読み方 : ようさいホスト

要塞ホスト【bastion host】

要塞ホストとは?

外部ネットワークと内部ネットワークの境界付近に置かれ、インターネットから直接アクセスされることを前提に、徹底的にセキュリティを強化したサーバのこと。軍事上の防御拠点になぞらえた名称である。
要塞ホストのイメージ画像

企業などの組織のネットワークは通常、ファイアウォールなどでインターネットとの境界を区切っているが、WebサーバメールサーバDNSサーバVPNゲートウェイなど、外部に公開しなければならないサーバは必ず生じる。

要塞ホストは、そうした外部に晒される機器に適用するセキュリティ強化の考え方、または、その対策を施した機器そのものを指す。一台のサーバには原則として一つのサービスだけを担わせ、攻撃の糸口となる機能を最小限に絞り込む。

具体的な強化策としては、不要なソフトウェアやサービスの削除、オペレーティングシステム(OS)へのセキュリティパッチの継続的な適用、不要なユーザーアカウントアクセス権限の排除、通信を必要最小限のポートに限定することなどが挙げられる。ユーザー認証には公開鍵認証多要素認証など強固な方式を採用し、アクセスログを詳細に記録して不審な動きを早期に検知できる体制を整える。

ネットワーク設計では、要塞ホストをDMZ非武装地帯)と呼ばれる内外の中間領域に配置するのが一般的である。DMZは外部と内部の間に設けられた緩衝領域であり、万一要塞ホストが侵害されても、内部システムへの被害が直接及ばないよう隔離されている。

また、管理者が外部から内部サーバへアクセスする際の経由点としても使われるサーバもあり、接続経路を一本化することで監査やアクセス制御を集中して行える。SSHリモートデスクトップの中継点として機能させることで、外部に晒される攻撃対象領域アタックサーフェス)を最小限に抑えられる。

他の辞典等による「要塞ホスト」の解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。