IP アローリスト(許可リスト)は、承認されたIPアドレス(新しいウィンドウ)に基づいて、ネットワーク、システム、またはアプリケーションへのアクセスを制限するセキュリティメカニズムです。アローリストにある IP アドレスのみが接続を許可され、その他すべてはアクセスを拒否されます。この方法は通常、信頼できる IP アドレスのみが組織のリソースとやり取りできるようにすることで、組織のネットワークセキュリティを強化するために IT 管理者によって採用されます。
これは長い間 IP ホワイトリストとして知られてきましたが、より記述的で文化的に中立なアローリスト(許可リスト)という用語を推奨しています。この記事の後半で説明するように、Proton VPN for Business のお客様は、許可された担当者のみがアクセスできる専用 VPN サーバーの IP アドレスをアローリスト(ホワイトリスト)に登録することで、会社の IT リソースを保護できます。
この記事では、以下について見ていきます:
IP アドレスとは?
インターネットプロトコル(IP)アドレスは、インターネットに直接接続するすべてのデバイスを一意に識別する、コンピューター向けの数値ラベルです(したがって、Wi-Fi 接続を使用してインターネットに接続する場合、IP アドレスはデバイス自体ではなく、接続先のモデム/ルーターのものになります)。
IP アドレスは郵便の住所と同じように機能し、データパケットが正しい宛先に届くようにします。
IP アローリスト(IP ホワイトリスト)に関しては、これらの機能のうち最初のもの、つまりインターネット接続を一意に識別することが最も関連しています。通常、IP アドレスはインターネットサービスプロバイダ(新しいウィンドウ)(ISP)によって割り当てられます。
IP アローリストの仕組みは?
IP アローリスト(IP ホワイトリスト)とは、特定の IP アドレスのみに会社の IT リソースへの接続を許可する手法です。これには、オフィスのローカルエリアネットワーク(LAN)へのアクセスを制御するゲートウェイサーバーや、オンラインの SaaS(Software as a Service)プラットフォームなどが含まれます。その他の接続はすべて拒否されます。
これはブロックリスト(ブラックリストとも呼ばれます)の逆で、ブロックリストは具体的にブロックされていない IP アドレスからの接続をすべて許可します。IP アローリストがビジネスセキュリティを向上させるためにどのように使用されているかの例を挙げます:
- リモートアクセス: VPN やリモートデスクトップアクセスを特定の IP アドレスに制限することで、既知の信頼できるデバイスのみが会社のリソースに接続できるようにします。
- ウェブアプリケーション: 管理インターフェースや API へのアクセスを一連の既知の IP アドレスに制限することで、不正アクセスを防ぐのに役立ちます。
- データベースサーバー: 指定された IP 範囲内のアプリケーションサーバーのみがデータベースサーバーに接続できるようにすることで、データ侵害のリスクを軽減します。
- メールサーバー: 特定の IP アドレスからのみメールのリレーを許可することで、不正使用を防ぎ、迷惑メールを減らすのに役立ちます。
IP アローリストの利点
企業は、承認された IP アドレスから接続するスタッフメンバーのみに会社のリソースへのアクセスを制限することで、ネットワークとクラウドのセキュリティを向上させるために IP アローリスト(IP ホワイトリスト)を使用します。IP アローリストには以下の利点があります:
アクセス制御
どの IP アドレスがネットワーク、サーバー、またはアプリケーションに接続できるかを明示的に定義することで、管理者は誰が特定のリソースにアクセスできるかを正確に制御できます。これは、信頼できるユーザーまたはシステムのみがアクセス権を持つことを保証するのに役立ちます。
攻撃対象領域(アタックサーフェス)の縮小
既知の IP アドレスセットにアクセスを制限することで、潜在的な攻撃ベクトルの数を最小化できます。悪意のあるアクターはまずアローリストを回避する必要があるため、脆弱性の悪用がより困難になります。
導入が容易
IP アローリストは導入と構成が簡単です。ほとんどのファイアウォール、ルーター、ウェブサーバーは、アクセス制御リスト(新しいウィンドウ)(ACL)または同様のメカニズムを通じて IP アローリストをサポートしています。
監視と監査の向上
