから、踏み台サーバー、あるいはジャンプサーバーと呼ばれています。または重要なデータを守るサーバーという視点から要塞(Bastion)サーバーと呼ばれることもあるようです。
旧来、データサーバーへ直接アクセスするにはITインフラの構築が一般的でした。しかし、現在はネット利用者が急増し、データ管理に対して求められる企業の責任も大きくなったことから、多くのITインフラで踏み台サーバーが設置されています。踏み台サーバーの設置で、一部の管理者以外は重要データを保存するサーバーへ直接アクセスができなくなるため、セキュリティ対策として非常に有効です。
踏み台サーバーの役割と利用する目的
重要データを守ることが踏み台サーバーを利用する大きな目的です。そこで、踏み台サーバーの役割と利用される目的を説明します。
不正アクセスのリスクを低減
重要データが収められたサーバーは「ひとつだけ」という組織は少ないでしょう。Webコンテンツや顧客基本データ(氏名、住所など)、顧客の購買データ(サービスの利用履歴や商品の購入履歴を保管)など、情報の種類ごとにサーバーがいくつも併用されていることは珍しくありません。
これらサーバーへの不正アクセスを防ぐには、サーバーの数だけセキュリティ強化システムを導入することや、監視する人的リソースが必要となるため、手間とコストが非常にかかります。
これを解決するには、すべてのサーバーへの中継点として、踏み台サーバーの活用が有効です。踏み台サーバーにアクセスしたユーザーのリクエストに応じ、SSH(セキュアシェル)やRDS(リレーショナルデータベース)などの方法で、データサーバーへアクセスさせます。不正アクセスの監視がサーバー1台に集約されることになります。
この仕組みによって、不正アクセスの疑われるリクエストがあった場合は、踏み台サーバー側で接続元のIPアドレスを参照してブロックするため、サーバー全体のセキュリティリスクを大きく下げるのです。
内部監視を効率化
重要なデータを守るには外部だけでなく、内部の動きも監視しなければなりません。データ流出の原因として、内部不正があるからです。
社員一人一人にログインIDとパスワードを付与し、アクセス可能なサーバーを制限したり、行動(データの参照のみ、またはコピーや書き換えも可能にするなど)の制限をかけたりすることが一般的です。ただし、サーバーが複数存在すると、それぞれのアクセスを管理する必要があります。
これを解消するため、すべてのアクセスを踏み台サーバー経由にするなら、管理はひとつのサーバーだけで済みます。
また、踏み台サーバーを避けてアクセスしようとする、権限を超えた作業を何度も試行するといった不審な動きもログにより管理・分析できるようになり、内部不正のけん制にもつながります。
サーバーレスで踏み台サーバーを構築できるAWSやOCI
サーバーを自社で管理するオンプレミスなら、踏み台サーバーを1台設ける構成が可能ですが、現在はサーバーの運用コストを下げるクラウドサービスを利用して、自社用サーバーを運営している企業が増えています。
そこで、クラウドサービス上で踏み台サーバーを設置、運用している2つの事例を紹介します。
AWSで踏み台サーバーをクラウド上に構築
シェアが高く、様々なノウハウのあるクラウドサービスは、アマゾン社が提供するAWS(Amazon Web Services)です。
AWSはストレージ、データベースといったITインフラから機械学習、AI(人工知能)、データレイク、IoTなどのアプリケーションレベルのサービスまで、多様な機能・サービスをクラウド上で利用でき、料金も従量課金制でムダが少ないことが特長です。
AWSではLinuxベースの踏み台サーバーを外部ネットからアクセスできるパブリックサブネットに設置し、外部アクセスを遮断するサーバーはプライベートサブネットに設置します。データアクセスの記録も「Amazon CloudWatch Logs」を導入することで行えます。
クラウド上に踏み台サーバーを設置しても、オンプレミスであれば、直接データサーバーにアクセスできます。
ただし、クラウド上のプライベートサブネットのメンテナンスは、リモートで行わなければなりません。メンテナンス用のグローバルIPアドレスを踏み台サーバーに登録し、プライベートサブネット上のサーバーとセキュアな通信をできるように、セキュリティグループの設定が必要です。
OCIで踏み台サーバーをクラウド上に構築
オラクル社が提供しているクラウドコンピューティングサービスOCI(Oracle Cloud Infrastructure)も、AWSと同様、様々な機能を組み合わせて、クラウド上に求めるIT環境を構築できます。
OCI上に作られた仮想ネットワークをプライベートIPとパブリックIPに設定し、パブリックIP上でネットワーク設定を行うことで、踏み台サーバーの構築が可能です。
同時にNATゲートウェイという仕組みを組み込むことで、プライベートIP上のサーバーへアクセスができるようになります。OCIも使用したリソース分のみを支払う従量課金制です。
設定に用いられる用語やインターフェースはAWS、OCIで異なるものの、原理的には同一の方法で、踏み台サーバーを設定可能です。
サーバー構築や、AWS・OCIの導入はテクバンへ
踏み台サーバーの役割の他、主流となったクラウドコンピューティング上でも踏み台サーバーの設置ができることを紹介しました。
ただし、概要はイメージできても、実際にクラウド上で踏み台サーバーのセッティングを自社で行えるか不安を感じる方もいらっしゃるかもしれません。ネットワーク全般の知識に加え、多機能なAWSやOCIのサービスを柔軟に使いこなすことは、なかなか難しいといえます。
そこでおすすめなのが、組織ごとの要望に丁寧に対応するクラウド構築支援サービスの利用です。
テクバンでは、様々な導入支援ソリューションを提供しております。既にクラウド上で安定的にシステム運用できているようでしたら、「出口対策ソリューション」を利用し、セキュリティ対策に絞り、ご相談いただくことも可能です。
テクバンのセキュリティ対策とは?
また、これからクラウド移行やサービスの立ち上げをお考えでしたら、AWS導入支援サービス、AWS運用サービスやOracle Cloud Infrastructure(OCI)導入支援など、支援サービスをぜひご検討ください。
どのようなケースでもお客様の抱えている問題やお望みの機能をヒアリングした上で、最適な提案と導入支援をご提供いたします。
踏み台サーバーで情報漏えい対策を
組織の情報漏えいは決して他人事(ひとごと)ではありません。インターネットを使ったビジネス、ネットワークにつながったサーバーの顧客情報など、どのような業務であっても、常に不正アクセスにさらされているという危機感を持ち、適切に対策を行うべきでしょう。
ただし、踏み台サーバーの設置といったインフラ整備、情報漏えい対策を、すべて自社でまかなうことは非常に難しいものです。
これを解決する早道は、情報漏えい対策への理解が深く、多くのノウハウを持つ専門家へ相談することといえます。
不正アクセスによる情報流出・改ざんの発生は、踏み台サーバーの設置といった組織内対策を待ってはくれません。まずは気軽に専門家へ相談し、自社のリスクを把握されることから始めてはいかがでしょうか。自社の環境に存在するリスクを知り、どのような対策が打てるか、明確になるはずです。
