5 ミニッツ セキュリティ アドバイザ
ホーム オフィス ユーザーのための簡単なファイアウォールのセットアップ
ファイアウォールはかつて、大規模な企業ネットワークのみで使用されていました。そして、インターネット接続もまた大規模なネットワークからのみ使用されていました。しかし、今や、インターネットは高速常時接続 (英語) であることがさらに一般的になっています。このため、インターネットに接続しているコンピュータへの攻撃もまた一般的となっています。ファイアウォールは多くの種類の悪質なトラフィックをスクリーニングし、ユーザーを攻撃から保護する手助けをします。さらに、ファイアウォールはユーザーのコンピュータが、ユーザーが気づかない間に攻撃に参加しないようにする手助けもします。ユーザーがコンピュータ セキュリティの専門家でなくても、コンシューマ レベルのファイアウォールが優れたセキュリティを提供します。実際、Windows XP は強固なファイアウォールであるインターネット接続ファイアウォールをオペレーティング システムの一部として含んでおり、文字通り、これをシングル クリック操作で設定します。
トピック
 | なぜファイアウォールが必要なのか? |
| ファイアウォールは何ができるのか? |
| ハードとソフト |
| ICF を設定する |
| そのほかのファイアウォール |
| レジデンシャル ゲートウェイをセット アップする |
| 何の対応策も講じないよりは、何らかのセキュリティを… |
なぜファイアウォールが必要なのか?
具体的にホーム セキュリティにとってファイアウォールがなぜ重要であるかを説明する前に、インターネット通信の背景について触れる必要があります。多くの観点において、インターネットは電話システムと比較することができます。電話で通信する代わりに、我々はインターネットでコンピュータと通信します。誰かに電話をするたびに、特定の電話番号から呼び出しを行います。同様に、別のコンピュータと通信する度に、IP アドレスから通信を行います。インターネットでのすべての通信は IP アドレスが付随している必要があります。そうでないと、受信側のコンピュータはその応答をどこへ送信すべきかが分かりません。コンピュータと電話間の非常に重要な相違点の 1 つは、既定で、コンピュータはユーザーが望んでいるかどうかに関わらず、常に呼び出しに応答します。たとえば、"Hackers-R-Us" から電話がかかってきたとします。電話の呼び出しを受けている人はおそらく電話を鳴っている状態のままにしておくでしょう。既定では、コンピュータは何の選択もありません。コンピュータは単に呼び出しに応じなければなりません。
図 1: 既定で、コンピュータがインターネットに接続すると、そのコンピュータはどのようなユーザーからでも、それが受信する通信をリッスンし、応答する必要があります
モデムを使用して、ダイヤルアップ接続を介して接続している場合は、これは大きな問題ではありません。ユーザーのコンピュータは常に短時間接続しているのみです。そしてほとんどのダイヤルアップ サービス プロバイダのように、呼び出しを行うたびに、コンピュータは異なる IPアドレスを取得します。これは悪意のある攻撃者がユーザーのコンピュータに侵入することを非常に複雑にしますが、不可能にするわけではありません。しかし、ユーザーが DSL などのブロードバンド接続またはケーブル モデムを使用している場合、コンピュータは 24 時間インターネットに接続しています。
図 2: 保護されていないホームネットワーク。世界中のどのコンピュータでも、IPアドレスにより、このコンピュータに接続できる可能性があります
ファイアウォールは何ができるのか?
電話による呼び出しをフィルタできる人が自宅に居るとしたらどうでしょうか? その人に、信頼される人からの電話を除くすべての呼び出しを無視するよう指示できるとします。または、その人に特定の人からの、または自分の家族の一員への電話による呼び出しをブロックするよう指示できるとします。コンピュータ ネットワークでは、このような働きをするものが、ファイアウォールと呼ばれています。
有名な専門用語辞典で、ファイアウォール (firewall) にはこのようなエントリがあります。それは 「特別なセキュリティ上の事前対策が施された専用ゲートウェイ マシンで、ネットワーク接続外およびダイヤルイン回線でサービスを提供するために使用される」 です。ファイアウォールは 2 つの有益な目的を果たします。それらは、外部からネットワークに入り込むトラフィックをフィルタする、そしてネットワーク上のコンピュータが送信するものを制御することです。
ハードとソフト
ファイアウォールをセットアップする上での第 1 のステップは簡単なものです。ハードウェアまたはソフトウェアによる対応が自分のニーズに最適であるかどうかを決定します。ファイアウォール製品は、ユーザーのコンピュータ用に無償で利用可能なものから不正使用すればすぐに分かるようにできている業界による製品まで、多くの異なる形式で提供されています。公認のファイアウォールを購入するかどうか、またどのような種類のファイアウォールを購入するかに関わらず、すべてのファイアウォールは同じ基本的な機能 (受信および送信トラフィックの制御) を提供します。
この決定を行うにあたり、考慮すべき点がいくつかあります。
1. | Windows XP を実行しているか? Windows XP を実行しているのであれば、組み込みのファイアウォールであるインターネット接続ファイアウォール (ICF: Internet Connection Firewall) が既に提供されていますので、追加のファイアウォールの購入は必要ない場合もあります。 |
2. | 複数のコンピュータ間でインターネット接続を共有するかどうか? 複数のコンピュータ間でインターネット接続を共有したい場合、ネットワーク接続されたコンピュータを使用しているか、またはこれから使用することになります。この場合、Windows のインターネット接続共有 (ICS: Internet Connection Sharing) 機能を使用して接続を共有することができます。(Windows 2000 の ICS をオンにする方法については、このステップ バイ ステップ ガイドをご覧下さい。) |
3. | ファイアウォールとして 1 台のコンピュータを使用せずに接続を共有できるようにするかどうか? インターネット接続を共有するにあたり、ゲートウェイとして 1 台の特定のコンピュータを使用したくないとします。ICS はそれを実行しているコンピュータが起動しており、ネットワークに参加している場合のみ機能します。しかし、接続を共有するために、ゲートウェイとして機能する安価な装置を購入することもできます。いわゆる 「インターネット アクセス ルータ」 または 「レジデンシャル ゲートウェイ」 と呼ばれるものはたいていファイアウォールの機能を含みます。 |
最大限のセキュリティのために、ハードウェアのファイアウォールをインストールし、ホーム オフィスのネットワークを保護することができます。そしてそれを ICF または別のソフトウェア ベースのファイアウォールと組み合わせることができます。ソフトウェアのファイアウォールは個々のマシン用に構成することができ、必要であれば、ネットワーク上の各マシンが異なるネットワークのアクセス権を持つことができます。さらに、ソフトウェア ベースのファイアウォールは、ファイアウォールで保護されたマシンが本来送るべきでないデータを送ろうとする場合、警告を行うことができます。ハードウェア ベースのファイアウォールは通常、非常に柔軟で強力です。これらをセットアップすれば、後はそのままでこれらがユーザーを保護します。もちろん、これらのセットアップは最初は困難な作業であるかもしれません。2 種類を組み合わせることにより、どちらか一方のみを使用するよりも強固なセキュリティが提供されます。
ICF を設定する
Windows XP のインターネット接続ファイアウォールは接続ベースごとに構成されます。つまり、コンピュータからインターネットにアクセスする方法が複数ある場合 (たとえば、モデムと DSL を使用する場合)、各接続に個別に ICF を構成する必要があります。ブロードバンド接続を使用している場合、[ネットワーク接続] アプレットにブロードバンド接続のアイコンが表示されます。(「ローカル エリア接続」 と名づけられているか、またはその後の番号が振られている場合もあります。) 次に ICF をオンにする方法を説明します。
1. | [スタート] メニューから [コントロール パネル] を開きます。 |
2. | [ネットワーク接続] アプレットを開きます。 |
3. | ICF を有効にしたい接続を右クリックし、[プロパティ] を選択します。 |
4. | [詳細設定] タブでボックスにチェックを入れ、コンピュータを保護します。(さらにヘルプが必要である場合、この KBにはこの手順を説明したビデオが含まれています。) |
![図 3: 指定されたネットワーク接続のための [詳細設定] のプロパティ タブ](http://img.microsoft.com/japan/technet/community/columns/5min/images/5m10103.gif)
図 3: 指定されたネットワーク接続のための [詳細設定] のプロパティタブ
手順は以上です。ICF は設定され、システムで実行されますが、その前にひとつ考えてみましょう。特定の理由により、そのほかのコンピュータが自分のコンピュータに接続できるとしたらどうでしょうか? たとえば、自分のホーム ネットワーク外のユーザーに参照させたい Web サーバーを実行しているとします。ICF はこれを可能にします。ネットワーク接続の [詳細設定] のプロパティ タブにある [設定] ボタンをクリックして下さい。(図 3 をご覧下さい。) 外部に公開したい様々な一般的なサービスを選択することができます。これを行う場合、公開されたサービス用にリリースされるセキュリティの更新と修正プログラムの適用状況を常に最新にする必要があることに注意して下さい。これを怠ると、コンピュータは容易に侵害される可能性があります。
アクション : Windows XP を実行している場合、プライマリ インターネット接続の ICF をオンにします。その後、通常通りインターネットを使用します。ICF はユーザーのインターネットの使用を干渉しませんが、ユーザーを保護します。ICF の機能方法に関する詳細はこちら (英語) をご覧下さい。
そのほかのファイアウォール
Windows XP を実行していない場合、または使用中のファイアウォールよりもさらに制御 (認識) が必要である場合、個別にパーソナル ファイアウォール ソフトウェア パッケージを使用するとよいでしょう。使用中のコンピュータのセキュリティを向上させる様々な優れた製品 (英語) が利用可能です。たとえば、Zone Labs による Zone Alarm はプログラムごとに、受信接続をフィルタするばかりでなく、着信接続もフィルタします。つまり、使用中のコンピュータ上のプログラムでインターネットでの通信を許可されるものと許可されないものを指定することができます。
レジデンシャル ゲートウェイをセット アップする
ホーム ネットワークを所有している、または計画 (英語) している場合、ファイアウォールからネットワークへのゲートウェイを作成する必要があります。特定のコンピュータ (英語) にソフトウェアのファイアウォールを実装する場合、少なくともそのマシンに 2 つのネットワーク カードが必要となります。1 つのネットワーク カードはパブリック インターフェース (DSL やケーブル モデムなど) に付随し、もう 1 つのネットワーク カードは内部のネットワークに付随します。次にネットワークの一方のトラフィックが他方と通信できるようにコンピュータを構成する必要があります。ICS により、これを Windows 2000 および Windows XP (英語) で行うことができます。
しかし、この段階で、多くのホーム ユーザーが専用レジデンシャル ゲートウェイを購入しようとするでしょう。これらは直接 DSL ルータまたはケーブル モデムに接続することができ、ファイアウォールとネットワーク ハブの機能を提供します。
図 4: レジデンシャルゲートウェイで完成される発達したホームネットワーク
ISP に接続する時、レジデンシャル ゲートウェイが ICS を実行しているコンピュータの代わりに動作するように構成する必要があります。たとえば、静的な IP アドレスを所有する場合、その IP アドレスを使用中のコンピュータではなく、ゲートウェイに割り当てる必要があります。新しい IP アドレスを使用中のコンピュータに割り当てるか、またはより一般的にはコンピュータに IP アドレスをゲートウェイに問い合わせるようにします。ICF のように、ゲートウェイは指定されたトラフィックをブロックまたはフィルタする機能を備えている場合がよくあります。たとえば、家族の Web サイトが基本のコンピュータで実行されているとすると、レジデンシャル ゲートウェイはシームレスにすべての Web サイトの (HTTP) リクエストを基本のコンピュータに誘導します。
何の対応策も講じないよりは、何らかのセキュリティを…
ここで説明されているすべての選択の中で、非常に陥りやすい唯一の間違いはこれらの何も選択しないことです。誰も自分を攻撃しないという間違った考えを起こさないで下さい。攻撃用の自動化されたツールの増加により、誰もがインターネット上のそのほかのユーザーと同じくらい、危険にさらされています。残念ながら、どのようにネットワークおよびコンピュータ セキュリティがデジタル侵入とどのように機能するかに関する深い知識をひけらかす強力なサブ カルチャーが存在します。常時接続の普及とその使い易さのため、ホーム ネットワークは容易に標的となります。しかし、いくつかの簡単な事前の対応策を講じることにより、ユーザーは自分自身と自分のデータを保護することができます。