セキュアなネットワークアクセス

[更新日:2025年09月30日]

ネットワークアクセス制御の実装

ネットワークセキュリティの基盤として、アクセス制御を多層的に実装し、組織の機密情報とシステムリソースを効果的に保護することが重要です。ネットワークリソースの管理権限を適切に制御するため、許可されたユーザにのみ必要最小限の権限を付与するIAMポリシーを定義します。管理者、運用担当者、開発者など、役割に応じて段階的な権限レベルを設定し、職務分離の原則を徹底することが重要です。

ネットワークアクセス制御の基盤要素は以下のとおりです。

  • 認証・認可:ユーザとデバイスの正当性確認

  • ゾーンベースセキュリティ:セキュリティゾーンによる論理分離

  • マイクロセグメンテーション:アプリケーション単位での詳細な分離

  • ゼロトラスト:信頼性を前提としない継続的な検証

  • 適応的制御:リスクレベルに応じた動的なアクセス制御

柔軟なネットワーク設計戦略

柔軟かつセキュアなネットワーク設計を実現するために、用途別に明確に分離された複数のサブネットを階層的に構築する戦略を策定します。パブリックサブネット、プライベートサブネット、管理用サブネットなど、各サブネットの役割と責任を明確化し、適切なセグメンテーションを行います。これらサブネット間の通信は必要最小限に制限し、パケットフィルタ(インスタンス単位のステートフルファイアウォール)とネットワークACL(サブネット単位のステートレスファイアウォール)による二重防御を構築します。

高可用性とセキュリティ強化のためには、ロードバランサ用のサブネットを専用に設計し、複数のゾーンにまたがって配置し単一障害点を排除します。ロードバランサ用サブネットは外部からのトラフィックを受け入れ、管理用トラフィックは別の専用サブネットで分離管理する構成が推奨されます。

ネットワーク設計戦略には以下の構成要素があります。

  • 階層型アーキテクチャ:3層または多層サブネット分割

  • セキュリティゾーン:信頼レベルに応じたネットワーク区画

  • 冗長化設計:単一障害点を排除した冗長構成

  • 拡張性確保:将来のリソース増加に対応可能な設計

  • 運用効率:管理・監視の効率性を考慮した設計

専用サブネット構成の最適化

Webアプリケーションサーバ、侵入検知システム(IDS)、WAF(Web Application Firewall)など、外部からのアクセスが必要なコンポーネント用のパブリックサブネットを適切に設計します。パブリックサブネット内のリソースは最小限に抑え、パケットフィルタとネットワークACLによる厳格なアクセス制御を実施します。

データベース、アプリケーションサーバ、内部APIなど、機密性の高い内部システムにはプライベートサブネットを確保します。これらのサブネットは直接インターネットアクセスを持たず、厳格なアクセス制御により保護されます。内部システム間の通信も必要最小限に制限し、マイクロセグメンテーションの原則を適用します。

プライベートサブネットにアタッチされたコンピューティングインスタンスは、プライベートIPアドレスのみを持つように設定し、直接的な外部アクセスを完全に遮断します。インターネットアクセスが必要な場合は、VPNルータやNATゲートウェイを経由した制御されたアクセスのみを許可します。

サブネット構成の最適化要素は以下のとおりです。

  • DMZ設計:安全な外部接続を実現する非武装地帯(パブリックサブネット)

  • 内部セグメント:機密システムを保護するプライベートサブネット

  • 管理セグメント:管理業務専用の独立したセグメント

  • ワークロードセグメント:アプリケーション種別による分離

  • 監視セグメント:セキュリティ監視機能専用サブネット

ロードバランサによるセキュリティ確保

攻撃対象領域の最小化

システムの堅牢性とセキュリティを同時に向上させるため、インターネットからのアクセスをロードバランサに一元化し、バックエンドサーバをプライベートIPアドレスで運用することを強く推奨します。インターネットからの直接アクセスをロードバランサのみに限定することで、システム全体の攻撃対象領域を劇的に縮小し、セキュリティリスクを大幅に軽減します。

インターネットからの直接アクセスをロードバランサに限定することで、攻撃者が標的とできるエンドポイントを大幅に削減できます。バックエンドのWebサーバやデータベースサーバが外部に直接公開されることを防ぎ、DDoS攻撃、ポートスキャン、脆弱性を狙った攻撃などの脅威から保護します。

具体的には、ロードバランサをパブリックサブネットの最前線に配置し、その後方にWebサーバやアプリケーションサーバを含むプライベートサブネットを構成します。さらに後方には、データベースサーバ専用の高度に保護されたプライベートサブネットを配置し、三層の防御構造を構築します。

