石橋秀仁(zerobase)書き散らす

まじめなブログは別にあります→ja.ishibashihideto.net

社内LANを廃止してクラウド・テレワークを推進するときに問題になる固定IPアドレスベースの認証方式とその代替案

社内LAN撲滅運動 - ISO27001(ISMS)認証を取得しました』という素晴らしい報告がありました。

私たちは、社内LANとインターネットとを区別するのではなく、クラウドを利用してネット上に仮想のワークスペースを作り、それを場所を問わず使えるようにするという方針でセキュリティと業務の両立を図りました。

テレワーク化を推進するために、こういう事例を参考にしています。

現時点での懸念は、IPアドレス制限」という認証方法が使えなくなることです。

補足しますと、ウェブサービス開発をする場合には、

  • 開発環境へのSSH, HTTP(S)アクセス
  • 本番環境の管理画面へのHTTPSアクセス

などを固定IPアドレスベースで制限することがあります。例えば「事務所のIPアドレス」で制限することにより、「従業員によるアクセス」であるという認証になっているわけです。

しかし、「事務所のLAN」がなくなると、この方法が使えなくなるわけですね。

困った。どうしましょう。

VPN for Amazon Virtual Private Cloud

L2TPやIPsecによるVPNでAmazon VPCに接続し、VPC(の固定IPアドレスのゲートウェイを経由して)から対象のサーバーにアクセスする方式が有望ですかね。

クライアント証明書 for HTTPS + DenyHosts for SSH

IPアドレスを固定化しなくても、対象サーバーで直接クライアント認証する考え方もあります。クライアント証明書です。iPhoneでも利用できる技術です。ランニングコストはグローバルサインで105,000円(10ライセンス)とのことで、多少かかりますが、まあ大した額ではないです。

しかし、SSHブルートフォース攻撃IPアドレスベースで拒絶することはできないですね。まあ自動的に/var/log/secureから/etc/hosts.denyを追加してくれるDenyHostsでも導入すればいいのかもしれませんが。

前述の二案では、みなさんならどちらがよいと思いますか?

ちなみに、以前はPPTPベースのVPN技術で固定IPアドレスを提供するインターリンク[マイIP](http://www.interlink.or.jp/service/myip/index.html)サービスを使っていました。手軽で便利なサービスだったのですが、昨年MicrosoftがPPTPで使われている認証技術MS-CHAP v2の重大な脆弱性を報告したことにより、オワコンとなりました…