IP アローリスト(IP ホワイトリスト)を使用すると、アクセス試行の監視とログ記録が容易になります。アローリストにない IP からのアクセス試行はフラグが立てられ調査されるため、セキュリティ監査やインシデント対応に貴重なデータが提供されます。
コンプライアンス
多くの業界では、厳格なアクセス制御を義務付ける規制要件の対象となっています。IP アローリストは、承認されたユーザーのみが機密データやシステムにアクセスできるようにすることで、組織がそのような規制に準拠するのを支援します。
DDoS 攻撃からの保護
IP アローリストは、アローリストにある IP からの正当なトラフィックのみを許可することで、分散型サービス拒否(新しいウィンドウ)(DDoS)攻撃のリスクを軽減できます。これは、重要なサービスの可用性とパフォーマンスを維持するのに役立ちます。
ネットワークパフォーマンスの向上
限られた IP アドレスセットにアクセスを制限することで、ネットワークトラフィックをより効率的に管理およびフィルタリングでき、全体的なネットワークパフォーマンスが向上する可能性があります。
費用対効果が高い
他のセキュリティ対策と比較して、IP アローリスト(IP ホワイトリスト)は、セキュリティの追加層を加えるための費用対効果の高い方法です。高価なハードウェアやソフトウェアを必要とせず、既存のネットワークインフラストラクチャで管理できます。
スケーラビリティ
IP アローリストは、拡大するネットワークに合わせて簡単に拡張できます。必要に応じて新しい IP アドレスをホワイトリストに追加でき、セキュリティを維持しながら正当なユーザーが引き続きアクセスできるようにします。
IP アローリストの欠点
明確なセキュリティ上の利点がある一方で、従来の IP アローリスト(IP ホワイトリスト)対策にはいくつかの潜在的な欠点もあります。しかし、以下で説明するように、これらの欠点の多くは、Proton VPN for Business の専用IPアドレスを使用することで克服できます。
メンテナンスの負担
最新のアローリストを維持することは、時間がかかり、労力を要する場合があります。ユーザーの IP アドレスが変わるたびに(特に動的IPアドレスを使用している場合)、変更を反映するためにホワイトリストを定期的に更新する必要があります。
柔軟性が限られる
IP アローリスト(IP ホワイトリスト)は、リモートワーカー、モバイルユーザー、頻繁に出張する従業員など、複数の場所からリソースにアクセスする必要があるユーザーにとっては制限となる可能性があります。新しい場所に行くたびに、ホワイトリストの更新が必要になる場合があります。
スケーラビリティ
必要に応じてアローリストに IP アドレスを追加できる機能は利点にもなりますが、アローリストに登録する必要があるユーザーや IP アドレスの数が増えると、アローリストの管理が煩雑になる可能性があります。これは、多くのユーザーやデバイスを抱える大規模な組織では特に困難です。
動的IPアドレスの難しさ
多くの人々、特に家庭用 ISP を使用している人々は、変更される可能性のある動的IPアドレスを持っています。これにはアローリストの絶え間ない更新が必要となり、非実用的でエラーが発生しやすくなります。
構成エラー
アローリストを手動で管理すると、構成エラーのリスクが高まります。誤って正当な IP アドレスを除外してしまうと、チームが必要なリソースにアクセスできなくなる可能性があります。逆に、誤って不正な IP アドレスを含めてしまうと、セキュリティの脆弱性が生じる可能性があります。
保護の限界
IP アローリスト(許可リスト)は、IP アドレスに基づいてアクセスを制御するだけです。侵害されたデバイスや内部の脅威など、アローリストにある IP から発生する脅威からは保護しません。これらのリスクに対処するには、追加のセキュリティ対策が必要です。
ユーザビリティの課題
エンドユーザーにとって、IP アローリストはユーザビリティの課題を生み出す可能性があります。IP アドレスが変更されたり、アローリストにない場所からリソースにアクセスしようとしたりすると、正当なユーザーがブロックされる可能性があります。これは不満を招き、生産性を妨げる可能性があります。
出張
海外出張中にリソースにアクセスする必要があるユーザーは、IP アドレスの変更によりアクセスの問題に直面する可能性があります。新しい海外の IP アドレスを含めるためにアローリストを更新するのは、時間がかかり困難な場合があります。
ネットワークの複雑さの増大
