PHPアプリケーションの開発において、セキュリティ対策は欠かせない要素です。特にSQLインジェクションやXSS(クロスサイトスクリプティング)攻撃は、広く知られた脆弱性であり、多くのWebアプリケーションがこれらのリスクにさらされています。これらの攻撃は、データの漏洩や不正操作を引き起こし、アプリケーションの信頼性やデータの安全性を脅かします。
本記事では、PHPで多層防御(Defense in Depth)のアプローチを実装することで、これらの攻撃に対抗する方法について詳しく解説します。多層防御とは、セキュリティ対策を複数の層で行うことにより、万が一の突破に備える戦略です。基本的なセキュリティ対策から、より高度な保護手段まで、具体的な方法を学びましょう。
多層防御とは何か
多層防御(Defense in Depth)とは、セキュリティ対策を複数の層に分けて実施することで、個々の対策が突破された場合でも、他の対策が攻撃を防ぐ役割を果たすようにするセキュリティ戦略です。このアプローチは、単一の防御策に依存せず、様々な脅威に対応するための重要な考え方です。
多層防御の目的
多層防御の主な目的は、セキュリティの強度を高めることです。個々のセキュリティ対策にはそれぞれ利点と限界があり、複数の対策を組み合わせることでリスクを最小化できます。例えば、入力データのサニタイズによって悪意のあるコードの実行を防ぎつつ、SQLプレースホルダの使用によってデータベースへの不正なクエリを防ぐといった形で相乗効果を得られます。
多層防御の具体例
PHPアプリケーションにおける多層防御の例として、次のようなセキュリティ対策が挙げられます:
- 入力検証とサニタイズ:ユーザーからの入力を厳格にチェックし、不正なデータが混入しないようにする。
- エスケープ処理:表示するデータに対してエスケープを行い、HTMLやSQLの特別な文字を無効化する。
- データベース保護:SQLインジェクションを防ぐために、プレースホルダを使用したクエリ実行を行う。
- ファイアウォールと監視ツール:Webアプリケーションファイアウォール(WAF)やセキュリティ診断ツールを導入し、不正なアクセスを検知・防止する。
このように、複数の防御策を組み合わせてセキュリティを確保するのが多層防御の基本です。
SQLインジェクションの概要
SQLインジェクションとは、悪意のある攻撃者がアプリケーションのデータベース操作に不正なSQLコードを挿入し、情報を盗んだり、データを破壊したりする攻撃手法です。ユーザー入力がSQLクエリに直接組み込まれる際に、この脆弱性が発生することが多く、PHPアプリケーションにおいては特に注意が必要です。
SQLインジェクションの仕組み
攻撃者は、フォームやURLパラメータにSQLコードを挿入し、そのコードがデータベースで実行されることを狙います。例えば、ユーザー名とパスワードを使ったログイン機能において、SQLクエリが次のように構成されているとします:
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";この場合、$usernameに admin' OR '1'='1 のような文字列を入力されると、クエリが常に真と評価され、攻撃者がログインに成功する可能性があります。
SQLインジェクションのリスク
SQLインジェクションによる被害は多岐にわたります:
- データ漏洩:機密情報が盗まれるリスクが高まります。
- データの改ざんや削除:攻撃者がデータを操作し、システムの信頼性が損なわれます。
- 権限の奪取:管理者権限を持つアカウントが不正に使用される可能性があります。
SQLインジェクション対策を講じないまま放置すると、重大なセキュリティ事故を引き起こす原因となるため、適切な防御策が必要です。
XSS攻撃の概要
XSS(クロスサイトスクリプティング)攻撃は、悪意のあるスクリプトをWebページに注入し、ユーザーのブラウザ上で実行させる攻撃手法です。これにより、攻撃者はユーザーのクッキー情報を盗んだり、Webページの内容を改ざんしたり、フィッシング詐欺に利用することができます。PHPアプリケーションでは、ユーザーの入力を適切に処理しない場合にXSS攻撃のリスクが高まります。
XSS攻撃の仕組み
攻撃者は、ユーザー入力を介してJavaScriptやHTMLコードをWebページに挿入し、それが他のユーザーのブラウザで実行されることを狙います。例えば、コメント欄に次のようなスクリプトを入力された場合:
<script>alert('あなたのセッションが盗まれました');</script>このスクリプトが他のユーザーのブラウザで実行されると、セッション情報を盗まれたり、悪意のあるリダイレクトが発生する可能性があります。
XSS攻撃の種類
XSS攻撃には以下の3種類があります:
