TCP/IPモデルのレイヤー別のセキュリティ対策
【結論】
・インターネットの通信は、いくつかの通信プロトコルからなっており、それらの階層構造を表した代表的なものに「TCP/IP」がある
・「TCP/IP」は、アプリケーション層・トランスポート層・インターネット層・ネットワークインターフェース層に階層分けされている
・セキュリティ対策においても、それぞれに層に対して対策を講じる必要がある
【目次】
【本題】
TCP/IPモデルについて
ネットワークはLANケーブルや中を通るデータ、行き先を仕分けるプロトコルといった様々な仕組みが合わさって、目的地までデータを送ることができます。
これらの仕組みをOSIでは7層、TCP/IPモデルでは4層にレイヤー分けしています。
※画像引用元 TCP/IPとは
Webサービスのセキュリティ対策は、これらの層ごとに対策を講じる必要があります。
今回は、それぞれの層における代表的なセキュリテイ対策をまとめます。
ネットワークインターフェース層の対策
ネットワークインターフェース層は、TCP/IPモデルをECサイトに例えると、商品を運搬する為の道路やトラックなどのようなものです。
サーバーを、物理的に外部の影響に晒されないようにする対策が取られます。
・データセンタ所在地の秘匿
・徹底した入退室管理
・監視カメラや侵入検知システム
・アクセスの記録・監査
トランスポート層/インターネット層の対策
トランスポート層/インターネット層は、TCP/IPモデルをECサイトに例えると、商品の宛名ラベルや梱包材などのようなものです。
偽造された宛名を検知して不正なアクセスを遮断する対策などが取られます。
代表的な対策は下記のようなものです。
・ファイヤーウォール(セキュリティグループ/ネットワークACL)
接続元IPアドレス、接続先IPアドレス、通信ポートで通信の制御を行っています。
・IDS/IPS
IDS:Intrusion Detection System(侵入検知システム)、IPS:Intrusion Prevention System(侵入防止システム)
ファイヤーウォールで通過したデータの内容を確認し、不正が無いかを確認。IDSではそれを検知、IPSでは防御します。
アプリケーション層の対策
アプリケーション層は、TCP/IPモデルをECサイトに例えると、商品そのものを表します。
ネットワーク上では判断できなかった攻撃を検知する対策が取られます。
代表的なものは下記です。
・WAF
ネットワーク上では判断できなかったアプリケーション層の内容を解析し、脆弱性を突くような内容のデータをブロックします。