攻撃対象領域の最小化には以下の要素があります。

  • 単一エントリーポイント:ロードバランサによる一元的なアクセス制御

  • プライベート配置:バックエンドサーバの完全プライベート化

  • 段階的防御:複数層による段階的なセキュリティ制御

  • アクセス制限:最小必要なポートとプロトコルのみ許可

  • 隠蔽化:内部システム構成の外部からの隠蔽

SSL/TLS終端とセキュリティ強化

さくらのクラウドのエンハンスドロードバランサは、SSL証明書を設定することでHTTPS通信の暗号化・復号処理を担当し、実サーバの計算負荷を大幅に軽減します。この機能により、バックエンドサーバはコンテンツ処理とビジネスロジックの実行に専念でき、全体的なシステムパフォーマンスが向上します。

SSL/TLS終端機能の主要なメリットとして、サーバ負荷軽減(重い暗号化処理をオフロードしてパフォーマンス向上)、証明書一元管理(複数サーバ環境での証明書管理の効率化)、セキュリティ設定統一(プロトコルバージョンや暗号スイートの一括管理)、運用効率向上(証明書更新やセキュリティパッチ適用の簡素化)、コスト最適化(同一リソースでより多くのリクエスト処理)などがあります。

複数のバックエンドサーバが存在する環境においても、SSL証明書の導入、更新、失効管理をロードバランサ上で一元的に実施できます。証明書の期限切れや設定ミスによるサービス停止リスクを大幅に削減し、セキュリティガバナンスの強化を実現します。

SSL/TLS終端の構成要素は以下のとおりです。

  • SSL証明書管理:証明書の一元的な管理と自動更新

  • 暗号化プロトコル:TLS 1.2以上の最新プロトコル使用

  • 暗号スイート制御:強固な暗号化方式の選択

  • HSTS実装:HTTP Strict Transport Securityの有効化

  • 証明書透明性:Certificate Transparencyへの対応

ロードバランサでSSL/TLS終端を実行する環境では、セキュリティをさらに向上させるためにHSTSヘッダーをHTTPレスポンスに含めることを強く推奨します。 HSTSヘッダーを一度受信したブラウザは、そのドメインへの以降のアクセスを、ユーザがHTTPでアクセスしようとした場合でも、自動的にHTTPSに変換します。 さくらのウェブアクセラレータ(CDN)では、ウェブアクセラレータ自体が独自に HSTS ヘッダを付与する機能はありませんが、透過的に通します。 オリジンで HSTS ヘッダを付与しておけば、そのままCDN経由で転送されます。

HSTSを有効化すると、一度アクセスしたユーザはHTTPSしか使えなくなるため、証明書の失効時などに注意が必要です。

内部通信のセキュリティ考慮

SSL/TLS終端をロードバランサで実行する場合でも、ロードバランサからバックエンドサーバへの通信経路のセキュリティを十分に考慮することが重要です。さくらのクラウドの内部ネットワークは外部から物理的・論理的に隔離されており、高度なセキュリティが確保されています。

特に厳格なセキュリティ要件がある組織や、金融、医療、政府機関などの高度な機密性を要求される環境では、ロードバランサとバックエンドサーバ間の通信もHTTPSで再暗号化することを強く推奨します。これは、PCIDSS,HIPPA, NIST SP 800-53,FISC, ISO 27001などでも明記されています。この設定により、内部ネットワーク上での通信が万一傍受された場合でも、通信内容が暗号化により保護され、機密情報の漏洩を防止できます。

内部通信セキュリティには以下の構成要素があります。

  • 再暗号化:ロードバランサ-バックエンド間の暗号化

  • 相互認証:クライアント証明書による双方向認証

  • 内部PKI:内部証明書基盤による証明書管理

  • トラフィック検査:内部通信の継続的な監視

  • セッション保護:セッション情報の暗号化保護

アクセス元ネットワークアドレスによる制限

VPNルータによる高度なアクセス制御

さくらのクラウドでは、多様なサービスに対してアクセス元ネットワークアドレスによる包括的な制限機能を提供しています。これらの制限は、パブリックIPアドレス、プライベートIPアドレス、CIDR表記による範囲指定など、柔軟な設定が可能です。

VPNルータは、ネットワークレベルでの強力なアクセス制御機能を提供し、組織のセキュリティポリシーを厳密に実装できます。VPNルータの「ファイアウォール」機能では、WAN(グローバル側)とLAN(プライベート側)の両インターフェースに対して、詳細な通信ルールを設定できます。送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコルを組み合わせた複雑な制御ルールを構築し、組織のセキュリティ要件に応じたきめ細かなアクセス制御を実現します。

インターネット経由の直接アクセスを原則として完全にブロックし、リモート管理や外部からの接続はVPN(L2TP/IPsec、サイト間VPN、OpenVPNなど)経由のみに厳格に限定する設計を実装します。この設計により、認証されたユーザのみが組織のネットワークリソースにアクセスでき、不正アクセスのリスクを大幅に削減できます。

