特集
» 2005年12月13日 08時00分 公開

次世代企業が目指すべきセキュアなクライアント環境の実現:エンドユーザーがやるべきクライアントのセキュリティ対策とは? (1/2)

今回は、前回指摘したセキュリティ上の問題点を踏まえ、クライアントパソコンを使用しているエンドユーザーが考慮すべき最低限の対策について考える。

[下村恭(ハンズシステム),ITmedia]

社外でのネットワーク接続に必須の機能〜パーソナルファイアウォール

 すべてのクライアントパソコンで必ず対策が取られていなければならないのが、ウイルスにはじまりワーム、スパイウェア、トロイの木馬、ゾンビPCなどのキーワードで語られる「マルウェア」への対抗策だ。これらマルウェアに対処するためにはウイルス対策ソフトの導入が必須といわれているが、同時にパーソナルファイアウォールの設定も必須だ。

 Windows XPに搭載されている「Windowsファイアウォール」を利用してもよいが、これは通信パケットの中身を確認するものではなく、単に使わないポートを閉じるタイプの防御策であるため、あくまでも補助的な手段と考えるべきだ。通信パケットの内容を確認して怪しげであれば、その通信をシャットアウトするタイプのパーソナルファイアウォールソフトをぜひ利用したい。

 ただし、ウイルス対策ソフトもパーソナルファイアウォールソフトも、インストールされているというだけで安心してはならない。ユーザーがそれぞれ、パターンファイルが更新されていることを常に意識して確認しておく必要がある。パターンファイルの自動更新の設定をしておくのはもちろん、オフラインで使用した後など、更新が滞っていないかを意識しながらクライアントを使用すべきだ。

 さらに、ユーザー自身がパーソナルファイアウォールの使い方にも注意を払っておくべきだ。業務で利用するクライアントのファイアウォールの設定は、制限が最も厳しいものにしておき、利用するアプリケーションなどに応じて、必要な通信のみを許可していく方法を取ろう。

 さて、社内ネットワーク向けにパーソナルファイアウォールを設定したまま社外でネットワークにつなぐと、どのようなことが起こるだろうか。社内で利用するアプリケーションのために幾つかの通信を許可したまま外部ネットワークに接続すると、無防備な状態でクライアントが晒されることになり、ファイアウォールの意味がなくなってしまう。これは非常に危険な状態といえる。

 パーソナルファイアウォールは、接続するネットワークに応じて、その設定を切り替えてやる必要がある。一部の製品には、接続されたネットワークを自動的に識別して適切な設定に切り替えてくれるものもあるが、一般的にはDHCPで割り当てられたIPアドレスを参照して接続されているネットワークを識別することが多く、万能とは言い難い。基本的に、ネットワーク接続を行うユーザー自身が意識して、接続先のネットワークごとにパーソナルファイアウォールの設定を切り替えるべきだ。

 社内ネットワークや出張先のホテル、自宅の家庭内LANなど、複数のネットワーク接続を使い分ける場合、理想的なのはすべてのネットワークに応じた設定を行うことだ。それが難しい場合は、最低でも社内ネットワーク用の設定とそのほかの外出先用の設定をパーソナルファイアウォールに施しておき、社内と社外で切り替えるようにするべきだ。この場合、社外用の設定はHTTP接続とメール送受信(POPやSMTPなどのポート)だけを許可し、ほかはシャットアウトするというように、制限の最も厳しいものにするべきだろう。

 もちろん、これらのセキュリティ対策すべてを、ユーザー個人で責任を持つのはとても大変だ。技術的な面での負担もさることながら、社内ネットワークを管理している管理者が行う設定と、個人が行った設定に矛盾があってはならないからだ。ここはやはり、ネットワーク管理者と連携したセキュリティ対策が必要となる。インストールしてもかまわないソフトウェアと、するべきでないソフトウェアの判断を仰いだり、社内ネットワーク用のファイアウォール設定の方法、外出先で気を付けるべき点など、ネットワーク管理者の経験と知識を借りて、エンドユーザー自身が最適なクライアント環境作りを目指してもらいたい。

盗難や紛失への備えも忘れてはならない

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -