管理者アカウントを守るゼロトラスト：SaaS管理画面のIP許可リスト運用

はじめに

SaaS管理画面への不正アクセスは、企業に甚大なダメージをもたらします。 顧客情報流出、システム改ざん、機密情報漏洩——こうした事態を招く最大の入口が、管理者アカウントです。

本記事では、IP許可リスト（IP whitelist）を活用した実践的なセキュリティ運用方法を詳細に解説します。 「どこからアクセスするか」を制御することで、いかなるパスワード盗聴よりも強力なセキュリティ対策が実現できます。

⇒【ロリポップ！固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料！

IP許可リストとは

基本的な仕組み

IP許可リスト（IP whitelist）は、特定のIPアドレスからのアクセスのみを許可し、その他のアクセスを自動的に遮断する機能です。

例えば、SaaS管理画面へのアクセスを「会社のオフィスIP」と「管理者の自宅IP」だけに限定した場合、以下のようなことが起こります。

• 会社オフィスからのログイン：正常にログイン可能 • 許可された自宅IPからのログイン：正常にログイン可能 • 攻撃者が盗聴したパスワードを使って、カフェからログイン試行：失敗（IPが許可リストにない） • 不正な場所からのログイン試行：自動的に遮断

IP許可リストの強力な理由

IP許可リストは、パスワード盗聴に対して極めて有効です。

なぜなら、攻撃者がパスワードを持っていても、許可されたIP範囲からのアクセスができないためです。

多くのセキュリティ対策（MFAなど）は「認証要素の追加」ですが、IP許可リストは「アクセス元の物理的制限」です。 この違いが、IP許可リストの強力さを生み出しています。

管理者アカウントが狙われる理由

攻撃者の優先ターゲット

組織内のアカウント群の中で、攻撃者が最も狙うのが管理者アカウントです。

• 単一のアカウント侵害で、組織全体のデータにアクセス可能 • システム設定の変更、ユーザー追加・削除が可能 • 監査ログの削除まで可能な場合がある • 身代金要求額が高い（ランサムウェア攻撃の場合） • 内部犯行や権限濫用の基点になる

管理者アカウントは「一つのカギで城全体を開ける」ようなものです。

実際の被害事例

過去数年間に報告されている事例から、管理者アカウント侵害の実態が見えます。

事例1：大手企業のSalesforce不正ログイン

2021年、海外の大手企業で、Salesforce管理画面の管理者アカウントが不正ログインされ、顧客データベース全体がダウンロードされました。 被害規模は数百万件のレコード、身代金要求は3,000万円を超えました。

事例2：クラウド管理コンソールの乗っ取り

2022年、中堅企業のAWS管理者アカウントが乗っ取られ、攻撃者がシステムリソースを大量に起動し、月額数百万円の追加請求が発生しました。

事例3：Google Workspace管理者の権限濫用

内部犯人（退職予定者）が、管理者権限を使用して、数百名のユーザーアカウントをロック、重要なメール全件削除を実行した事例があります。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

SaaS別IP許可リスト設定ガイド

Google Workspace のIP許可リスト設定

Google Workspaceは、「セキュリティ境界」機能でIP制限が可能です。

設定手順

1. Google Admin Console（admin.google.com）にアクセス
2. セキュリティ > セキュリティ設定をクリック
3. 「セキュリティ境界」セクションを開く
4. 「許可するIPアドレス」の欄に、許可したいIP範囲を入力
5. 複数のIP範囲を指定する場合は、改行で区切る
6. 保存

実装例

会社オフィスIP：203.0.113.0/24 管理者の自宅IP：192.0.2.100（個別IP） 取引先オフィスIP：198.51.100.0/25

許可リスト外からのログインは、Google Admin Consoleでブロックされます。

注意点

• VPN経由でアクセスする場合、VPN出口IPを登録する必要がある • IPが動的に変わる環境（DHCP）では運用が困難 • セキュリティキーやトークンの新規登録はIP制限の対象外の場合がある

Salesforce のIP許可リスト設定

Salesforceは、「ネットワークアクセス」機能でIP制限が可能です。

設定手順

1. Salesforce管理画面にログイン
2. 設定 > システム管理 > セキュリティ設定をクリック
3. ネットワークアクセスをクリック
4. 新規IPアドレス範囲を追加
5. IP範囲とラベルを入力（例：「会社オフィス」）
6. 保存

