クラウドサービスの活用が進み、Google WorkspaceやMicrosoft 365、Salesforce、AWSなど複数のクラウドを業務で併用する企業が増えています。
便利なクラウドサービスですが、セキュリティ対策としてアクセス元IPアドレスによる制限(IPアドレス制限、いわゆるIP許可リスト/ホワイトリスト)の重要性が改めて注目されています。
IPアドレス制限とは、特定のIPアドレスのみアクセスを許可・拒否する仕組みであり、不正アクセスやアカウント乗っ取りによる情報漏洩リスクの防止に有効です。
本記事では、複数クラウドサービス環境でIP制限を適用・運用するポイントについて解説します。
主要クラウドごとの一般的なIP制限方法、マルチクラウド環境ならではの課題、固定IPアドレスを複数活用するメリット、およびクラウド・ISPに依存しないVPN型サービスの活用による解決策を順に紹介し、自社サービスであるGMOペパボの「ロリポップ!固定IPアクセス」を例に管理負担軽減とセキュリティ向上の提案を行います。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
IPアドレス制限の重要性と主要クラウドでの設定概要
社内システムやクラウドサービスへのアクセスを許可されたIPアドレスに限定すれば、社外からの不正アクセス防止や情報漏洩リスク軽減につながります。
特にID・パスワードが漏えいしても、攻撃者が許可されたネットワーク(IPアドレス)経由でなければアクセスできないため重要なセキュリティ対策となります。
また近年はテレワーク普及により、従来オフィス内LANからのみアクセスさせる境界防御が難しくなりましたが、VPN経由でも固定IPアドレスを使ってアクセスさせることで社外からでも社内と同様のIP制限が可能になります。
IP制限はゼロトラスト時代においても多要素認証(MFA)やデバイス認証と組み合わせた多層防御の一翼を担います。
各種クラウドでも、管理コンソール等でアクセス元IPアドレスを制限する機能や設定方法が提供されています。
代表的なサービスでの一般的な対応策を以下にまとめます。
- Google Workspace 標準ではIP制限機能は提供されておらず、エンタープライズプランの「コンテキストアウェアアクセス」でユーザーのアクセス元IPを条件に含めたアクセス制御ポリシーを設定する方法があります。 また、サードパーティーのIDaaSを用いてGoogle WorkspaceへのSSOログイン時にIPアドレス制限をかける運用も一般的です。
- Microsoft 365 (Azure AD) Azure Active Directoryの条件付きアクセスポリシーにより、ユーザーやグループに対して「信頼できる場所」として登録した特定のIPレンジからのみサインインを許可する設定が可能です。 いわゆる「ロケーションベースの条件付きアクセス」で、社内グローバルIPを登録し、その場所以外からのアクセスをブロックするといった運用が取られます。
- Salesforce ログインIP制限の仕組みが提供されています。 組織全体の「信頼済みIP範囲」をSalesforce設定で登録し、その範囲外のIPからログインがあった場合に追加認証を要求したりログインを拒否したりできます。 またプロファイル単位でも許可IP範囲を指定可能で、特定ユーザーのみ特定IPからのアクセスに限定する細かな制御もできます。
- AWS 一般的にコンソールやAPIへのアクセスを制限するにはIAMポリシーにアクセス元IP条件を設定する方法があります。 IAMユーザーやロールに対し許可するIPを指定すれば、そのIP以外からのアクセスを拒否できます。 またAWS上で提供する自社サービスへのアクセスをIP制限するには、セキュリティグループやネットワークACL、またはAWS WAFのIP許可リスト機能を使う方法があります。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
複数クラウド環境でIP制限を運用する際の課題
複数のクラウドサービスに対してIP制限を導入・維持していく場合、以下のような課題が生じやすくなります。
- 固定IPアドレスの確保不足 社外からアクセスする従業員のネットワーク環境で固定グローバルIPが用意できないケースが多いことです。 自宅やモバイル回線ではISPから動的IPが割り当てられ、再接続や一定期間で変わってしまいます。 テレワーク社員全員に固定IP回線を契約させるのは非現実的であり、固定IP不足がボトルネックになります。
- ISPや回線への依存 従来はオフィス回線で固定IPを契約し社内LAN経由のみ許可する形が一般的でしたが、リモートワーク拡大でプロバイダ依存の固定IPでは対応しきれない状況です。 各自が異なるISPを使う中で、想定外の接続環境では柔軟性に欠けます。 特定プロバイダのIPしか許可していないと例外対応が頻発するでしょう。
- リスト管理の煩雑さ それぞれのクラウドサービスごとに管理画面で許可IPリストを設定し、変更時は全サービス分メンテナンスしなければなりません。 サービスの数が増えるほど「どのサービスにどのIPを登録済みか」を管理するのが複雑になり、漏れがあればアクセスできないといったトラブルに繋がります。
- 業務停止リスク 動的IP環境ではIP更新のたびに許可リストも更新が必要です。 更新漏れや遅れがあると、その間ユーザーはクラウドにログインできず業務が中断します。 オフィス移転やプロバイダ変更でグローバルIPが変わった場合も、即座に全クラウドの設定を差し替えなければ社内全員が作業不能になる事態も起こりえます。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
拠点・ユーザー役割・サービス単位で固定IPを使い分ける意義
複数の固定IPアドレスを使い分けることで、アクセス制御や監査ログの精度を高め、セキュリティを強化できます。
