管理画面に対するIP制限のススメ

こんにちは！佐々木です。

今回は「管理画面に対するIP制限のススメ」です。

管理画面といえば、だいたいID/PASSで制限されていて安心だと思いますよね？
実際にはそうでもなくて、外部から露出しているプログラムが原因で脆弱性を突かれた攻撃をされてしまう場合があります。

巷でMovableTypeの脆弱性が突かれてお祭り状態になっているようで・・・。
と、人ごとではなく・・・・。弊社がお付き合いのあるサイトでも同様に攻撃を受けました。

できる、できないものもあるのですが、IP制限を設けることで防げる事案でもあった？のではと思っております。

なぜIP制限をかけたほうがいいのか

少しでも脆弱性のある可能性がある（これはすべてのプログラムに対して）
可能な限り外部からのアクセスを遮断するという試みです。
極端な話、脆弱性のあるプログラムが置かれていても、アクセスができなければ悪さできないからです。

IP制限に必要な環境

まず、IP制限に利用する固定IPが必要です。
注意点として、家庭環境のアクセスであれば、間違いなく動的IPです。（アクセスする度にIPが変わる）
リモートでの作業の多い方は注意が必要です。※管理画面にアクセスできなくなってしまったり・・・。

法人などであれば、社内VPNなどを利用することで固定IP化が可能な場合があります。（担当の方に確認をしてみましょう）
固定IP化をするためのサービスもあるようですので、そちらを検討するのも有りです。

IP制限をかけるフォルダ

いちばん効果を発揮する構成が、管理画面に用いるファイル一式がフォルダで完結していることです。

例えば下記のような構成の場合です。
/admin/以下に管理画面のプログラム
/以下がユーザーコンテンツ

上記のような場合、adminにIP制限をかけることで、許可された人しかアクセスできないためセキュリティが向上します。

例えば、下記のような構成の場合（MovableTypeのベーシックな形)

/cgi-bin/以下がMovableTypeのプログラム。
/cgi-bin/xxx　にもユーザーコンテンツ
/ユーザーコンテンツ
こちらは注意が必要で、/cgi-bin/以下にユーザーが閲覧に必要なコンテンツファイルがある場合は利用できません。
IP制限をかけてしまうと、ユーザー側も閲覧不可となります。

IP制限と合わせて行いたい施策

オススメ順に

1. WAF(Web Application Firewall)の導入
2. 改ざん検知
3. IPS/IDS

などの導入を検討してみてはいかがでしょうか。

MaromaroではWAF導入の支援も行っていますので、是非お声がけください。