実装例

会社オフィス：203.0.113.0～203.0.113.255 管理者1の自宅固定IP：192.0.2.101 管理者2の自宅固定IP：192.0.2.102

許可リスト外からのログイン試行は、「ログイン失敗」になります。

IP範囲指定のベストプラクティス

• 不必要に広いIP範囲（/16など）を指定しない • ISP提供IP（動的DHCP）は避け、固定IPを使用 • 施設ごと、部門ごとに分けて複数のIP範囲を登録

AWS 管理コンソールのIP許可リスト設定

AWS管理コンソールは、IAMポリシーでIP制限が可能です。

設定手順

1. AWS Management Console > IAM > ポリシー
2. 新規ポリシー作成をクリック
3. JSON形式で以下のようなポリシーを記述
4. ポリシー名を付けて作成
5. 管理者ユーザーにこのポリシーを適用

JSON ポリシー例

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "192.0.2.101/32",
                        "192.0.2.102/32"
                    ]
                }
            }
        }
    ]
}

このポリシーにより、許可されたIP以外からの全ての操作がDenyされます。

AWS 設定時の注意点

• ルートユーザーはIP制限の対象外（セキュリティベストプラクティス上、ルートユーザーは使用しない） • 複数の IAM ユーザーに異なるIP許可リストを適用することも可能 • VPN経由でアクセスする場合は、VPN出口IPを許可リストに含める • MFA との組み合わせで、さらなるセキュリティ強化が可能

Microsoft 365 （Azure AD）のIP許可リスト設定

Microsoft 365は、「条件付きアクセス」機能でIP制限が可能です。

設定手順

1. Azure AD Admin Center にアクセス
2. セキュリティ > 条件付きアクセス > 新しいポリシー
3. ユーザー「管理者」を選択
4. クラウドアプリ「Microsoft Azure Management」を選択
5. 条件 > 場所 > 指定した場所のみを選択
6. 許可するIP範囲を「名前付き場所」として登録
7. アクセス制御 > ブロック（許可IP以外）を選択
8. ポリシーを有効化

Microsoft 365はAzure AD統合のため、より高度な条件付きアクセスが可能です。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

IP許可リスト運用のベストプラクティス

管理者ごとに異なるIPを割り当てる

組織内に複数の管理者がいる場合、管理者ごとに異なるIPを許可リストに登録することをお勧めします。

メリット

• 誰がいつどこからアクセスしたかが監査ログから明確になる • 特定の管理者アカウントのみが乗っ取られた場合、その管理者のIPのみを遮断できる • 退職者のアクセスを素早く削除できる

実装例

CEO用固定IP：192.0.2.101 CFO用固定IP：192.0.2.102 CTO用固定IP：192.0.2.103 会社オフィス共通IP：203.0.113.0/24（必要な管理者全員）

このように分けることで、個人のアクティビティと共通アクティビティを分離できます。

定期的なIP許可リストの監査

IP許可リストは「一度設定したら終わり」ではなく、定期的な監査が重要です。

監査項目

• 不要なIPが登録されていないか • 退職者のIPが削除されているか • 新入社員の固定IP登録が漏れていないか • 拠点移転に伴い、オフィスIPが変更されていないか • セキュリティインシデント時の異常なアクセス源IPが残っていないか

監査の頻度と方法

• 月1回：当月のアクセスログ確認、異常アクセス検知 • 四半期1回：IP許可リスト全体の見直し • 年1回：セキュリティ監査の一環として、包括的な見直し

VPN×IP許可リストの組み合わせ

IP許可リストの運用において、最も効果的な方法は、VPNサービスとの組み合わせです。

VPN経由でアクセスすることで、以下のメリットが得られます。

• どのネットワーク（会社、自宅、出先など）からアクセスしても、常に同じIPアドレスになる • IP許可リストの管理が簡潔になる • インターネット通信全体が暗号化され、セキュリティが向上 • 地理的に分散したオフィスを持つ企業でも運用が容易

VPN×IP許可リスト運用例

1. 全管理者が固定IP VPNを契約
2. VPN出口IPをSaaS管理画面のIP許可リストに登録
3. 管理者は常にVPN経由でアクセス
4. オフィス、自宅、出張先のどこからでも、常に同じIPでアクセス可能

ロリポップ！固定IPアクセスのような低価格VPNサービスであれば、複数管理者でも、月額1,000～2,000円程度の追加コストで実装できます。

異常アクセスの検知と対応

IP許可リストを設定した後は、異常なアクセス試行が発生します。

検知方法

• SaaS管理画面のログイン失敗ログを定期確認 • IP許可リスト外からの疑わしいログイン試行を抽出 • セキュリティアラート機能を活用（Salesforce、Google Workspaceなど）

対応フロー

1. ログイン失敗原因を確認（管理者からのヒアリング）
2. 正当なアクセスだった場合：該当IPを許可リストに追加
3. 不正なアクセス試行だった場合：セキュリティインシデント対応プロセスに移行
4. ログイン失敗原因が不明な場合：セキュリティ責任者に報告

