リビング+:特集 2003/02/24 23:59:00 更新

特集:ホームユーザーのための実践的セキュリティ術
ルータはセキュリティの第一歩〜ブロードバンドルータで防げる攻撃と防げない脅威

完璧なセキュリティ対策というものは存在しないが、一般的に手間や費用をかければかけるほど、安全性はさらに高まるものだ。ただ、一般ユーザーが無限に手間や費用をかけることはできない。そこで、あまり手間をかけず、費用もおさえながら、効果的にセキュリティを高める方法を紹介しよう

 ADSLやFTTHなど常時接続環境では、セキュリティ対策が重要だ……というのは、よく言われること。リビングプラスの読者の方なら、「何をいまさらそんな当然なことを」と思われるかもしれない。ブロードバンドルータやパーソナルファイアウォールなどで対策されている方も多いだろう。

 とはいうものの、「それでは、あなたのセキュリティ対策は十分で、本当に侵入されることはないか」と尋ねられて、確信をもって侵入されないと返事ができる方は少ないのではなかろうか。さまざまなメディアで、たくさんのセキュリティに関する情報が提供されている。しかし、たとえば、個別の製品のセキュリティ機能について情報を得ても、ホームユーザーとして、そのセキュリティ製品が本当に必要なのか、あるいは、それだけで対策は十分なのか判断するのは、なかなか難しい。

 そこで、この特集では、一般のホームユーザーとして、どの程度のセキュリティ対策が必要なのかを提案しようと考えている。残念ながら、完璧なセキュリティ対策は存在せず、手間や費用をかければかけるほど安全性はさらに高まる。しかし、一般ユーザーが無限に手間や費用をかけることはできない。そこで、インターネット上で実際に行なわれている不正行為に即しながら、あまり手間をかけず、費用もおさえながら、効果的にセキュリティを高める方法を紹介したいと思う。

 なお、この特集では、筆者がMac OSにあまり詳しくないため、OSに関わる話題はWindowsが中心となる。悪しからず、ご了承願いたい。

第1回:ルータはセキュリティの第一歩
〜ブロードバンドルータで防げる攻撃と防げない脅威

第2回:内部プログラムの怪しい動きをチェック(2月25日掲載)
〜パーソナルファイアウォールソフトの正しい使い方

第3回:セキュリティパッチの重要性(2月26日掲載)
〜セキュリティ対策ソフトだけで安心してはダメ

第4回:しつこいウイルスメールへの対処法(2月27日掲載)
〜Fromを詐称されたメールから実際の送信元を特定する

第5回:S/MIMEによるメールの暗号化(2月28日掲載)
〜「Web of Trust」による無料のデジタルIDを試す

 第1回では、一般のブロードバンドルータが、セキュリティ対策としてどの程度効果があるのかから考えていきたい。

 複数のPCからインターネットを利用したい場合、アドレス変換機能(NAT)をもったブロードバンドルータを導入するのが一般的だろう。このNATが一種のファイアウォールとして動作することはよく知られている。ブロードバンドルータを導入すると、次のようなメリットを得ることができる。

  • ポートスキャンによって、弱点を探されずに済む
  • 共有ファイルに不正アクセスされずに済む
  • バックドアを仕掛けられても、バックドアにアクセスされずに済む

/broadband/0302/24/accesslog.jpg

 上の画面は、ルータのWAN側へのアクセスを記録したログである。サーバを運用していなくても、ただブロードバンド回線に接続しているだけで、かなりの数のアクセスがある。これらの多くは「ポートスキャン」と呼ばれるもので、セキュリティホールを探そうとする行為だ。ポートスキャンは不正アクセスの前準備として行なわれる。例えば、ポートスキャンで共有ファイルへアクセスできることがわかれば、パスワードなしでアクセスできないか実際に試すことになる。

 ブロードバンドルータは、標準状態では外部からのアクセスすべてを遮断する。このため、ポートスキャンを行っても、侵入できそうな入り口は見つからずに済む。また、バックドアとは、トロイの木馬などがPCに侵入することによってセキュリティホールを生じさせるものだが、万が一、仕掛けられても、バックドアへのアクセスをルータが遮断してくれる。

 もちろん、このような外部アクセスの遮断機能は、Windows XP標準のファイアウォール機能や、パーソナルファイアウォールと呼ばれるソフトによっても実現することができる。しかし、ルータであれば、ホームネットワークをまとめて防御することができるのに対し、これらのソフト的なファイアウォールは、ホームネットワークを構成する1つひとつのPCにインストールしなければならない。

 また、Windows XPのファイアウォール機能の場合は、OSの再インストールするときに、うっかりオンにするのを忘れてしまう可能性がありえる。一方、ルータならデフォルト設定のままでも、ただ設置するだけでセキュリティが高まる。これは、ネットワーク管理の専門家がいないホームネットワークでは、望ましいことである。