- 反射型XSS:ユーザーから送信されたデータが即座にWebページに反映される場合に発生する。攻撃者が作成したリンクをクリックしたユーザーが被害に遭う。
- 持続型XSS:悪意のあるスクリプトがデータベースに保存され、他のユーザーに対して繰り返し実行される。掲示板やコメント欄で発生することが多い。
- DOMベースXSS:ブラウザで動的に生成されたページ内でスクリプトが実行される場合に発生する。
XSS攻撃のリスク
XSS攻撃の主なリスクは次のとおりです:
- ユーザーの個人情報やセッション情報の窃取:攻撃者はユーザーのクッキーを盗み、セッションハイジャックを行います。
- フィッシング詐欺の実行:偽のログインフォームを表示させ、ユーザーのパスワードを盗むことができます。
- サイトの改ざん:攻撃者がWebページの表示内容を変更し、信用を失わせる可能性があります。
これらのリスクを防ぐため、適切な対策を講じることが重要です。
フィルタリングとエスケープ処理
ユーザーからの入力を適切に処理することは、SQLインジェクションやXSS攻撃を防ぐための重要な対策です。フィルタリングとエスケープ処理を組み合わせることで、不正なデータがアプリケーションに影響を与えるのを防ぎます。
フィルタリングとは
フィルタリングとは、ユーザーからの入力を受け取る際に、その内容を検証し、不正なデータを排除するプロセスです。これには、入力データの型チェックや、長さ制限、不適切な文字の除去などが含まれます。PHPでは、filter_var()関数などを使用して以下のようにフィルタリングが行えます:
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL);
if ($email === false) {
echo "無効なメールアドレスです。";
}この例では、入力されたメールアドレスが有効かどうかをチェックし、無効であればエラーメッセージを表示します。
エスケープ処理とは
エスケープ処理は、入力データを表示する際に、特別な文字(HTMLタグやSQLの制御文字)を無害化する手法です。これにより、攻撃者が挿入したスクリプトが実行されるのを防ぎます。
- HTMLエスケープ:ユーザーからの入力を表示する前に、
htmlspecialchars()関数を使ってHTML特殊文字をエスケープします。
$user_input = htmlspecialchars($_POST['comment'], ENT_QUOTES, 'UTF-8');
echo $user_input;この例では、<や>などの特殊文字がHTMLエンティティに変換されるため、スクリプトが実行されません。
- SQLエスケープ:データベースへのクエリ実行時には、プレースホルダやパラメータ化されたクエリを使用して、入力データをエスケープします(詳細は次のセクションで解説)。
フィルタリングとエスケープ処理の組み合わせ
効果的なセキュリティ対策のためには、フィルタリングとエスケープ処理を併用することが重要です。まず、入力データをフィルタリングして不正なデータを排除し、さらにデータを表示する際にはエスケープ処理を施すことで、多くの攻撃を防ぐことができます。
SQLプレースホルダを使った安全なデータベース操作
SQLインジェクションを防ぐための有効な手段の一つが、SQLプレースホルダを使用したパラメータ化クエリの実装です。プレースホルダを用いることで、ユーザー入力がSQLコードとして実行されることを防ぎ、安全なデータベース操作が可能になります。
パラメータ化クエリの仕組み
パラメータ化クエリでは、SQL文にユーザー入力を直接埋め込むのではなく、入力部分を変数で置き換えてから実行します。これにより、入力されたデータがSQLコードとして解釈されるのを防ぐことができます。
例えば、PDO(PHP Data Objects)を使用して安全なクエリを実行する方法は以下のようになります:
// データベース接続
$pdo = new PDO('mysql:host=localhost;dbname=testdb', 'username', 'password');
// パラメータ化クエリの準備
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password');
// パラメータのバインドとクエリの実行
$stmt->execute([
':username' => $username,
':password' => $password
]);
// 結果の取得
$user = $stmt->fetch();
if ($user) {
echo "ログイン成功";
} else {
echo "ユーザー名またはパスワードが間違っています";
