ネットワーク

WindowsXPを前提に説明してあります

<ホームページの必要な部分のみ印刷する方法>
 ホームページの印刷したい部分をドラッグ(反転表示)して選択し、「ファイル」〜「印刷」をクリック 〜「印刷」ダイアログの「選択した部分」にチェック 〜「印刷」ボタンを押します。

■ ファイアウォールの働き (2007年07月02日)

 一般家庭では、ブロードバンドのインターネット常時接続環境のパソコンが多くなりました。そうなると、外部からの不正侵入によるデータの破壊や流出などのセキュリティの問題が生じてきます。
 そこで、ファイアウォール(firewall)の設置が必要になります。今回は、ファイアウォールの働きと設置の考え方を探ります。
 
<ファイアウォールとは>
 ファイアウォールとは、外部ネットワーク(WAN側)と内部ネットワーク(LAN側)の間に設けて、主に外部からの不正なアクセスを防止することを目的としたセキュリティシステムの総称です。名前の由来は、火の手を防いで延焼を食い止める「防火壁」(firewall)に因んでいます。
 ファイアウォールの構築方法には特に決まった形式があるわけではなく、専用のハードウェア(サーバーやルーターなど)を設置したり、ソフトウェアでその機能を構築したりします。会社などではプロキシサーバーと呼ばれるコンピュータを置きますが、ここでは一般家庭におけるものに絞って説明します。
 下図は、一般家庭におけるファイアウォールの設置例です。ファイアウォール機能が、ブロードバンドルーター、Windowsファイアウォール、パーソナルファイアウォールの3重になっています。

 

 ブロードバンドルーターは本来のルーティング(IPアドレス通りにデータを送る)機能のほかに、ルーター(ハードウェア)そのものがファイアウォールの働きをします。
 また、巷で「ファイアウォール」というとき、ソフトウェアによるファイアウォールを指すことが多いようです。WindowsXP SP2の「セキュリセンター」にあるファイアウォール、あるいはTrendMicroやNortonなどのセキュリティ対策ソフトに付属しているファイアウォール機能がそれです。上図では、それぞれ「Windowsファイアウォール」、「パーソナルファイアウォール」と記してあります。これらのファイアウォールソフトは、いずれか1つのみを働かせます。

<ルーターのファイアウォール機能>
 ブロードバンドルーターのファイアウォール機能については、先のエントリーですでに説明しましたが、ここで復習しておきましょう。
 インターネットに接続する機器の通信はグローバルIPアドレスが使われ、ブロードバンドルーターの内部(企業内や家庭内など)のLANでは、プライベートIPアドレスが使われます。ブロードバンドルーターは、外に向いたグローバルIPアドレスと、内に向いたプライベートIPアドレスの2つのIPアドレスを持っています。
 従って、外部からはブロードバンドルーターしか見えず、プライベートIPアドレスを持つ内部パソコンへは、インターネットから直接アクセスできません。外部からの不正アクセスを防ぐことができる理屈です。

 上図を改めて見てください。ルータは、外部(WAN)への通信とその戻り値(上図の赤線)は通しますが、内部(LAN)への直接の通信(上図の黒線)はすべて遮断するようになっています。ここで「戻り値」とは、メールソフトで受信したメールデータ、Webブラウザで読み込んだホームページ、ネット上からダウンロードしたソフトやデータなどです。
 ルーターは、「IPアドレス変換テーブル」というものを保持しておき、外への通信ごとに「往復」パケットの対応を管理し、内部へ正しい「戻り値」を返信します。これがルーターのNAT(Network Address Translation)機能です。家庭内LANからインターネットにアクセスできるのは、このようにルーターがプライベートIPアドレスとグローバルIPアドレスを相互に変換してくれるからです。

<ルーターを使えば、ファイアウォールソフトは不要!>
 度々述べてきたように、ブロードバンドルーターを使えば、インターネットからルーター内部のパソコンなどへアクセスできないので、外部からの直接の不正アクセスや特定のポートを狙った攻撃を防ぐことができます。すなわち、ルーターがあれば、ファイアウォールソフトはなくてもよい理屈です。
 ただ、ノートパソコンなどで、外部のLANに接続する可能性がある場合は話は別です。外出先のLANがグローバルIPアドレスを使っている可能性があります。また、外出先がルーター利用環境でも、同じLAN内にウイルスに感染したパソコンがあれば、被害を受ける可能性があります。不特定多数のユーザーが利用するネットワークで使うときは、ファイアウォールソフトを入れておいた方が無難です。

 

 ファイアウォールの基本機能は、自分のパソコン発の通信と、それに対する返信以外は遮断する(この機能を広義に NAT という場合もあります)というもので、これはルーターの持つ生来の機能です。我が家では、ブロードバンドルーター内でパソコンが3台稼動していますが、外部に持ち出すことはありませんので、ファイアウォールソフトはすべて無効にしてあります。

