各プロバイダでIP帯域は決まっているのでしょうか？

他部署も担当しながら自社サーバ管理を受け持っています。
自社へ帰るのは、ほとんどそのサーバのメンテナンス（不要ファイルやログの確認・削除）のためだけなので、
自宅から遠隔操作で一連の操作を行おうと企んでおります。

W2000serverのリモートアクセスサービスを立ち上げ、一連の設定を済ませたのですが、やはりそのままではセキュリティ的にマズイので、
ルータかセキュリティソフトで、自宅の回線のプロバイダ（DHCPでほぼ毎回のようにIPが変わる）
以外からはアクセスを禁止したいと思っています。

そこで本題なのですが、例えばOCNのIP帯域はここ～ここまで、といった決まりというのはあるのでしょうか？
あるいはIP以外で制限する方法はあるのでしょうか？

ちょっと探してみても、軽めのセキュリティ設定しかなかったので、ご鞭撻を賜りに参りました。
どうぞ宜しくお願い致しますｍ（＿＿）ｍ

No.2 ベストアンサー 回答者： noname#14035 回答日時： 2005/03/25 11:46

こんにちは。

当方も、asign862さんのスキルが良く把握できていませんので、失礼等あればお許しください。

直感的に非常に危険な運用をされていると感じます。（というよりも、もう少しインターネット越しのリモートアクセスに関するリスクと対策を学習された方がよいと感じます。）

確かに、RAS（サービス）では容易にリモートアクセス環境を構築できますが、業務で利用する以上、まずは我流でなく、後段で紹介するネット上からも無料で利用できるレクチャーを追いかけて、「基本」をおさえるのが鉄則だと思います。（結局は、それが安全性・利便性を両立させる最短コースであるとも感じます。）

お話の「IPアドレス”割り当て”（記述されている「IP帯域」という言葉からは、通信速度や量というイメージを覚えます）と、通信事業者ごとの割り当て領域を利用したアクセス制限」という目論みですが、結論から言うと、ほぼアクセス制限の体を成していないと感じます。（もちろん、RAS標準の機能を含め、様々なアクセス制限対策を併用されるおつもりなのかもしれませんが、IPアドレスのみで制限をかけても、プロバイダ内のノードをプロキシとして利用することで世界中から、社のコンピュータにアクセスできる（IPレベルでですが）ことになってしまいます。（プロバイダ内のノードのIPアドレスが動的に変化しようがしまいが、関係ないということですネ。）

貴社のWAN/LANの境界線セキュリティー（ネットワーク構成）がわかりませんので、はっきりとした事がいえないのですが（環境により話は千差万別です。）、RAS＋その他アクセス制限手段のみを利用されるケースでも、TCP/IPの基礎知識とともに、下記のレクチャーなどを参考に設定を施しておいた方が良いと感じます。

■IPA提供　SOHO・家庭向けセキュリティ対策マニュアル(Ver1.20)■ (c) 2002 Information-technology Promotion Agency, Japan. All rights reserved.

http://www.ipa.go.jp/security/fy14/contents/soho …

＊項目<3.1.5>に、お使いのサーバーのパケットフィルタリング・ガイドがあります。

さて、ここからは余談気味になりますが、インターネット越しのリモートアクセスを許可するということは、当然リスクを発生させると言うことです。

繰り返しになりますが、上記の原則の中、利便性と安全性を両立させるためには（そもそもリスクに見合う必要性があるのかという判断も大切でしょう。）、自社のセキュリティーポリシーはもちろん、個々のシステム要件やネットワーク構成に最適なリモートアクセス手段（実装）を決定するべきだと思います。（現在では、様々なプロトコルによる「リモートアクセス型VPN」などの利用も可能ですよね。）

このあたりのことは、下記URLの過去ログにも書きましたので、参考になさってみてください。

■当サイト過去ログ■
↓
http://okweb.jp/kotaeru.php3?q=747264

また、上記の過去ログのリンクからも、有用なセキュリティー情報にアクセスできますので、管理者の方であれば、一通り情報を得ておくよう、オススメします。

以上、概説的な話になってしまい、恐縮ですが、参考になさってみてください。

それでは。

この回答への補足

貼って頂いたURLの方はまだ一通りしか拝見していないため、まずはお礼を申し上げたくやって参りました。補足投稿という形で申し訳ありません。

RASを立ち上げた時には、FTPやメールサーバ同様、ある程度のセキュリティ設定と、
きちんと管理されたパスワード設定さえあれば、いけるだろうという目論見程度で始めていました。
これまで立ち上げた各種サーバも同じ流れで構築しておりましたし、
諸先輩方の構築ノウハウサイトなどを拝見していても、私の考えと同様、それほど強固なセキュリティを施してはいなかったため、
プロクシ仲介までは考えない、ISPのIP領域制限によるRASへのアクセス制限レベルで、と考えておりました。

しかしながらJzamrai様のご提示くださったURL並びに過去レスを拝見させて頂くにつれ、
自分の（一応システム管理者（；；）技術の稚拙さと、意識の低さ、
セキュリティ管理者としての情報収集力の低さに情けなさを感じております。

しかし泣き言を言ってもどうにもなりませんのでね、Jzamrai様に頂いたこの機会に、
他サーバ、サービスも含めて見直しと、自身のスキル向上に努めたい所存です。

しかしここで言うことではないのかもしれませんが、私のようになしくずし的にシステム管理者になって、
利便性や他者からの要求に追われ、セキュリティもそこそこに危ない綱渡り運営をしている方は少なくないような気がします。
諸先輩方のサイトを拝見していても、それは感じられますね（＾＾；）

まずはお礼まで。ありがとうございました。

補足日時：2005/03/25 12:31

No.4 回答者： noname#14035 回答日時： 2005/04/05 19:38

こんばんは。

一応、補足説明をしておきますね。

RASの話についてですが、私の認識不足もあり、既述の回答にはPPPレベルの接続とIPレベルの話を混同している（同列に話している）感が否めませんね。

確かに、純然たる”ダイアルアップPPP接続”等の話であれば、IPのレイヤが抱えている様々なリスクとは切り離して考えるべきでしたね。

この点について、最新のやりとり（参考URL）が非常に参考になると思われますので、リンクしておきます。

PPPでトンネルが張られてしまえば（＋暗号化が行われれば）、プロキシ云々の話は無関係だということになりますが、それでもなお、気になる点があります。

自宅のPC（RAS接続を行うノード）に、別のインターネット接続手段（FTTH等）が用意されているのであれば、セキュリティー上のリスクを抱えていることに変わりはありません。（こうなると、IPレベルの話が大きく関係するケースが出てくるでしょう。）

いわゆる「トンネル」は、物理的に”エンド・トゥー・エンド”なノード間での安全性（排他性）を高めてくれてるはずですが、一方のノードに信頼できない通信路（純然たるインターネット網）の影響を受ける可能性があれば、安全性を台無しにしてしまうケースが起こりうるということですネ。

さらに、変化の激しいネットワークの世界では、ダイアルアップという接続手法固有の問題が過去に指摘されている（盲点として）という事実もあります。

いずれにしても、利用する技術を正しく理解して効果的に運用することが大切なのだろうと、自分にも言い聞かせつつ、筆を置かせていただきます。

それでは。

参考URL：http://okweb.jp/kotaeru.php3?qid=1310788

No.3 回答者： noname#14035 回答日時： 2005/03/26 08:40

asign862さん、おはようございます、Jzamraiです。

ご丁寧、かつ前向きなお返事、ありがとうございます。（「補足欄」は上手に利用されていると思いますヨ。）

さて、確かに世の中には全社的なビジョンと導入計画が無いまま、「IT（もはや死語？）やハッカーなら何でもできるんだろう？、君！」という経営陣の根拠の無い思い込みによって管理者を命じられ、「がんばっている感の割りにはインシデント多発で心も体もボロボロ…」という地獄のような日々を送られている方も多いようですネ。