IP アローリストを導入すると、ネットワークの構成と管理が複雑になる可能性があります。ネットワーク管理者はアローリストのルールを慎重に計画して実装する必要があり、トラブルシューティングやネットワーク設計が複雑になる可能性があります。
誤った安心感
IP アローリスト(IP ホワイトリスト)だけに頼ると、誤った安心感を与える可能性があります。これは追加の防御層を提供しますが、ファイアウォール、暗号化、認証、その他のセキュリティ対策を含む、より広範で多層的なセキュリティ戦略の一部であるべきです。
Proton VPN の専用IP
上記の多くの欠点に対する堅牢な解決策は、Proton VPN から固定 IP アドレスを持つ専用サーバーをレンタル(新しいウィンドウ)することです。これらは、許可されたスタッフのみがアクセスできる VPN サーバーです。そして、これらのサーバーの IP アドレスのみをアローリストに登録することで、スタッフはオフィスの LAN や SaaS、CaaS、PaaS、IaaS(新しいウィンドウ) リソースに、セグメント化された安全なアクセスが可能になります。
専用サーバーと IP アドレスの詳細を見る(新しいウィンドウ)
これを行うことで、従来の IP アローリスト手法に関連する欠点の多く(すべてではないにせよ)に対処できます。
簡単なメンテナンスと構成
企業が行う必要があるのは、当社からリースした専用サーバーの IP アドレスをアローリストに登録することだけです。これにより、IT リソースへのアクセスをセグメント化することも可能になります。一部のリソースには専用IPをアローリストに登録し、他のリソースには登録しないといったことが可能です。
例えば、Proton VPN から3つの専用サーバーアドレスをリースしている企業を管理しているとします。すべてのスタッフメンバーは、CRM やコラボレーションプラットフォームなど、一般的に使用される会社の IT リソースにアクセスするためにサーバー1を使用できます。一部のスタッフメンバーのみがサーバー2を使用でき、特定の会社のリソースへの「知る必要のある(need-to-know)」アクセスを提供します。そして、上級スタッフメンバーのみがサーバー3にアクセスでき、スタッフ管理ツールやその他の機密リソースを閲覧できるようにします。
Proton VPN 専用サーバーへのアクセスは、モバイル認証アプリまたはセキュリティキーによる2要素認証(新しいウィンドウ)(2FA)を完全にサポートしており、いずれにしても安全であることに注意してください。しかし、このように IP をアローリストに登録することで、追加のセキュリティ層が提供されます。
Proton VPN for Business はシングルサインオン(新しいウィンドウ)(SSO)もサポートしているため、スタッフは必要な会社の IT リソースに簡単かつ安全に接続できます。
信頼できるセキュリティ
Proton VPN は、世界中の何百万もの企業、ジャーナリスト、活動家、一般の人々から信頼され、インターネット上でのプライバシーと安全を確保しています。それが私たちの使命です。私たちは、スタッフのデバイスと当社の VPN サーバー間の接続が侵害されないように、最も強力な VPN プロトコル(新しいウィンドウ)と最高水準の暗号化アルゴリズム(新しいウィンドウ)のみを使用し、潜在的な問題がないかフルディスク暗号化を備えたベアメタルサーバーを継続的に監視しています。
スタッフは 2FA を使用して専用ゲートウェイに安全にアクセスでき、NetShield 広告ブロッカー(新しいウィンドウ)機能は、デバイスがマルウェアに侵害されるのを防ぐのに役立ちます。
どこからでもアクセス
専用 VPN サーバーの IP をアローリストに登録するだけでよいため、スタッフがリモートで働いていようと出張中であろうと関係ありません。専用サーバーへのサインインが許可されている限り、自身の IP アドレスが変わったとしても、世界中のどこからでも必要なリソースにアクセスできます。
IP アローリストを使用して IT リソースを保護する方法を学ぶ(新しいウィンドウ)
最後に:
IP アローリスト(IP ホワイトリスト)は貴重なセキュリティツールになり得ますが、従来の IP アローリスト手法の限界を認識し、潜在的な脅威や課題の範囲に対処する包括的なセキュリティ戦略の一部としてのみ実装することが重要です。
しかし、Proton VPN for Business の専用サーバーを IP アローリストに登録することで、企業の物理的およびオンラインリソースに追加のセキュリティ層を提供し、従来の IP アローリストの欠点なしに柔軟で最新のセキュリティソリューションを提供します。