<ファイアウォールで防げないもの>
 WindowsXP SP2の Windowsファイアウォールは、デフォルト(既定)で有効になっています。「スタート」〜「コントロールパネル」〜「セキュリティセンター」から確認できます。下図は、ファイアウォールソフトを2つ有効にして、「ファイアウォール」の項目をクリックしたときの表示です。

 

 上図の解説には、「ファイアウォールは、ウィルスやその他のセキュリティの脅威からコンピュータを保護する・・・」とありますが、少し誤解を生みやすい表現です。これはネット上のプログラムとして動作するウィルス、その他悪意あるプログラムの直接の侵入を防ぐという意味です。
 メールに添付されて侵入する 「***.exe」形式のウィルス などは、ファイアウォールでは防ぎようがありません。外部のメールサーバーへのメール受信要請に対する戻り値のメールデータの一部です。ただ、「***.exe」のままではデータですから、実行されるまではプログラムとして動作しません。別途、ウィルス対策ソフトの導入が欠かせません。
 また、Webブラウザで外部のWebサーバーをアクセスする場合、その戻り値であるWebページを、ファイアウォールは通過させなければなりません。ファイアウォールでは、Webブラウザのセキュリティホールを狙う攻撃も防ぐことができません。セキュリティホール(Security Hole)とは、ソフトウェアの欠陥(バグ)のことで、操作権限のないユーザーが実行できたり、見えないはずの情報が第三者に見えてしまうような不具合をいいます。このバグを修正するのが、Windows Update です。

<Windowsファイアウォール>
 ファイアウォールソフトについても、少し触れておきます。上図の解説には、「同時に実行されている2つ以上のファイアウォールは競合する・・・」の注意書きがあります。WindowsXP SP2のWindowsファイアウォールは、デフォルトで有効になっていますが、セキュリティ対策ソフトに付属するファイアウォールを使用する場合は、これを無効にしておきます。
 セキュリティセンターの下段、「Windowsファイアウォール」をクリックして、「Windowsファイアウォール」ダイアログの「全般」タブで、有効・無効の設定ができます。

 

 また、「例外」タブで、ブロックするプログラムやポートの例外設定をすることもできます。下図の例では、MSN Messengerとリモートアシスタンスの2つのプログラムの通過を許可しています。

 

<アウトバウンド通信のブロック>
 XP SP2のWindowsファイアウォールでは、インバウンド(外部から内部への)通信のみをブロックします。一方、セキュリティ対策ソフトに付属しているファイアウォール機能は、不審なアウトバウンド(内部から外部への)通信もブロックできるようになっています。
 しかしその設定は難しく、またセキュリティレベル(下図TrendMicroの例、「中」レベルで行う処理 参照)によっては、Windowsファイアウォールと同じく、インバウンド通信のみブロックする機能になってしまいます。実際、一般家庭の管理されたパソコン環境では、アウトバウンド通信をブロックする必要性はまずない、と個人的には思っています。

 

 ちなみに、Vista のWindowsファイアウォールでは、インバウンドとアウトバウンド通信の両方をコントロールできるようになりました。ただし、デフォルトでは着信トラフィックのみを監視するXPのWindowsファイアウォールと同じになっています。
 一般ユーザーにとって、Vistaのアウトバウンド通信を適切に設定するには、「高い専門知識」が必要でその作業はかなり困難である、と想定されるからのようです。このVistaのファイアウォールでアウトバウンド通信の設定は、「コントロールパネル」〜「Windowsファイアウォール」からではなく、「スタート」〜「管理ツール」〜「セキュリティが強化されたWindowsファイアウォール」から行いす。

<モデムとルーター>
 「ルーターを使えば、ファイアウォールソフトは不要!」と言い切りましたが、逆にルータがない場合は必ず、何らかのファイアウォールソフトを導入してください。では、一般家庭でのルーター存在の有無はどうなっているでしょうか。
 まず、ADSL回線の場合です。ADSLモデムには、ブリッジタイプとルータータイプがあり、アッカ社とイーアクセス社のモデムは、すべてルータータイプのようです。NTT東西では2タイプあり、主力の型名でいうと、ブリッジタイプは「MS△」(最新機種はMS5)、ルータータイプは「SV△」(VoIP機能を含む、最新機種はSV3)ということのようです。
 次に、ケーブル回線や光回線の場合です。パソコン1台を使うような家庭では、ケーブルモデムまたは光端末(光回線終端装置)に直接パソコンを接続する場合が多いようです。このような環境では、ルーターを導入するか、ファイアウォールソフトを導入してください。

 私は、ルーターのない環境では、新たにルーターを導入することをお奨めします。数千円で購入できる上、ファイアウォールの働き以外のご利益もあります。ルーターの内部はそのままLAN構成になり、ファイルやプリンタの共有ができます。パソコンを何台接続しても、すべてのパソコンが即インターネット接続になります。インターネット接続の「ID/PW」(ケーブル回線の場合はこの概念はありませんが・・・)はルーターに保存されるので、パソコンをリカバリーしても、インターネット接続の再設定の必要はありません。