}この例では、:username と :password の部分がプレースホルダとなり、execute()メソッドでパラメータをバインドすることで安全にクエリを実行しています。
PDOとMySQLiでのパラメータ化クエリの違い
PHPでは、PDOとMySQLiのどちらもパラメータ化クエリをサポートしています。以下に、MySQLiを使用した例を示します:
// データベース接続
$mysqli = new mysqli('localhost', 'username', 'password', 'testdb');
// パラメータ化クエリの準備
$stmt = $mysqli->prepare('SELECT * FROM users WHERE username = ? AND password = ?');
// パラメータのバインド
$stmt->bind_param('ss', $username, $password);
// クエリの実行
$stmt->execute();
// 結果の取得
$result = $stmt->get_result();
$user = $result->fetch_assoc();
if ($user) {
echo "ログイン成功";
} else {
echo "ユーザー名またはパスワードが間違っています";
}MySQLiの場合、bind_param()メソッドを使用してパラメータをバインドします。'ss'はデータ型を示し、ここでは2つの文字列(s)がパラメータとして使用されることを表しています。
SQLインジェクション防止のためのベストプラクティス
- 常にプレースホルダを使用:ユーザー入力が含まれるSQLクエリには必ずプレースホルダを使用しましょう。
- データ型の指定を正しく行う:パラメータをバインドする際に適切なデータ型を指定することで、SQLインジェクションのリスクを低減できます。
- ユーザー入力のフィルタリングも併用:SQLインジェクション対策としてプレースホルダは有効ですが、入力データのフィルタリングも併用することでセキュリティがさらに向上します。
プレースホルダを使った安全なデータベース操作は、SQLインジェクションを防ぐための基本的かつ効果的な対策です。
コンテンツセキュリティポリシー(CSP)の導入
コンテンツセキュリティポリシー(CSP)は、Webアプリケーションのセキュリティを強化するために導入されるHTTPヘッダーであり、ブラウザに対して特定の種類のリソースの読み込みを許可するポリシーを定義します。これにより、悪意のあるスクリプトが実行されるリスクを減らし、XSS(クロスサイトスクリプティング)攻撃の防止に役立ちます。
CSPの仕組み
CSPは、サーバーがレスポンスヘッダーにContent-Security-Policyを設定することで動作します。このポリシーは、ブラウザに対して以下のような指示を与えることができます:
- 許可されたスクリプトのソース:外部から読み込むスクリプトの許可先を指定できます(例:
self、特定のドメインなど)。 - スタイルの制限:許可するスタイルシートのソースを制御します。
- 画像、メディア、フォントの制限:読み込むリソースの種類ごとに許可するソースを指定します。
例えば、次のようなCSPヘッダーを設定することで、同一オリジンのスクリプトだけが許可されるようになります:
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;この例では、すべてのリソース(default-src)が同一オリジンからのみ許可され、スクリプトの読み込みは同一オリジンとhttps://trusted.cdn.comのみから許可されています。
CSPの導入方法
PHPでCSPを設定するには、レスポンスヘッダーを追加する必要があります。以下のコードを使用してCSPヘッダーを送信します:
header("Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com");これを設定することで、ページ全体に適用されるポリシーが有効になります。
レポート機能によるCSPの監視
CSPには、違反が発生した際に通知するためのレポート機能もあります。report-uriまたはreport-toディレクティブを使用して、ポリシー違反の詳細をサーバーに送信させることができます。
Content-Security-Policy: default-src 'self'; script-src 'self'; report-uri /csp-report-endpoint;この設定により、ポリシーに違反するスクリプトが実行されようとすると、違反情報が/csp-report-endpointに送信されます。
CSPの効果と限界
CSPはXSS攻撃を防ぐための強力なツールですが、完璧ではありません。次の点に注意する必要があります:
- ポリシーの設定が不適切だと正しく機能しない:柔軟性を持たせすぎると効果が減少します。
- 既存のアプリケーションに導入する際には慎重にテストが必要:誤った設定は正当なリソースのブロックにつながります。
CSPを適切に設定することで、Webアプリケーションのセキュリティが大幅に向上し、XSS攻撃のリスクを低減できます。
Webアプリケーションファイアウォール(WAF)の活用
Webアプリケーションファイアウォール(WAF)は、Webアプリケーションのセキュリティを強化するためのフィルタリングツールであり、悪意のあるリクエストを検知・防御します。WAFは、SQLインジェクションやXSSなどの一般的な攻撃からWebアプリケーションを保護するための効果的な防御策として広く利用されています。
WAFの役割
WAFは、HTTP/HTTPSリクエストを監視し、特定のパターンに基づいて攻撃を検出します。これにより、以下のような脅威からアプリケーションを守ることができます:
- SQLインジェクション:不正なSQLクエリを含むリクエストをブロックします。
- XSS(クロスサイトスクリプティング):悪意のあるスクリプトを含むリクエストを検知し、防御します。
- DDoS攻撃:大量のリクエストによるサービス妨害攻撃を軽減する機能を持つWAFもあります。
WAFは、アプリケーションコードを変更せずにセキュリティを強化できるため、導入の容易さが利点です。
WAFの導入方法
WAFには、クラウド型、ハードウェア型、ソフトウェア型の3種類があります。以下はそれぞれの概要です:
- クラウド型WAF:AWS WAFやCloudflareなど、クラウドベースのサービスを利用する方法です。迅速な導入が可能で、管理が容易です。
- ハードウェア型WAF:企業のネットワーク内に設置する物理的なデバイスです。オンプレミス環境に適しており、高度なカスタマイズが可能です。
- ソフトウェア型WAF:ModSecurityなどのソフトウェアをWebサーバーにインストールする方法です。ApacheやNginxなどのWebサーバーと統合して利用します。
WAFの設定とチューニング
WAFを効果的に運用するためには、適切な設定とチューニングが不可欠です。一般的には、次のようなステップを踏んで設定します:
- デフォルトルールの適用:初期設定で提供される一般的なセキュリティルールを適用します。
- カスタムルールの追加:特定のアプリケーションに関連する脆弱性に対処するため、カスタムルールを追加します。
- ホワイトリストの設定:誤検知を減らすために、信頼できるIPアドレスやリクエストパターンをホワイトリストに登録します。
- ロギングとモニタリング:WAFのログを定期的に確認し、攻撃パターンやトラフィックの異常を監視します。
WAFのメリットと限界
WAFを導入することで得られるメリットは多くありますが、限界も存在します:
- メリット:
- 簡単にセキュリティを強化できる。
- 最新の脅威に対応するためのルールが定期的に更新される。
- 既存のアプリケーションを変更せずに導入可能。
- 限界:
- すべての攻撃を100%防げるわけではない。
- 誤検知によって正当なトラフィックがブロックされる可能性がある。
- カスタマイズが不十分だと効果が限定的になる。
WAFは多層防御の一環として利用することで、他のセキュリティ対策と組み合わせてより強固な防御を構築できます。
ユーザー入力の検証とサニタイズ
ユーザー入力の検証とサニタイズは、Webアプリケーションのセキュリティを強化するための基本的な対策です。適切な検証とサニタイズを行うことで、悪意のある入力がアプリケーションに影響を及ぼすリスクを低減します。
ユーザー入力の検証とは
入力の検証は、ユーザーが提供したデータが期待する形式や範囲内であるかどうかをチェックするプロセスです。これには、データの型(整数や文字列など)、長さ、フォーマット(例えば、メールアドレスや電話番号の形式)、範囲(数値が指定された範囲内であるか)の検証が含まれます。PHPでは、以下の方法で入力検証を実装できます:
// 数値の検証
$age = $_POST['age'];
if (filter_var($age, FILTER_VALIDATE_INT) === false) {
echo "年齢は整数値でなければなりません。";
}
// メールアドレスの検証
$email = $_POST['email'];
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
echo "無効なメールアドレスです。";
}この例では、ユーザーが入力した年齢が整数値であることや、メールアドレスの形式が正しいことを確認しています。
サニタイズとは
サニタイズは、ユーザー入力を無害化するプロセスで、特殊文字や制御文字を除去または変換することによって不正なデータを無力化します。PHPでは、filter_var()関数を使用してサニタイズを実行することができます:
// サニタイズされた文字列を取得
$username = filter_var($_POST['username'], FILTER_SANITIZE_STRING);
// サニタイズされたURLを取得
$url = filter_var($_POST['website'], FILTER_SANITIZE_URL);この例では、特殊文字を含む文字列や不正なURLの形式を持つデータがサニタイズされます。
検証とサニタイズの違いと使い分け
検証とサニタイズは異なる目的を持っており、適切に使い分ける必要があります:
- 検証:データが正しいかどうかを判断するプロセスです。データが期待する形式でない場合、エラーを返すか、処理を中断します。
- サニタイズ:データを無害化するプロセスです。不正な文字や形式が含まれている場合でも、安全な形式に変換します。
例えば、ユーザー名の入力を受け付ける場合、まず検証でデータの長さが適切か確認し、その後サニタイズで不正な文字を取り除くといった使い方が有効です。
セキュリティ強化のためのベストプラクティス
- 必ず入力を検証する:ユーザー入力が予期した形式であることをチェックし、エラーがあれば適切に処理します。
- サニタイズを併用する:検証だけでなく、サニタイズも行って不正なデータをさらに無害化します。
- HTMLエスケープの実施:ユーザー入力をWebページに表示する際には、HTMLエスケープ処理を行い、XSS攻撃を防ぎます。
- プレースホルダの使用:データベース操作時には、プレースホルダを使ってSQLインジェクションを防ぎます。
ユーザー入力の検証とサニタイズは、多層防御の基盤となる基本的な対策です。適切な実装により、アプリケーションのセキュリティが大幅に向上します。
権限管理とアクセス制御の強化
Webアプリケーションにおける権限管理とアクセス制御は、ユーザーごとのアクセス権を適切に設定することで、機密データへの不正アクセスを防ぐ重要なセキュリティ対策です。これにより、認証済みユーザーであっても、不正な操作やデータへのアクセスを防ぐことができます。
権限管理の基本
権限管理は、ユーザーごとにアクションやリソースへのアクセス権を設定するプロセスです。これにより、ユーザーが自身の役割に応じた操作のみを実行できるようにします。権限管理の基本的な概念として以下が挙げられます:
- ロールベースアクセス制御(RBAC):ユーザーを役割(ロール)に基づいて分類し、それぞれの役割に対してアクセス権を設定します。例えば、「管理者」「編集者」「閲覧者」などのロールに応じてアクセス可能な機能を制限します。
- 属性ベースアクセス制御(ABAC):ユーザーの属性(役職、部門、場所など)やリソースの属性に基づいてアクセス権を決定します。
PHPでの権限管理の実装例
PHPでは、セッション変数やデータベースを用いて権限管理を実装できます。以下は、基本的なロールベースアクセス制御の例です:
session_start();
// ユーザーのロールを取得(例:データベースから取得)
$user_role = $_SESSION['user_role'];
// 権限チェック関数
function checkPermission($required_role) {
global $user_role;
if ($user_role !== $required_role) {
header("Location: access_denied.php");
exit();
}
}
// 管理者のみがアクセスできるページの例
checkPermission('admin');この例では、checkPermission()関数を使って、ユーザーが指定されたロールであるかを確認し、権限がなければアクセスを拒否します。
アクセス制御リスト(ACL)の活用
アクセス制御リスト(ACL)は、個別のユーザーやグループに対してリソースへのアクセス権を設定する方法です。ACLを利用することで、きめ細かいアクセス制御が可能になります。PHPでACLを実装するには、以下のようにユーザーごとの権限をデータベースで管理することが一般的です。
例:permissionsテーブルを用意して、各ユーザーに対応する権限を記録します。
CREATE TABLE permissions (
user_id INT,
resource VARCHAR(255),
permission_type ENUM('read', 'write', 'delete')
