7.1.4 セキュアなWebコンテンツアップロードの方法
実際に、セキュアなWebコンテンツのアップロードを実現するには、いくつかのツールを組み合わせたり、パッケージ化されたツールを利用したりすることで実現可能になる。本コンテンツでは、「7.1.2
Webコンテンツアップロードのセキュア化対策」の対策を実施し、かつ運用コストが比較的リーズナブルにWebコンテンツのアップロードが実現可能な方法を紹介する。また、以下に示した方法のどれかひとつを導入することで、セキュアなコンテンツのアップロードが実現できる。
1) Secure FTP
SFTP(Secure FTP)とは、FTPをセキュアに実行するためのユーティリティである。このユーティリティは、OpenSSHなどのSSHソフトウェアに含まれており、簡単に利用することができる。SFTPは、認証が完了すると、FTPコマンドを利用する場合と同じように行うことができる。また、ステージングサーバー(クライアント)側で、SFTPに対応したファイル転送ツールを利用することで、Webサーバーとステージングサーバー間で同期を取ったコンテンツのアップロードが可能になる。
2) rsync
rsyncとは、2つのマシン間で特定ディレクトリ同士の内容を同期させるために利用されるソフトウェアであり、UNIX用のソースとWindows用のバイナリファイルが入手可能である(注1)。rsyncは、マシン間の通信手段としてrshとsshのどちらかを指定することができるので、rsyncを利用する場合は、両マシン間でRSHまたはSSH通信が確立できる環境を準備する必要がある。本モデルの条件を満たすためには、通信を暗号化する必要があるので、OpenSSHのようなツールを使用することで暗号化通信を実現し、その暗号化された通信上でrsyncを利用する方法が考えられる。また、SSHデーモンへのアクセス制御機能を持たせるために、Tcp
Wrappersを利用する必要がある。OpenSSHの利用方法に関しては「4.2.1
OpenSSHのインストールと設定」、Tcp Wrappersの利用方法に関しては「4.1.2
セキュア化のための設定」の「6) Tcp Wrappersによるアクセス制御」を参照する。
rsync入手先:
http://samba.anu.edu.au/rsync/
| |
(注1) |
Windows用のバイナリファイルはMike McHenry氏によって提供されており、バージョンはUNIX版のものより古くなっている。 |
|
3) FrontPage Server Extensions
FrontPage Server Extensionsは、Microsoft社からリリースされているWebサーバーのオーサリングツールであり、CGIやISAPIを使用するので、IISのみならず、Netscape
EnterpriseやApacheなどのWebサーバーでも利用することが可能である。Windowsプラットフォーム間でFrontPage Server
Extensionsを利用する場合、オプションでSSL通信を指定し暗号化通信を実現できるが、Windowsの機能の1つとして搭載されているIPSecを利用することも可能である。IPSecを利用する際は、「5.1.2
セキュア化のための設定」のパケットフィルタリングで解説したTCP/IPフィルタリングとRouting and Remote Accessを組み合わせることでアクセス制御が実現できる。また、ステージングサーバー側にMicrosoft
Office FrontPageを導入すると、Webコンテンツのアップロードを直感的に行うことが可能である。ただし、FrontPage Server Extensionsは非常に多くの機能を提供することができる反面、セキュアな運用を行うには複雑な機能を完全に掌握する必要がある。
Microsoft FrontPage 2000 Server Extensions入手先:
http://www.microsoft.com/japan/office/frontpage/
Microsoft FrontPage 2000 Server Extensions Resource Kit:
http://officeupdate.microsoft.com/japan/frontpage/wpp/serk/default.htm
4) WebDAV
WebDAVとは、Web-based Distributed Authoring and Versioningの略であり、HTTP/1.1を拡張したプロトコルである(注2)。このWebDAVプロトコルは、主に分散環境におけるWebページのオーサリングやバージョン管理の実現を目的としており、比較的新しい技術であるが、近年注目を集めている。WebDAVはHTTP拡張プロトコルであるため、特定のOSやサーバーの実装などに依存せず利用することができ、通信もHTTP上で行なわれるため、SSL/TLSやポートフォワーディング、IPSecなどでトランスポート層を暗号化するだけで暗号化通信を実現できる特徴をもっている。Apacheでは、WebDAV
Resourcesでリリースされているmod_devモジュールを組み込むことでWebDAVを実現でき、IIS 5.0では、WebDAV機能が標準で実装されている。しかしながら、WebDAVを利用するにはクライアント側(ステージングサーバー)でWebDAVに対応したツールが必要である。
WebDAV Resources:
http://www.webdav.org/
WebDAV Resources JP:
http://webdav.todo.gr.jp/
| |
(注2) |
RFC 2518(HTTP Extensions for Distributed
Authoring -- WEBDAV)で規定されている。 |
|
PortForwarding(ポートフォワーディング)
SSHの利用方法の1つに、ポート転送(Port Forwarding)機能がある。この機能を利用すると、平文でパスワードを送信してしまうサービス(FTPやPOP、SMTPなど)をセキュアな通信のサービスにすることができる。
ポート転送機能を組み込んだFTP通信の仕組みは、以下の図のようになる。Fig.7.2の「8000」と「21」は、ポート番号を表しており、ポート番号「8000」はクライアント側とサーバー側で任意に指定することができる。クライアントがlocalhostの「8000」番ポートに接続を試みると、サーバーとの通信が暗号化された「8000」番ポート上で行なわれる。サーバー側では「8000」番ポートの通信が「21」番ポートの通信に転送され、セキュアなFTP通信が実現する(注3)。
| |
(注3) |
通常、FTP通信では、FTPの制御を行うポートとデータ転送を行うポートでサービスを提供している。FTPのポート転送を実施するには、制御用ポート(21/TCP)だけでなく、データ転送用のポートもポート転送に対応する必要がある(Passiveモード)。 |
|
Fig.7.2 FTPのPortForwading例
|
|
|
|
|
| セキュアなWebコンテンツアップロードの構成 |
第7章の目次
|
第8章の目次
|
Copyright © 2002 Information-technology Promotion
Agency, Japan. All rights reserved.