- 拠点ごとに固定IPを分ける 本社・支社・店舗・在宅など物理的な拠点ごとに異なる固定グローバルIPアドレスを割り当てれば、どの拠点からのアクセスかをIPで即座に判別できます。 アクセス元のIPが常に一定であれば特定しやすく、万一セキュリティインシデントが発生した際の追跡も容易です。 拠点単位でIPを分離することにより、アクセス権限の領域分けが実現でき、内部からの不正抑止にもつながります。
- ユーザーの役割ごとに固定IPを分ける システム管理者や経理担当者など機密データに触れるユーザーには専用の固定IPを割り当て、そのIPのみクラウド上の管理画面等へのアクセスを許可します。 一般従業員用とは出口IPを分離することで、万一一般従業員のPCが乗っ取られても管理者用IPでしかアクセスできない機能には届かないため、被害を限定できます。
- サービス単位で固定IPを使い分ける 一例として、外部委託の開発チームには開発用クラウドにのみアクセスできる専用の固定IPを付与し、それ以外のサービスにはアクセス不可とする設定が考えられます。 サービスごとに許可IPを限定することで、万一あるIPが外部に漏えい・悪用された場合でも影響を限定できます。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
クラウド・ISP非依存で固定IPを管理できるVPNサービスの活用メリット
クラウドや通信事業者に依存しない第三者提供の固定IPサービスを利用するのが有効です。
VPN接続を用いることで、ユーザーの場所・ISPに関係なく決まったグローバルIPアドレスでインターネットに出られるようにし、そのIPをクラウド側で許可する運用です。
- ISP非依存で誰でも即利用可能 インターネット接続さえできればどのプロバイダ経由でもその固定IPで通信できます。 自宅・カフェ・出張先どこからでもVPNさえ繋げば社内と同じIPアドレスを名乗れるため、テレワーク環境でも柔軟にIP制限を実現できます。
- IP制限の一元化 ユーザーの出口IPをサービス側で統一できるため、各クラウドサービスの許可リストに登録するIPを共通化できます。 これにより「サービスごとに異なるIP許可設定をメンテナンスする手間」が減り、管理者の負担軽減と人的ミス防止につながります。
- 複数の固定IPアドレスを柔軟に割り当て可能 必要に応じて追加の固定IPアドレスを発行できます。 これを利用すれば、前述のような拠点別・役割別・サービス別にIPを使い分けることも容易に実現できます。
- セキュリティ向上と通信最適化 VPN経由となるため通信経路が暗号化され、安全なトンネル内をデータが通ります。 最新プロトコルを採用している場合、モバイル環境でも高速・安定した通信が可能でユーザーの利便性も損ないません。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスの概要
「ロリポップ!固定IPアクセス」は月額539円(税込)から利用でき、契約後すぐに固定IPアドレスを使ったVPN接続を開始できるサービスです。
個人・法人問わずオンライン申し込みのみで即日発行され、専用アプリに設定ファイルを読み込むだけの簡単操作で利用可能です。
- 共有利用とライセンス制 1契約あたり1つの固定グローバルIPアドレスが提供されます。 特徴的なのはライセンス制で、同時接続する端末の数だけライセンスを追加購入する仕組みです。 追加ライセンスを付与すれば、複数人で同時に同じ固定IPアドレスを共有利用できます。
- 柔軟な管理 ライセンス数は管理画面から1単位で追加・削除できるため、無駄なコストを抑えつつスケールに合わせた対応が可能です。 将来的に複数IPの同時発行も計画されており、より高度な使い分けにも対応できるようになります。
- クラウドサービスへの適用事例 在宅勤務社員全員に導入し、管理コンソールへのアクセスをその固定IP以外からは不可に設定した事例があります。 これにより不審な国外IPからのログイン試行を完全に排除できています。 また、開発チーム全員が共通の固定IPでクライアントのサーバへアクセスできるようにし、メンバー増減時も新たなIP登録を不要にしたケースもあります。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
IP制限導入・運用のベストプラクティス
- ポリシー設計と例外ルールの整備 自社でどのサービスに対しどの範囲のIPを許可するかポリシーを明確に決めます。 原則は「必要最小限のIPのみ許可」ですが、緊急時に備えたバックアップ手段も検討しましょう。
- 固定IPアドレスの信頼性確保 独立したサービスで出口IPをコントロールする方が柔軟性・冗長性が高まります。
複数の固定IPを提供できるVPNサービスを利用し、属性に応じて振り分ける運用が望ましいです。
- 許可リストの一元管理と更新の徹底 変更時は漏れなく全サービスに反映する仕組みを作ります。
定期的に許可IPを棚卸しし、不要なIPが残っていないか確認することも大切です。
- 他のセキュリティ対策との多層防御 IP制限は強力ですが、それだけで万全ではありません。
MFAやデバイス認証など他の対策と組み合わせて多層的に防御するのがベストプラクティスです。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
まとめ
クラウド活用が前提となった現在、IPアドレス制限の導入はセキュリティ強化策として避けて通れません。
複数のクラウドサービスを安全に使うためにも、本記事で述べたポイントを踏まえてIP制限運用を見直してみてください。
「ロリポップ!固定IPアクセス」のようなサービスを導入すれば、社内外どこからでも安全に固定IPでアクセスさせる環境を手軽に構築できます。
専門知識がなくても簡単に固定IP制限環境を構築でき、日々のクラウド利用を安全・快適にする強力な助っ人となるでしょう。