 さらに最近では、ブロードバンドルータはかなり低価格となった。設定の手間が不要で、設定ミスが起こりにくいだけでなく、導入にかかる費用も少ないと、ブロードバンドルータは“いいこと尽くめ”である。一方、ポートスキャンなどに対する防御の効果は絶大だ。セキュリティ対策の第1歩にふさわしいといえるだろう。

 ところが、せっかくの高いセキュリティ効果を無効にしてしまう機能も、ブロードバンドルータには備わっている。「仮想DMZ機能」や、イー・アクセスで採用された「GapNAT」機能だ。これは、NATと相性の悪いコミュニケーション系ツールやネットワークゲームを可能にする便利な機能だが、同時に「設置するだけでセキュリティが高まる」効果もなくしてしまうことには注意が必要だ。

 これらの機能を利用する場合は、別途パケットフィルタリングの設定を行うか、ルータに代わって外部の不正アクセスから守ってくれるパーソナルファイアウォールのようなものをPC側に導入しなければならない。ただ、仮想DMZ機能を利用するPCを1台に決めてしまえば、ほかのPCに用意する必要はない。

 それでは、仮想DMZ機能さえ使わなければ、ブロードバンドルータはセキュリティ対策として完璧なものだろうか。ブロードバンドルータを利用していれば、「Shields Up!」(http://www.gric.com/)のような診断サイトを訪問しても、セキュリティホールはないと診断されるだろう。

 しかし、これは外部からの直接的な不正アクセスに対して防御できるということであり、ホームユーザーとして完璧なセキュリティ対策ではないのである。ウイルスのようなメールを媒介にした不正プログラムや、Webブラウザのセキュリティホールを狙う「受動的攻撃」などを防ぐことはできないからだ。このあたりのことは次回以降に説明することにしよう。

最近のルータの機能動向

 最近は、ヤマハやメルコの製品のように、セキュリティ機能を重視したブロードバンドルータも増えてきた。これらにおいて強化されたセキュリティ機能は、大きく分けて、(1)DoSアタックなどの防御、(2)動的なパケットフィルタリングの2つがある。

 まず、(1)が防御するDoSアタックというのは、サービス妨害攻撃のことである。大量のパケットを送りつけ、サーバの負荷を高めたり、回線帯域を飽和させたりして、正常な動作を妨害する。不正アクセスとは違い、内部の情報を盗み出すことはできない。純粋な「攻撃」である。とくに、商用サービスの場合、この攻撃による被害は大きい。

 一方、(2)は、ダイナミックパケットフィルタリングやステートフルパケットインスペクションと呼ばれる機能だ。

 ルータに搭載されているNAT機能は、外部からのアクセスを遮断してくれる。しかし、たとえば、内部PCからWebページを眺める場合、外部のWebサーバから返ってくるWebページの内容を、ルータは通過させなければならない。そこで、不正行為者はこの正常な通信セッションを横から乗っ取ることによって、ルータ内部へアクセスしようとする。NATでは、通過させるか遮断させるかをポート番号のみで判断している。そこで、動的パケットフィルタリングでは、通信セッションの状態を記録し、ふさわしいパケットのみを通過させるようにした。NATだけに比べ、通信セッションの“乗っ取り”がはるかに難しくなっている。

 このように最新の技術を用いてセキュリティを高めているが、さきほど述べたようなルータに不足しているセキュリティ対策、例えば、不正プログラムやWebブラウザの脆弱性に対する対策は、これらの製品でもサポートされていない。不正アクセスや外部からの攻撃に対して防御性能は強化されるが、万全ではない点には注意したい。

とある家庭のセキュリティシミュレーション

 この連載の最初の3回では、ある家庭を想定して、どのようにセキュリティ対策を講じていけばよいのか、シミュレーションしていきたいと思う。この家庭は、父・母・子供の3人。それぞれ1台ずつのPCを所有している。また、父は仕事用のノートPCを会社から持って帰ってくることがある。さらに、最近になって、実験用のWebサーバを構築した。

 今回、ブロードバンドルータを導入したが、子供用PCに対して、ネットワークゲーム用に仮想DMZ機能を有効にしたため、このPCにだけパーソナルファイアウォールを導入している。ルータだけでは完璧なセキュリティ対策にはなっておらず、今のところ、ウイルスやWebブラウザの脆弱性などの問題は、放置されている状態だ。

/broadband/0302/24/xls.jpg

 なお、父用PCと自宅サーバ以外は、ファイル共有機能を無効にしている。外部からの不正アクセスは、ルータやパーソナルファイアウォールによっても守られるが、必要のない機能はなるべく無効にしておくのも、セキュリティ的にはよい考えである。

 さて、明日はどうなるのだろうか?

関連記事
▼GapNATはUPnPよりも汎用的――住友電工
▼Security How-To:セキュリティ:常時接続

[吉川敦,ITmedia]



モバイルショップ

最新スペック搭載ゲームパソコン
高性能でゲームが快適なのは
ドスパラゲームパソコンガレリア!

最新CPU搭載パソコンはドスパラで!!
第3世代インテルCoreプロセッサー搭載PC ドスパラはスピード出荷でお届けします!!