WindowsXPのファイアウォール機能の実用性は?

 さて,このファイアウォールの実用性について考えてみよう。まず使い勝手だが,これはやはりOS付属ということだけあって,単純明快で使いやすい。全体的に,ユーザー自身があらかじめ用意された設定項目にYes/Noで応えるといった形式で設定していくので,いままでこの類のソフトを使ったことがないユーザーにも,とっつきやすだろう。

 また,ファイアウォール機能を有効にすると,デフォルトの状態ですでに外部からのアクセスについては,代表的なサービスの提供ポートはすべて塞がれている。一般ユーザーが単にセキュリティを気にして導入するといったレベルであれば,それなりに使えるレベルのものとなっている。

 しかしやはり,専門のファイアウォールソフトとは異なるので,必要以上に安心してはいけないだろう。たとえば,制御するサービスを追加していない状態では,あくまで限定されたサービスしか防ぐことはできない。デフォルトでは,あくまでクライアントマシンとしては,稼動の必要のないサービスしか制御していないからだ。もちろん,自分でポートを追加し,さまざまなサービスを制御することは可能だが,初心者にとっては,使用するポート番号を調べなければいけないので,なかなか大変であるように思われる。

 また,「トロイの木馬」と呼ばれるウィルスの類(感染したマシンを,第三者が思い通りにリモート操作することのできるウィルス)などは,WindowsXP側をクライアントとし,外部のマシンへデータを送信するという形をとれば,このファイアウォールでは防御することはできない。また,これらのトロイの中には,使用するポートを自由に変更できるものもある。そうなれば,WindowsXP側が随時稼動ポートをチェックして制御をかけなければならない。あくまでもOSの付属品として考えたほうがよいだろう。

●効率的にファイアウォール機能を使うためには

 しかし,それでもOSに最初からファイアウォールが付属しているというのは,一般ユーザーのセキュリティ意識を高めるためにも,安易なイタズラ心で攻撃を仕掛けるクラッカーを牽制するためにも,決して悪いことではない。機能面に対する期待はある程度割り切ってしまって,あとはユーザー側の知識を深めることで,このファイアウォール機能を効率よく使う方法を考えてみよう。

 予算の問題などで,新たにソフトを導入しない場合,つまりこのファイアウォール機能しか使えない場合は,とりあえずファイアウォール機能を有効にして,数日分のログを取得できるように,ログファイルのサイズを変更しておこう。設定は,とりあえず代表的なアタックに利用されるポートを追加する程度なので,よく分からなければデフォルトのままで構わない。また,定期的に自分のシステムで利用されているポートをチェックしておき,不審なポートが稼動している場合は無効にするなどの措置をとっておこう。

 前述したトロイのようなウィルスが利用するポートとしては

NetBus 12345番
BackOrifice 31337番

などの普段まったく使わないようなポートがおもだ。また,ひと昔まえに流行した「Nuke攻撃」(以前のバージョンのWindowsに存在したOOBというバグを利用して,システムをフリーズさせる方法。現在ではほぼ無効)などのアタックは,137〜139番のNetBIOSに利用されるポートを狙って行われる。もし,普段はネットサーフィンとメールくらいしか利用しないというのであれば,

21番 FTPポート
25番 SMTPポート
80番 HTTPポート
110番 POP3ポート

といったポート以外のすべてを制御してしまっても構わないかもしれない(ポートは,1番〜65535番の範囲で稼動している)。もちろん,それで完全に攻撃を防げるわけではないが,防御率はかなり上がるはずだ。稼動しているポートは,スタートメニューにある「アクセサリ」−「コマンドプロンプト」でコマンドプロンプトを起動し,「netstat -a」と入力すればチェックできる(写真8)。

画面
写真8■コマンドプロンプト上で「netstat -a」と入力すると,現在利用されているポートが表示される

画面
写真9■写真3の「サービス」タブにある「追加」ボタンをクリックすると,この画面が表示される。NetBusを防御したいのであれば,「コンピュータの名前またはIPアドレス」に自分のマシンのIPアドレスを,「このサービスの外部ポート番号」と「このサービスの内部ポート番号」に「12345」を入力すればよい

 また,ファイアウォールやIDSの中には,フリーソフトウェアとして配布されているものもあるので,それらを導入しても構わないだろう。ここでは,個人ユースには無料で提供されいてる「ZoneAlarm」を紹介しておく(写真10)。

画面
写真10■個人ユースには無料で提供されいてる「ZoneAlarm」。日本語化パッチもユーザーによって作成されている

 最近では「Norton Internet Security」のように,個人ユースでも安価でファイアウォール機能を備えたソフトを購入することが可能となっている。予算に余裕がある場合は,これらのソフトを利用されるのもいいかもしれない。製品版のファイアウォールソフトと,WindowsXP付属のファイアウォール機能の違いとしては,デフォルトでの「多様な攻撃パターンへの対応」という点が上げられる。

 ファイアウォールだけで物足りないという場合は,「BlackICE Defender」のような,IDS機能を備えた安価なファイアウォールソフトが発売されているので,予算に余裕がある場合はこれらを購入するとよいだろう。IDSはファイアウォールを越えて飛んできたパケットを探知するソフトだ。たとえば,ファイアウォールが対応していないパターンの攻撃で防壁を突破されてしまった場合,IDSはそれらのパケットを探知して,侵入を遮断してくれる。つまり,ファイアウォールは基本的にネットワーク全体を防御するソフトだが,IDSは導入したマシン個体を防御するソフトということになる。そのうえルータを導入して,マシンから直接インターネットに接続しないようにすれば,かなり固い防壁を構築できるのではないだろうか。

 WindowsXPのファイアウォール機能搭載は,ブロードバンド時代におけるアンチアタックへの,OSの本格的な対応の第一歩だと言える。これによって,これからは個人ユーザーへのさまざまなアタックが少しは減少するかもしれない。しかし,それと同時に何らかの方法で既存の防壁を破るクラッカーも必ず現れる。個人の防衛意識を高め,それとともにファイアウォールでの防御を行ってこそ,セキュリティツールは初めて完成するのではないだろうか。

[KAZU,ITmedia]

PREV 3/3