※本記事にはプロモーションが含まれています。
10年ほど前にWordPressを運営していたときのお話です。
ある日、アクセスログを見ていて、違和感に気づきました。
ログイン試行の形跡。
見慣れないIPアドレス。
海外からのアクセスらしき記録。
それがブルートフォース攻撃だったのか、今となってははっきりしません。
でも当時の私は、「攻撃されているかもしれない!」と焦っていました。
とにかく、止めなければ。
その気持ちだけが先走っていたのを覚えています。
.htaccessを必死に触っていた記憶
ネットで調べると、すぐに出てきました。
「海外IPはブロックしましょう」
「国外からのアクセスを遮断すれば安心です」
私はそれを信じました。
.htaccessを編集し、IP制限をかけた記憶があります。
ブラックリスト形式だったのか、ホワイトリスト形式だったのか、覚えていませんが。
危険IP一覧のようなものを大量にコピペした気もしますし、許可IP以外を拒否したような気もします。
正確な設定内容よりも、覚えているのはただ一つ。
私は、安心したかったのです。
設定を終えたあと、「これで防げた」と思いました。
IPアドレス制限は本当に安心できる対策方法だったのか
その後だいぶ月日が経ち、Webセキュリティに興味を持って学習するようになり、分かったことは以下です。
- IPアドレスは簡単に変えられる(VPNやクラウド経由)
- 攻撃は国内IPからも来る
- 正規サービスもクラウドIPを使うことがある
- GooglebotのIPレンジは変わる可能性がある
- 自分の回線が変われば自分が弾かれることもある(やらかしがち…)
IP制限は、決して無意味ではありません。
雑なスクリプト攻撃を減らす効果はあるでしょう。
でも、それは一部にすぎない。
当時の私は、IP制限だけで完璧に対策していた気になっていました。
本当に必要な対策
重要だったのは、以下の通りです。
- 強固なパスワード
- 2段階認証(2FA)
- ログイン試行回数制限
- Web Application Firewall(WAF)
- 定期バックアップ
- アクセスログの確認
IP制限は多層防御のひとつであって、メインではない。
今思うと、無知だったなと思います。
サーバー側のセキュリティ対策という視点
IPアドレス制限を必死に行っていた頃、私はサーバー側のセキュリティ機能をほとんど意識していませんでした。
現在使っているエックスサーバーには、
- 標準WAF
- 無料SSL
- 自動バックアップ
- 2段階認証
- アクセスログ確認機能
といった基本的な機能が最初から用意されています。
IP制限のような応急処置に振り切るよりも、こうした土台の整った環境で運用することの方が、現実的で安定しています。
今は、こうした基本機能が揃った環境を選ぶようにしています。
▶ エックスサーバー公式サイト
IP制限を否定するつもりはありません。
ただ、それだけに頼るのは少し心許ない、というのが今の結論です。
失敗から見えた安心の正体
当時の私は、とにかく安心したかった。
大量のIPアドレスをブロックすることは、対策をしている自分を実感できる行為だったのだと思います。
でも、セキュリティは感情では守れません。
地味だけど、積み重ねで守るもの。
IP制限だけで安心していた私は、そのことをまだ知りませんでした。
今は、ログを少しだけ冷静に見られるようになっています。
そして、必要以上に振り切れないことも、防御の一部なのだと感じています。