ただ、配属されてしまった以上、ルーティーンをこなすだけではなく、積極的に管理手法や技術を学び、効率化をめざす。（徐々にで構わないので、場当たり式の管理を少しでも減らす努力を続けることが（なるべく上を巻き込んだ形で）、結局自らにとっても得策（忙殺回避）でもある、というスタンスが重要なのではないかと思っています。（組織の環境は、待ちの姿勢ではなかなか変わらないものですよね。）

情報セキュリティーの法則として、「永遠の鼬ごっこ」という問題がありますから、どうしても継続的な学習が必要になるかと思います。（プラスに考えた場合、有効な学習を続けている限り、「イザとなったらケツまくって辞める！」という覚悟のハードルを低くできるかもしれません。（できないか…））

話が大きくそれましたが、前回紹介したレクチャーよりも、より各論の情報を含んでいるものを今回は下記にてリンクさせてください。

■IPA提供レクチャー　～リモートアクセス環境におけるセキュリティ～■ Copyright (c) 2002 Information-technology Promotion Agency, Japan. All rights reserved.
↓
http://www.ipa.go.jp/security/awareness/administ …
↑
＊リモートアクセスの現状から実装方式別の各論まで体系的に網羅されています。

■同、～大規模サイトのネットワークセキュリティ～■
↓
http://www.ipa.go.jp/security/fy14/contents/ente …
↑
＊41ページ以降にリモートアクセス（モバイルアクセス）についての概説がありますが、資料自体はもっと広い視野での情報セキュリティーとシステムについての解説を目的としています。

IPAの公募によって採用されたものらしいので、内容も非常に優れていて、高い金を出して下手な本を買うよりよっぽど実になるでしょう。

加えて、私のハンドル名からたどれる過去ログ一覧にもイロイロとリンクを貼ってきていますので、興味と時間があれば、asign862さんにとっての有用な情報源の一部となれば嬉しく思います。

それでは。

この回答へのお礼

返事が大変遅くなってしまい、申し訳ありません（＿＿；）
私もシステム管理者の端くれ（というか崖っぷち）ですから、Jzamrai様のおっしゃるように、地に足付けて１年ほどは正念入れて勉強してみることを決意した次第です（実はあまりPCが好きではなかったりしますがそこはご愛嬌‥（＾＾；）因みにWEBは好きです。）

＞「がんばっている感の割りにはインシデント多発で心も体もボロボロ…」
という言葉も、今までの経験と照らし合わせても、恐らくその道一直線になるとは分かっていても、その先にはシステム管理者の冠が似合うような自分がいると信じ、前向きに牛歩する所存です（＾＾；）

お教え頂いたサイトの方も、概念から入っているので、今の私にとってはとても参考になりました。思わず見入ってしまっていましたからね。
特にIPAのサイトは良かったです。

沢山お教え頂いていて助かりました。Jzamrai様には深く感謝すると同時に、こういう場を設けている教えて！goo様並びにOKWeb様には感謝したいと思います。

ありがとうございました。

お礼日時：2005/04/07 11:21

No.1 回答者： mii-japan 回答日時： 2005/03/24 22:49

各プロバイダはJPNICからIPアドレスの割当を受けています

自宅のIPアドレスはその都度変わると思いますが、通常は地域ごとにブロック割当を行なっているようですので、第1・2オクテットが変わる事はあまり無いと思います

この回答へのお礼

ありがとうございます。私のうろ覚えでは、日が変われば第一クオテットからガラリと変わってしまうように思っていました。

アドバイス頂いた通り、毎日よくよくIP観察をしてみて、第三クオテット以降ぐらいしか変わらないなら少し安心できそうです。

ありがとうございました。

お礼日時：2005/03/25 03:31