より安全に！オススメしたいウェブサーバの設定

こんにちは、Scutumサポートデスクです。

今回はScutumからのアクセスを受けるウェブサーバ側でオススメしたい設定をご紹介します。
この設定をすることで、ウェブサーバをより安全な状態で守ることができるようになります。
まだ設定がお済みでない方は、ぜひ本記事を参考にウェブサーバの設定を見直してみてください。

オススメする設定の内容と、Scutumを利用した通信の流れ

では早速ですが、ウェブサーバでオススメしている設定の内容はどんなものか？
それは「ScutumのIPアドレスからのアクセスだけを受け付ける設定」です。

なぜこの設定をオススメするのか？を説明する前に、Scutumを利用した場合にどんな流れで通信が行われるか見てみましょう。

Scutumは「クラウド型」のWAFなので、DNSの設定をScutum環境のCNAMEまたはIPアドレスにする（以後、「Scutumに向ける」と表現します）ことで、通信がScutumを通るようになり、Scutumが通信の監視や、攻撃と思われるアクセスをブロックすることが出来るようになります。

また、Scutumでは通信を受け付けるプロトコルやポートを限定していて、TCP 80番ポート(HTTP)と、TCP 443番ポート(HTTPS)を利用したアクセスだけを受け付ける仕様です。

そのため、DNSをScutumに向けることで、攻撃を防御出来るようになるだけでなく、HTTP・HTTPS以外のプロトコルを利用したアクセスの影響を受けない状態にすることができます。
それならDNSをScutumに向けるだけでウェブサーバが攻撃を受ける可能性はもう無いのではないか？と思われる方は多いかもしれませんが、実はまだ攻撃を受けてしまう可能性があります。

それはどのような場合か？というと、ウェブサーバ側のアクセス制限が不十分な場合です。
具体的に書くと、ウェブサーバがScutum以外からのアクセスも受け付ける状態を指します。

設定をオススメする理由

サイトやWebアプリケーションへのアクセスは基本的にDNSを利用して行われるので、Scutumがアクセスを監視し、ブロックすることができました。
しかし、ウェブサーバがScutum以外からのアクセスも受け付ける状態で、さらに悪意のある攻撃者がウェブサーバのIPアドレスを知っていたらどうなるでしょうか？

そうです。DNSの設定を無視して、ウェブサーバに直接アクセスすることが出来てしまいます。

このようにScutumを通らないアクセスは当然、攻撃であってもブロックすることが出来ません。
では、どうすればScutumを通らないで行われるアクセスを防げるのかというと、ScutumのIPアドレスからのアクセスだけを受け付ける設定をすることで、解消できます。

Scutumがウェブサーバにアクセスする際に利用するIPアドレスは、FQDNごとに固定のもので設定されています。
そのため、ウェブサーバ側でアクセスを制限する設定を掛けることで、以下の状態にすることができ、ウェブサーバをより安全な状態で守ることができるようになります。

• ウェブサーバに直接アクセスできなくなる
• ウェブサーバにアクセスするためには必ずScutumを通る必要がある

どこで設定するのか、また設定に必要な情報とその確認方法

今回オススメした設定は、Scutumではなく、ウェブサーバでする必要があります。
ウェブサーバでアクセス制限をするための具体的な設定方法は、お使いのサーバやシステム等によって異なるため、確認して設定をしてみてください。
設定に必要な Scutumがウェブサーバにアクセスする際に利用するIPアドレス は、Scutumを利用するために必要な情報等を記載している「設定情報」（※サービスをご契約時にご提供するPDF資料です）に記載しています。

最後に補足ですが、
サイトによっては、管理者など特定のIPアドレスで直接ウェブサーバにアクセスが出来ないと困る、というような場合があると思います。
そんな場合には、管理者のIPアドレス + Scutum環境のIPアドレスを設定するなど、要件に応じて設定をアレンジしてみてください。

今回ご案内した活用方法は、必ずやってほしいという強いお願いではありませんが、セキュリティレベル向上の一助になれば幸いです。

ご不明な点等がありましたら、お気軽にScutumサポートデスクまでお問い合わせください。