セキュリティ

IP制限とは?IP制限の基礎知識と設定方法

IPアドレスはネットワーク上の住所です。IPアドレスを使ってコンピュータ同士は通信相手を特定しているのですが、人間には数字の羅列が覚えにくいため、理解しやすいドメインを使っているということはドメインについてのページで解説しました。ここではIPアドレスによって接続制限をかける方法について解説します。

ドメインについて知りたい方は、以前書いた記事「ドメインとDNSの違いを理解していますか?」をご覧ください。

IPアドレス制限

目次

IPアドレスとの関係

IPアドレスは、インターネット上に接続されているコンピュータや通信機器に割り振られている“背番号”のようなものです。ネットワークにつながっている端末には必ずIPアドレスが付けられています。

IPアドレス(Internet Protocol Address)

Webサーバーには通常、IPv4とよばれるバージョンのIPアドレスが割り当てられています。32ビットの2進数の数字を8ビットごとにピリオドで区切り、10進数に言い換えて表します。8桁の2進数を10進数に変えると、ピリオドで区切られた値は0〜255です。

wikipediaより

インターネット上のすべての機器にこのIPアドレスが付与されていることにより、コンピュータ同士は目的の相手を選んで通信することができます。インターネットに接続するためのIPアドレスは、グローバルIPアドレスとも呼ばれ、ICANNが大もととなって管理しています。ICANNは、ネットワークの安定的かつセキュアな運用の確保に責任を負う非営利団体最上位の国際機関です。

グローバルIPアドレスとプライベートIPアドレス

インターネットで使用するグローバルIPアドレスに対し、特定の組織内ネットワークだけで使うIPアドレスもあります。プライベートIPアドレスとかローカルIPアドレスと呼ばれます。

プライベートIPアドレスは、組織の内部ネットワークに接続されている機器の“住所”です。組織内で自由に設定することができますが、ネットワーク内部では重複してはならないという点はグローバルIPアドレスと同じです。

IPv4の取り決めでは、プライベートIPアドレス専用の領域として、あらかじめ以下の3つを使うように指定されています。

10.0.0.0~10.255.255.255(最大約1677万台)
172.16.0.0~172.31.255.255(最大65535台)
192.168.0.0~192.168.255.255(最大255台×256ネットワーク)

3つ領域のうちどれを使うかは、その組織のネットワークの規模に合わせて選ばれます。

内部の機器が外部に通信するときは、「ゲートウェイ」と呼ばれる中継機器を通してグローバルネットワークに接続されます。このとき、ゲートウェイに設定されているIPアドレスが、その組織固有のグローバルIPアドレスです。組織内のネットワーク機器は、たいてい1つのグローバルIPアドレスを使ってインターネット通信を行っています。

IPアドレス

WebサイトへのアクセスをIP制限する

IPアドレスによる接続制限

この仕組みを利用すれば、Webサイトに対してある特定のIPアドレスからしか閲覧できないように制限をかけることが可能です。短く「IP制限」と呼ばれることもあります。IP制限は、制作途中のサイトを社内だけで見られるようにするといったときによく使われます。また、WordPressを使ったサイトなど、管理者ログイン画面のあるサイトなどで、セキュリティ向上のために恒常的にIP制限をかけておくといった活用法もあります。特にセキュリティ強化が求められている今、不正アクセスされたくないページにはきめ細かくIP制限をかけておくことが、企業Webサイト運営の常識となりつつあります。

ただし、注意しておきたいのは「IPアドレスによる接続制限をかける」とは、グローバルIPアドレスを対象にした設定だということです。グローバルIPアドレスとプライベートIPアドレスを混同されることが多いのですが、プライベートIPアドレスはそもそもインターネット接続には使用されていないということ、IP制限に関係するのはグローバルIPアドレスであるという点は押さえておきましょう。

IPアドレス制限の設定方法

IPアドレス制限には、Apacheの設定ファイル(httpd.conf)を使う方法と、制限を設けたいディレクトリに「.htaccess」という名称のファイルを作成する方法の2種類があります。今回は「.htaccess」ファイルを作成する方法についてご紹介いたします。制限を設けたいディレクトリに「.htaccess」ファイルを作成したら、このファイルに記述を行っていきます。使用する要素は「order」「allow」「deny」の3つです。

allow,denyは文字通り許可、拒否という意味を持ちます。orderは、allowとdenyを評価する順番を指定する要素です。

orderの使い方

先にallowを評価したい場合は

  1. order allow,deny

と記述します。最初にアクセスの許可を出した後、アクセスしてはダメな人を選ぶイメージです。
denyから評価したい場合は

  1. order deny,allow

と記述します。先ほどとは逆に、最初にアクセスを拒否した後、アクセスしても良い人を選ぶイメージです。

allowとdenyの使い方

許可する対象のIPアドレスを選択するときは、

  1. allow from (IPアドレス)

と記述します。
同じように、拒否する対象のIPアドレスを選択するときは

  1. deny from (IPアドレス)

と記述します。
もし、全てのIPアドレスからアクセスを許可するのであれば

  1. allow from all

と記述します。
同様に、全てのIPアドレスからアクセスを拒否したい場合は

  1. deny from all

と記述します。覚えることは必要があるのはこれだけです。

実際の記述の仕方

後はこの「order」「allow」「deny」を組み合わせることで、IP制限が記述できます。

特定のIPアドレスからのアクセスのみ許可し、それ以外のIPアドレスからのアクセスは拒否したい場合の記述の仕方を考えてみましょう。

最初に全てのアクセスを拒否した後、特定のIPアドレスからのアクセスを許可すれば良いので、

  1. order deny,allow
  2. deny from all
  3. allow from (IPアドレス)

と記述できますね。
もし、複数のIPアドレスからのアクセスを許可する場合は、

  1. order deny,allow
  2. deny from all
  3. allow from (IPアドレス)
  4. allow from (IPアドレス)
  5. allow from (IPアドレス)

と続けて記述することで実行できます。
IPアドレスの部分にホスト名やドメイン名を記述することも可能です。

【コラム】 プレフィックス表記

社内のネットワーク管理者にIPアドレスを問い合わせたとき、IPアドレスの後ろに、下記のようにスラッシュが付いたものを渡されたことはありませんか?

192.168.1.0/30

IPアドレスの最後についているスラッシュ以下(/30)を「プレフィックス表記」といいます。たとえば大規模な企業の場合、部署ごとにグローバルIPアドレスを持っていたりすることがあります。社内用にIP制限をかけるといっても10個も20個もIPアドレスを設定しなければならないようなとき、このようなプレフィックス表記を使って、短縮して書くことがあります。プレフィックス表記を見たら「ここからここまでのIPアドレスです」という範囲を表しているのと同義であると、理解しておいてください。

まとめ

IPアドレスの概要についてご理解いただけたでしょうか?ぜひ今後のWebサイト制作や運用に役立ててみてください。

Web担当になったけれど自分の知識に自信がない、自社のWebページをもっと改善したい、けれども、うちにはそんな時間も人材もないというお悩みはございませんか?
ITRAではお客様に真摯に向かい、ご要望に沿ったWebサイト制作やリニューアルを行ってきました。お気軽にお問い合わせください。

関連記事

この記事の著者

itra
ITRA株式会社

官公庁や大手企業を中心とした大規模なWebサイトを総合的にプロデュースするWeb制作会社。デザインからシステム、サーバーまでWebサイトに関わるお客様の悩みを解決します。

初めて使う人にも使いやすく、セキュリティレベルの高いCMSパッケージ「iCMS」

詳しくはこちら
itra