セッション管理との組み合わせ

IP許可リストとセッション管理を組み合わせることで、さらなるセキュリティ強化が可能です。

セッション管理設定

• セッションタイムアウト：管理者は15～30分の無操作でログアウト • 同時セッション制限：1管理者が複数デバイスで同時ログイン不可 • セッションリスト表示：現在のセッション一覧を表示 • 強制ログアウト：疑わしいセッションを管理者が手動削除

これらの設定により、「パスワード盗聴→他人がログイン→システム改ざん」というシナリオが防止されます。

運用手順書の作成

IP許可リスト管理チェックリスト

組織のセキュリティを継続的に維持するため、以下のチェックリストを月1回実施することをお勧めします。

☐ 当月のログイン失敗ログを確認 ☐ 異常なアクセス源IPがないか確認 ☐ 新入社員・配置転換者の固定IP登録状況確認 ☐ 退職者のIPが削除されているか確認 ☐ オフィスIPに変更がないか確認 ☐ VPN接続状況に異常がないか確認 ☐ セッションタイムアウト設定が適切か確認 ☐ 管理者が他拠点からアクセスする場合の対応方針確認

インシデント対応手順

万が一、IP許可リスト外からの不正ログインが検知された場合、以下の対応を実施します。

1. 直ちに該当管理者アカウントのパスワード変更を指示
2. 同期間のアクセスログ、操作ログを確認
3. 不正な操作（ユーザー削除、データダウンロードなど）がないか確認
4. 必要に応じて、該当アカウントの権限を一時的に制限
5. 経営層・関連部門に報告
6. 侵害原因を調査（フィッシング、パスワード盗聴など）
7. 再発防止策を実装

IP許可リスト導入事例

事例1：SaaS企業の管理画面保護

従業員100名のSaaS企業Aが、Salesforce管理画面にIP許可リストを導入した事例です。

導入前

• Salesforce管理者4名が、オフィスと自宅から自由にアクセス • IPアドレスが動的に変わるため、常にセッション中断のリスク • ログイン失敗ログの確認が習慣化されていない

導入

• 各管理者が月額490円のVPN契約 • VPN出口IP（4個）をSalesforce IP許可リストに登録 • セッション管理設定を強化 • 月1回のログイン失敗ログ確認を習慣化

導入効果

• ログイン失敗ログで、未知の外部からの攻撃が複数件検知 • ブロックされたことで、実害は発生しなかった • 管理者がセキュリティ意識の重要性を体感 • 全社的なセキュリティ意識が向上

事例2：製造業の AWS 管理コンソール保護

従業員200名の中堅製造業Bが、AWS管理コンソールにIP制限を導入した事例です。

導入前

• AWS管理者2名が、パスワード＆MFAのみで管理 • 取引先からのVPN経由アクセスも許可していた（セキュリティリスク）

導入

• 各AWS管理者が固定IP VPNを契約 • IAMポリシーで、固定IP範囲のみからのアクセスを許可 • 取引先アクセスは別アカウント（権限制限）で対応 • 月1回のIAMログを確認

導入効果

• 外部からの未認可アクセス試行が複数件ブロック • 取引先による権限外アクセスが防止 • AWS請求の異常が未然に防止可能に • セキュリティ監査での「IP制限実装」が加点評価

ロリポップ！固定IPアクセスで管理者アカウントを守る

IP許可リストを有効に運用するための必須要素が、「固定IPアドレス」です。 従来のプロバイダ契約では高額でしたが、VPNサービスにより低コスト化が実現されました。

ロリポップ！固定IPアクセスは、GMOペパボ株式会社が提供する固定IPアドレス対応のVPNサービスです。 月額490円（税込539円）〜という国内最安級の価格で、VPN経由でどこからでも常に同じ固定IPアドレスを使ってインターネットにアクセスできます。 高速かつ安全なVPNプロトコル「WireGuard」を採用しており、オンライン申し込み後すぐに利用を開始できます。 最大2ヶ月間の無料お試し期間も用意されているため、まずは気軽に導入テストが可能です。

管理者1～2名であれば、月額1,000～2,000円の追加投資で、確実なセキュリティ対策が実現できます。

⇒【ロリポップ！固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料！

まとめ

IP許可リストは、「物理的なアクセス制限」により、パスワード盗聴を無効化する強力な対策です。 MFA や セッション管理とは異なり、認証や操作の手間がなく、組織に与える負担が小さいのも特徴です。

管理者アカウント保護の核となる対策として、VPNサービスと組み合わせたIP許可リスト導入を強くお勧めします。 月額数百円～数千円の投資で、組織のセキュリティリスクを劇的に低減することができます。