WEBサーバのセキュリティ

WEBサーバを公開し、インターネット側から特定の人のアクセスのみ許可するようにしたいと思っています。
ユーザー名とパスワードによる認証は、もちろんしたいと思っているのですが、その他にMACアドレスなどでアクセス制限できないでしょうか？
何かアクセス制限できる手段があれば教えてください。
また、WEBサーバソフトは何が最適でしょうか？
条件：
クライアントは動的IPアドレスになると思います。
WEBサーバ機のOSはWINDOWSです。
サーバ側はグローバル固定IPが8個あります。
サーバ機は、ルータ下位に設置しローカルもしくはDMZでの利用になると思います。
よろしくお願いします。

No.2 ベストアンサー 回答者： noname#14035 回答日時： 2005/02/12 02:07

こんばんは。

以下、直接回答ではない部分が多いですが、お付き合いいただけると助かります。

構築するサーバーが、たとえ「アクセス許可（対象）を限定したWebサーバー（サービス）」のみであっても、インターネットに接続されている以上、「サーバー運用におけるリスクと責任」が少なくなるわけではありません。（選択するWebサーバーの種類やアクセス制限のみに注意を払えば（自衛のための対策を考慮すれば）済むという問題ではないということです。）

この点については（少々回りくどい話になりますが）、是非下記URLの過去ログに目を通されてみてください。（一見すると無関係なトピックに見えるでしょうが、私を含め、各識者がサーバー構築に関する非常に重要なポイントを説明しているつもりです。）

■当サイト過去ログ　～サーバー構築時の注意点など～■
↓
http://okweb.jp/kotaeru.php3?q=1153810

上記の過去ログの内容や下記URLのレクチャーなどを含め、ネットワークとセキュリティーに関する十分な総合的基礎知識を習得してから実作業に取り掛かるよう、私の方からは強くオススメさせてください。

■＠Policeセキュリティー講座　～サーバー管理者向け～■ Copyright(c)2003 警視庁/National Police Agency
↓
http://www.cyberpolice.go.jp/cgi-bin/elearning-s …

>>ユーザー名とパスワードによる認証は、もちろんしたいと思っているのですが、
↓
これは「Basic認証」についてのお話だと思いますが、下記のURL内での「アクセス制限」に関するレクチャーを含め、「レイヤ3（IPレベル）」から「アプリケーションレイヤ」まで、一口にアクセス制限と言っても多種多様なアプローチがあります。（当然、要件（何をどのくらいの強度で守るか）によって最適な解は変わってきます。）

■IPA提供　SOHO・家庭向けセキュリティ対策マニュアル(Ver1.20)　(アクセス制限についての記述を含む）■ (c) 2002 Information-technology Promotion Agency, Japan. All rights reserved.
↓
http://www.ipa.go.jp/security/fy14/contents/soho …

>>WEBサーバソフトは何が最適でしょうか？
↓
現在、二大シェアとなっているのは、"Apache"と"IIS"ですが、最新版で比較した場合、性能面や利便性の優劣はつかないと思います。（「Apacheは安全でIISは危険」などという論調が多かったのは昔の話です。）

これを逆説的に言うと、「どちらを使っても構わないが、いずれにしても、利用するサーバーについてよく知ったうえで正しい管理・運用を行う事が大前提となる。」という事ですネ。（書き込み中で紹介しているサイトを含め、現在ではネット上にも学習のために無償で利用できる情報が豊富にありますよね。）

最近では、上記の2大サーバーのほかにも、"AN HTTPD"など、 シンプルな構成をとり導入の容易さをアピールする単機能（的）Webサーバーが普及し始めていますが、個人的には、「まず上記二大サーバーでサーバー構築・管理の基礎を習得する。」というのが王道ではないかと思います。（その上で、目的や個人的趣向にそったその他のサーバーを選んで利用するというのは「あり」だと思いますが。）

というわけで（しつこいようですが）、「サーバー管理とは何ぞや？」という点についての十分な学習をもとに、しっかりした計画をたててから実作業にとりかかるよう、私からは再度オススメさせてください。（「アクセス制限手段を考える前にやるべき事が結構ある。」というのが現実でしょう。）

以上、少しでも参考になれば幸いです。

それでは。

この回答へのお礼

丁寧な回答ありがとうございます。
セキュリティの意識は高く持っているつもりでしたが、
その言葉や現象でしか知らなかったことが、どのような危険につながり、どのような仕組みなのかが理解できず、手をこまねいていました。
Jzamraiさんのアドバイスで、リンク先などをみることで、濃い霧で方向性まで見失っていた状態から、少しずつ霧が晴れてきました。
サーバー公開の予定時期は、まだ先の話ですので、ゆっくり勉強してから準備していこうと思います。
これからも、何度も質問を書き込むことになると思いますので、もし見かけた際はよろしくお願い致します。

お礼日時：2005/02/14 10:51

No.4 回答者： Toshi0230 回答日時： 2005/02/12 17:55

どの程度のお金がかけられるか、とか、「特定の人」がどの程度の範囲なのか、とかで回答の幅が違ってくるでしょうねぇ。

商用ソフトを使う、というのも１つの解です。
ちなみに、「WWW サーバ 認証 ソフト」でググったら以下のサイトがトップに来ました。
http://www.yokogawa.co.jp/itbiz/secureticket/

あとは、リモートアクセスサーバとその認証機能を使うとか、色々考えられますが…

いずれにしろ、サーバどう構築するかよりも、どう運用（運営）していくか、のほうがより重要でかつ大変な作業です。
それをふまえて、どのようにサーバを構築し、どのようにユーザを制限するかの技術的方法を決めるべきでしょう。
No.2のJzamraiさんの投稿がよくまとまっているように見えます。よく読んでおいてください。

No.3 回答者： mii-japan 回答日時： 2005/02/12 07:39

>その他にMACアドレスなどでアクセス制限できないでしょうか？

MACアドレスが有効なのは、同一サブネット内だけです

他サブネットに行った場合、そのMACアドレスはルータのMACアドレスになります

よって、他サブネットからのアクセスをMACアドレスで規制することはできません

No.1 回答者： mendokusa 回答日時： 2005/02/11 18:25

MACアドレスでのフィルタリングはルータに任せた方がいいでしょうね。

WEBサーバはとりあえずApacheで。