VPNルータによる制御の構成要素は以下のとおりです。

  • ステートフルファイアウォール:接続状態を追跡した高度な制御

  • ポリシーベース制御:ビジネスルールに基づく自動制御

  • VPN統合:複数VPN技術の統合管理

  • ログ機能:詳細なアクセスログの記録

  • 高可用性:冗長構成による継続的な保護

実践的なVPNルータ設定

VPNルータの実践的な設定例として、管理アクセス制限ではSSH/RDPなどを社内ネットワーク・VPNのIPレンジのみ許可し、公開Webサーバでは、WAN側からTCP/80,443のみ許可、送信元を適切に限定します。内部システムはプライベート側LANで特定セグメントからの通信のみ許可し、デフォルト拒否として全ての受信・送信通信をデフォルトで拒否し、必要なもののみ明示的に許可する設定を実装します。

実践的設定には以下の要素があります。

  • ホワイトリスト方式:明示的に許可されたもののみ通過

  • 地理的制限:特定地域からのアクセス制限

  • 時間制限:業務時間外のアクセス制限

  • プロトコル制限:必要最小限のプロトコルのみ許可

  • 動的制御:脅威情報に基づく動的なブロック

サービス別アクセス制限の実装

サービス

主な制限方法

具体的な設定例

セキュリティレベル

運用考慮事項

VPNルータ

ファイアウォール機能、VPN機能

社内IP + VPN経由のみ管理アクセス許可

VPN接続の安定性確保

仮想サーバ/VPS

パケットフィルタ、OS側ファイアウォール

SSH/RDPを特定IPからのみ許可

中〜高

管理IPアドレスの変更対応

DBアプライアンス

送信元ネットワーク制限

アプリサーバ用セグメントのみ許可

アプリケーション変更時の対応

オブジェクトストレージ

許可IPアドレス設定、APIキー制限

VPN経由 + 認証ユーザのみ

アクセスパターンの変化対応

ウェブアクセラレータ

ACL機能、ルールベース制御

管理画面は社内ネットワークのみ

中〜高

CDNキャッシュクリア時の考慮

仮想サーバやVPSレベルでのアクセス制御により、サーバ単位での細かなセキュリティ設定を実装し、多層防御を強化します。コントロールパネルでパケットフィルタを設定し、各サーバのNIC毎に適用することで、サーバレベルでの精密なアクセス制御を実現します。会社拠点やVPN網のグローバルIPからの管理アクセスのみを許可し、その他は全て拒否する設定を実装します。

DBアプライアンスでは、機密性の高いデータを保護するため、特に厳格なアクセス制御を実装します。データベース作成時や設定変更時に「許可する送信元IPアドレス」をIP/CIDR形式で詳細に指定し、承認されたネットワーク範囲からのアクセスのみを許可します。公開ネットワークからの直接データベース接続を原則として完全に禁止し、VPNやVPNルータを経由した認証済みのアクセスのみを許可する設計を実装します。

サービス別制限の構成要素は以下のとおりです。

  • レイヤー別制御:ネットワーク・システム・アプリケーション各層での制限

  • 統合管理:複数サービスの一元的なアクセス制御

  • 例外管理:緊急時やメンテナンス時の一時的な例外処理

  • 監視統合:アクセス制限状況の統合監視

  • 自動化:ルール適用の自動化とエラー防止

セキュアなDNSゾーンとレコードの管理

DNS管理のベストプラクティス

DNSセキュリティの基盤となるのは、アクセス権限を適切に設定し、DNSゾーンやレコードの変更権限を持つユーザを最小限に制限することです。役割ベースアクセス制御で、DNS管理者、運用担当者、開発者の段階的権限設定を実装し、多重承認システムで重要なDNSレコード変更には複数承認者による確認を義務化します。

変更履歴管理では、全ての設定変更の詳細ログと追跡可能性の確保を行い、定期的な権限見直しでは、アクセス権限の定期監査と不要権限の削除を実施します。

さくらのクラウドのDNSアプライアンスは、従来のDNS管理の課題を解決し、エンタープライズレベルのセキュリティと可用性を提供します。このアプライアンスを活用することで、DNSSEC対応、高度なロードバランシング、DDoS攻撃対策など、現代的なDNSセキュリティ要件を満たすことができます。

DNS管理ベストプラクティスには以下の要素があります。

  • 権限最小化:DNS管理権限の最小必要範囲への制限

  • 変更管理:DNS変更の承認プロセスと記録管理

  • 監査機能:すべてのDNS操作の詳細な記録

  • 災害復旧:DNS設定のバックアップと迅速な復旧

  • セキュリティ監視:DNS関連の異常活動の検知

DNSアプライアンスのセキュリティ機能

DNSアプライアンスの主要セキュリティ機能として、認証・権限管理(多要素認証、SSO連携、IP制限による安全なアクセス制御)、操作ログと監査(全操作の詳細な記録と監査証跡の自動保存)、自動バックアップ(定期的な自動バックアップと複数世代保持によるデータ保護)、DNSSEC対応(ドメインハイジャック防止とDNS応答の完全性保証)、APIセキュリティ(トークンベース認証、権限制御、レート制限)があります。

DNSアプライアンスは、Webインターフェースと標準化されたAPIの両方を通じて、認証・権限管理された安全な環境下でDNS管理を可能にします。多要素認証(MFA)、SSO(Single Sign-On)連携、IPアドレス制限など、複数のセキュリティレイヤーを組み合わせることで、第三者による無断設定変更や不正アクセスのリスクを大幅に低減します。

DNSサーバのオペレーティングシステムやミドルウェアの脆弱性対策は、さくらインターネットの専門チームが一元的に管理し、最新のセキュリティパッチの適用や脆弱性対応を迅速に実施します。利用者は個別のサーバ管理の負担から解放され、DNSサービスの利用に専念できます。

DNSアプライアンスセキュリティの構成要素は以下のとおりです。

  • DNSSEC実装:DNS応答の真正性と完全性の保証

  • レート制限:DNS問い合わせの過剰なリクエスト制御

  • 地理的制限:特定地域からのDNS問い合わせ制限

  • 脅威フィード:DNS関連脅威情報の自動取得と適用

  • 高可用性:複数のDNSサーバによる冗長構成

セキュア・バイ・デフォルトの実装

プロアクティブなセキュリティアプローチ

さくらのクラウドでは、一般的なセキュリティリスクを事前に最小限に抑えるため、設計段階からセキュリティを組み込んだプロアクティブなアプローチを採用しています。利用者が意識的にセキュリティを無視したり、後回しにしたりを防ぐため、プラットフォームレベルでセキュリティ対策を標準実装する「セキュア・バイ・デフォルト」の原則を徹底しています。

新しいプロジェクトの開始時や新しいソリューションの構築時には、ベンダーの推奨事項、組織の内部基準やポリシー、国際的なセキュリティフレームワーク、業界特有の規制遵守要件、参考となるリファレンスアーキテクチャなど、多様で豊富な情報源からセキュリティベストプラクティスに関する包括的なガイダンスを得ることができます。

プロアクティブなアプローチには以下の構成要素があります。

  • デフォルト設定:セキュアな初期設定の自動適用

  • テンプレート:セキュリティベストプラクティスを組み込んだ構成テンプレート

  • 自動検証:設定内容の自動的なセキュリティチェック

  • ガイダンス:設定時のセキュリティ推奨事項の表示

  • 継続改善:最新の脅威情報に基づく設定の継続的更新

セキュリティポリシーの自動適用

さくらのクラウドのセキュリティ対策では、機密データやクリティカルなリソースを効果的に保護するという重要な性質上、サービスの設計段階から厳格で包括的な制限を標準として設けています。たとえば、新しいリソースの初期設定では、インターネットからの直接アクセスを原則として制限し、機密データを可能な限り外部から隔離するセキュリティポリシーが自動的に適用されます。

このセキュリティポリシーは、セキュリティ基準に違反するリソースの作成や設定変更をリアルタイムで検知し、自動的に防止する機能を提供します。危険な設定や不適切なアクセス許可を持つリソースの作成を事前に阻止することで、ヒューマンエラーや知識不足による脆弱性の発生を大幅に削減し、組織全体のセキュリティ体制を継続的に強化します。

自動適用ポリシーの構成要素は以下のとおりです。

  • リアルタイム検証:設定変更時の即座なセキュリティチェック

  • 自動修正:危険な設定の自動的な修正または警告

  • ポリシー管理:組織レベルでのセキュリティポリシー一元管理

  • 例外処理:正当な理由による例外申請と承認プロセス

  • レポーティング:セキュリティポリシー適用状況の定期報告

継続的なセキュリティ向上

現実的な制約により、重要なセキュリティアドバイスが適切に実装されないケースが頻繁に発生する中で、さくらのクラウドは、プロジェクトの納期遅延圧力、限られた予算制約、チーム内の専門知識不足、非本番環境での開発開始による「後で対応」という判断、レガシーシステムとの互換性問題などの要因による脆弱性を事前に排除する設計を採用しています。

継続的向上には以下の要素があります。

  • 脅威インテリジェンス:最新の脅威情報の自動取得と適用

  • 自動更新:セキュリティ機能の自動的な更新と強化

  • フィードバック:利用者からのセキュリティ要望の収集と反映

  • 業界連携:セキュリティコミュニティとの情報共有

  • 研究開発:新しいセキュリティ技術の研究と実装