);このテーブルを基に、ユーザーのアクセスを制御することができます。
最小権限の原則
最小権限の原則(Principle of Least Privilege)とは、ユーザーに必要最小限の権限のみを付与する考え方です。これにより、不正アクセスやミスによるデータ改ざんのリスクを低減できます。例えば、閲覧者には読み取り専用の権限を与え、データの編集や削除は許可しないようにします。
セキュリティ強化のためのベストプラクティス
- ロールベースのアクセス制御の実装:役割ごとに明確なアクセス権を設定し、ユーザー管理を簡素化します。
- セッション管理の徹底:ログイン状態のユーザーに対して適切なセッション管理を行い、不正なセッション操作を防ぎます。
- ログと監査の導入:アクセス制御のログを取得し、異常な操作を検知するための監査を行います。
- 定期的な権限レビュー:ユーザーの役割や所属に応じて定期的に権限を見直し、不要な権限を削除します。
権限管理とアクセス制御の強化は、多層防御の一環として欠かせない対策であり、システムの安全性を高めるために重要な役割を果たします。
セキュリティテストと脆弱性診断ツールの活用
Webアプリケーションのセキュリティを強化するためには、定期的なセキュリティテストと脆弱性診断ツールの活用が欠かせません。これにより、既存の脆弱性を早期に発見し、修正することで、攻撃による被害を未然に防ぐことができます。
セキュリティテストの種類
セキュリティテストにはいくつかの種類があり、それぞれ異なる目的で実施されます:
- 静的コード解析(SAST):コードを実行せずにソースコードの脆弱性を検出するテストです。PHPのセキュリティ問題(未エスケープの入力、SQLインジェクションのリスクなど)を検出するのに役立ちます。
- 動的コード解析(DAST):実際にアプリケーションを実行して、外部から攻撃をシミュレートし、脆弱性を検出します。XSSやSQLインジェクションのテストに有効です。
- 侵入テスト(ペネトレーションテスト):セキュリティ専門家が攻撃者の視点でシステムの脆弱性を検証し、問題点を明らかにします。
脆弱性診断ツールの活用例
いくつかの脆弱性診断ツールがPHPアプリケーションに対して有効です。以下のツールを使用してセキュリティ診断を行い、脆弱性を修正します:
- Burp Suite:プロキシサーバーを用いたWebアプリケーションの脆弱性診断ツールです。XSSやSQLインジェクションなどの一般的な攻撃の検出が可能です。
- OWASP ZAP(Zed Attack Proxy):オープンソースのセキュリティ診断ツールで、Webアプリケーションの脆弱性を自動的にスキャンし、検出します。
- PHPStan:PHP用の静的解析ツールで、コードの品質とセキュリティをチェックします。未使用の変数や型のミスマッチに加えて、セキュリティ上の問題も指摘します。
セキュリティテストの実施手順
セキュリティテストを効果的に実施するためには、以下の手順を踏むことが重要です:
- テスト範囲の設定:アプリケーション全体または特定の機能に対してテストを実施する範囲を明確に定めます。
- ツールの選定と準備:適切な診断ツールを選び、テスト環境を設定します。
- テストの実施:静的解析と動的解析を組み合わせて実施し、脆弱性を特定します。
- 脆弱性の修正:検出された問題を優先度に応じて修正します。
- 再テスト:修正後に再度テストを行い、脆弱性が完全に修正されていることを確認します。
セキュリティテストのベストプラクティス
- 定期的なテストの実施:脆弱性は時間の経過とともに新たに発見されるため、定期的なテストが必要です。
- 開発プロセスにセキュリティテストを組み込む:セキュリティテストを開発サイクルの一部として取り入れ、開発初期から脆弱性の検出と修正を行います。
- 自動化ツールの活用:CI/CDパイプラインにセキュリティテストツールを組み込んで、自動的にセキュリティチェックを実施します。
セキュリティテストと脆弱性診断ツールを活用することで、PHPアプリケーションの安全性を高めることができ、予期せぬ攻撃からシステムを保護するのに役立ちます。
まとめ
本記事では、PHPアプリケーションにおける多層防御の重要性と、SQLインジェクションやXSS攻撃に対抗するための具体的な対策について解説しました。多層防御を実装することで、入力の検証やサニタイズ、SQLプレースホルダの利用、CSPやWAFの導入、権限管理の強化、そして定期的なセキュリティテストの実施といった複数の手段を組み合わせ、総合的なセキュリティ対策を実現できます。
これらの対策を徹底することで、脆弱性のリスクを大幅に低減し、安全なWebアプリケーションを提供することが可能です。常にセキュリティを意識した開発を行い、最新の脅威に備えることが重要です。
コメント