特集:ホームユーザーのための実践的セキュリティ術
|
第1回:ルータはセキュリティの第一歩 〜ブロードバンドルータで防げる攻撃と防げない脅威 |
第2回:内部プログラムの怪しい動きをチェック(2月25日掲載) 〜パーソナルファイアウォールソフトの正しい使い方 |
第3回:セキュリティパッチの重要性(2月26日掲載) 〜セキュリティ対策ソフトだけで安心してはダメ |
第4回:しつこいウイルスメールへの対処法(2月27日掲載) 〜Fromを詐称されたメールから実際の送信元を特定する |
第5回:S/MIMEによるメールの暗号化(2月28日掲載) 〜「Web of Trust」による無料のデジタルIDを試す |
第1回では、一般のブロードバンドルータが、セキュリティ対策としてどの程度効果があるのかから考えていきたい。
複数のPCからインターネットを利用したい場合、アドレス変換機能(NAT)をもったブロードバンドルータを導入するのが一般的だろう。このNATが一種のファイアウォールとして動作することはよく知られている。ブロードバンドルータを導入すると、次のようなメリットを得ることができる。
上の画面は、ルータのWAN側へのアクセスを記録したログである。サーバを運用していなくても、ただブロードバンド回線に接続しているだけで、かなりの数のアクセスがある。これらの多くは「ポートスキャン」と呼ばれるもので、セキュリティホールを探そうとする行為だ。ポートスキャンは不正アクセスの前準備として行なわれる。例えば、ポートスキャンで共有ファイルへアクセスできることがわかれば、パスワードなしでアクセスできないか実際に試すことになる。
ブロードバンドルータは、標準状態では外部からのアクセスすべてを遮断する。このため、ポートスキャンを行っても、侵入できそうな入り口は見つからずに済む。また、バックドアとは、トロイの木馬などがPCに侵入することによってセキュリティホールを生じさせるものだが、万が一、仕掛けられても、バックドアへのアクセスをルータが遮断してくれる。
もちろん、このような外部アクセスの遮断機能は、Windows XP標準のファイアウォール機能や、パーソナルファイアウォールと呼ばれるソフトによっても実現することができる。しかし、ルータであれば、ホームネットワークをまとめて防御することができるのに対し、これらのソフト的なファイアウォールは、ホームネットワークを構成する1つひとつのPCにインストールしなければならない。
また、Windows XPのファイアウォール機能の場合は、OSの再インストールするときに、うっかりオンにするのを忘れてしまう可能性がありえる。一方、ルータならデフォルト設定のままでも、ただ設置するだけでセキュリティが高まる。これは、ネットワーク管理の専門家がいないホームネットワークでは、望ましいことである。
さらに最近では、ブロードバンドルータはかなり低価格となった。設定の手間が不要で、設定ミスが起こりにくいだけでなく、導入にかかる費用も少ないと、ブロードバンドルータは“いいこと尽くめ”である。一方、ポートスキャンなどに対する防御の効果は絶大だ。セキュリティ対策の第1歩にふさわしいといえるだろう。
ところが、せっかくの高いセキュリティ効果を無効にしてしまう機能も、ブロードバンドルータには備わっている。「仮想DMZ機能」や、イー・アクセスで採用された「GapNAT」機能だ。これは、NATと相性の悪いコミュニケーション系ツールやネットワークゲームを可能にする便利な機能だが、同時に「設置するだけでセキュリティが高まる」効果もなくしてしまうことには注意が必要だ。
これらの機能を利用する場合は、別途パケットフィルタリングの設定を行うか、ルータに代わって外部の不正アクセスから守ってくれるパーソナルファイアウォールのようなものをPC側に導入しなければならない。ただ、仮想DMZ機能を利用するPCを1台に決めてしまえば、ほかのPCに用意する必要はない。
それでは、仮想DMZ機能さえ使わなければ、ブロードバンドルータはセキュリティ対策として完璧なものだろうか。ブロードバンドルータを利用していれば、「Shields Up!」(http://www.gric.com/)のような診断サイトを訪問しても、セキュリティホールはないと診断されるだろう。
しかし、これは外部からの直接的な不正アクセスに対して防御できるということであり、ホームユーザーとして完璧なセキュリティ対策ではないのである。ウイルスのようなメールを媒介にした不正プログラムや、Webブラウザのセキュリティホールを狙う「受動的攻撃」などを防ぐことはできないからだ。このあたりのことは次回以降に説明することにしよう。
最近は、ヤマハやメルコの製品のように、セキュリティ機能を重視したブロードバンドルータも増えてきた。これらにおいて強化されたセキュリティ機能は、大きく分けて、(1)DoSアタックなどの防御、(2)動的なパケットフィルタリングの2つがある。
まず、(1)が防御するDoSアタックというのは、サービス妨害攻撃のことである。大量のパケットを送りつけ、サーバの負荷を高めたり、回線帯域を飽和させたりして、正常な動作を妨害する。不正アクセスとは違い、内部の情報を盗み出すことはできない。純粋な「攻撃」である。とくに、商用サービスの場合、この攻撃による被害は大きい。
一方、(2)は、ダイナミックパケットフィルタリングやステートフルパケットインスペクションと呼ばれる機能だ。
ルータに搭載されているNAT機能は、外部からのアクセスを遮断してくれる。しかし、たとえば、内部PCからWebページを眺める場合、外部のWebサーバから返ってくるWebページの内容を、ルータは通過させなければならない。そこで、不正行為者はこの正常な通信セッションを横から乗っ取ることによって、ルータ内部へアクセスしようとする。NATでは、通過させるか遮断させるかをポート番号のみで判断している。そこで、動的パケットフィルタリングでは、通信セッションの状態を記録し、ふさわしいパケットのみを通過させるようにした。NATだけに比べ、通信セッションの“乗っ取り”がはるかに難しくなっている。
このように最新の技術を用いてセキュリティを高めているが、さきほど述べたようなルータに不足しているセキュリティ対策、例えば、不正プログラムやWebブラウザの脆弱性に対する対策は、これらの製品でもサポートされていない。不正アクセスや外部からの攻撃に対して防御性能は強化されるが、万全ではない点には注意したい。
[吉川敦,ITmedia]
最新スペック搭載ゲームパソコン
高性能でゲームが快適なのは
ドスパラゲームパソコンガレリア!
最新CPU搭載パソコンはドスパラで!!
第3世代インテルCoreプロセッサー搭載PC ドスパラはスピード出荷でお届けします!!