見出し画像

CIDRを駆使してIPフィルタリングを効率的に行い、Webサービスのセキュリティを強化する


はじめに

こんにちは。SHIFTテスト自動化アーキテクトの牧野です。

WebサービスやIaaS等のセキュリティのためにIPフィルタリングによるアクセス制限を行うことがよくあり、CATもIPホワイトリストによるフィルタリングが可能です。

IPはその仕組み上、一定の範囲から1つ選ばれることが多く、フィルタリングのために設定すべきIPは時には3,473,408を超えることもあります。
ちなみにですが、この数値は筆者がCIDRを駆使してホワイトリストに登録したIPの数の実例の一つです。

IPアドレスの管理は、ホワイトリストにIPを登録する際に面倒な作業となることがあります。この記事では、CIDRを利用して、効率的に大量のIPアドレスをホワイトリストに登録する方法、最後に以上を簡単に計算するためのCIDR表・CIDR電卓について説明します。

CIDRの活用

CIDRは、IPアドレスをネットワークに分割するための表記であり、有用なツールとなります。これを使用することで、大量のIPアドレスをまとめて管理できます。具体的な例を見てみましょう。

以下は、IPアドレス 162.168.255.44 を例にしたものです。

162.168.255.44/30

この表現は、以下の4つのIPアドレスを表しています。

  • 162.168.255.44

  • 162.168.255.45

  • 162.168.255.46

  • 162.168.255.47

サブネットマスクの理解

/30 は、サブネットマスクをCIDR形式で表現したものです。この値によって、ネットワークの範囲が指定されます。具体的には、/30 は IPアドレス 255.255.255.252 に対応し、2進数表現では 11111111.11111111.11111111.11111100 となります。

上記のIPアドレス範囲を2進数で表すと、次のようになります。

10100010.10101000.11111111.00101100
10100010.10101000.11111111.00101101
10100010.10101000.11111111.00101110
10100010.10101000.11111111.00101111

これらの2進数表現に、サブネットマスクの2進数表現と論理積(AND演算)を適用すると、2進数表現で 10100010.10101000.11111111.00101100、すべてのIPが 162.168.255.44 になります。これを活用すれば、大量のIPアドレスをホワイトリストに登録する際に、効率的に管理できます。

範囲外のIPを確認する

ホワイトリストに含まれていないIPアドレスを確認するために具体的な例を挙げましょう。

範囲外のIPアドレス、例えば末尾が43や48のIPアドレスに、/30のサブネットマスクを重ねることで、末尾が40または48になることがわかります。

以下はIPアドレス 162.168.255.43と162.168.255.48の2進数表現です。/30の2進数表現である 11111111.11111111.11111111.11111100と論理積を取り、確かめ算を行ってみてください。

10100010.10101000.11111111.00101011
10100010.10101000.11111111.00110000

この方法を用いて、ホワイトリストに含まれるIPアドレスを確認し、必要なセキュリティ対策を実施できます。

CIDR表とCIDR電卓

IPアドレス範囲を表す際、CIDR表とCIDR電卓が便利です。CIDR表では、さまざまなCIDR表現に関する情報が提供されており、CIDR電卓は特定のCIDR表現がどのIPアドレス範囲に対応するかを計算してくれます。

CIDR表とCIDR電卓の活用により、IPアドレスの効率的な管理が可能となり、セキュリティにおいて非常に役立つことでしょう。

CIDR表の活用

様々なCIDR表が公開されておりますが、私が愛用しているものを紹介します。

ページの中頃に「サブネットマスク」等が書かれた表があります。この表を利用してCIDR表記とそれぞれのネットワークの範囲を確認することができます。

IPホワイトリストを作成する際どのCIDR表記を利用すれば良いか調べたいときは、この表を利用するのが良いでしょう。

CIDR電卓の活用

様々なCIDR電卓が公開されておりますが、私が愛用しているものを紹介します。

実は先ほど紹介させていただいたCIDR表と同じページに存在します。

少し下にスクロールすると「サブネットマスク電卓」と書かれた入力欄があります。

ご自身が作成されたホワイトリストが想定の範囲のIPを表現しているのか、このようなツールを利用して自身のホワイトリストに誤りがないことを確認するのが良いでしょう。

結び

CIDRを駆使することで大量のIPを一括で表現でき、ホワイトリストを低コストに作成しCATを含む各サービスのセキュリティを強化することできます。

しかし、誤った設定は必要以上のIPを許容してしまうことでセキュリティを緩めることになってしまったり、適切なIPからのアクセスを拒否しサービスを正しく利用できなくなる恐れがあります。

最終的には、CIDR表を活用し、CIDR電卓で計算を行うことで、設定の誤りをなくし、IPアドレス管理の手間を大幅に削減し、セキュリティリスクや運用コストを大幅に削減することができます。様々なCIDR表現を理解し、適切に活用することが重要です。知識を深め、効率的なIPアドレス管理のスキルを身につけましょう。


執筆者プロフィール:牧野 真哉
自動テストで生計を立てています。

お問合せはお気軽に

SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/

SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら