News：わが家のブロードバンド化計画（6）──世界中からアクセスできることの意味

News

2001年4月27日　11:59 PM 更新

わが家のブロードバンド化計画（6）──世界中からアクセスできることの意味

インターネットに接続すると，世界中のコンピュータにアクセスできる。ということは，世界中のコンピュータからも，自分のコンピュータへとアクセスできてしまう。今回のテーマはパーソナルファイアウォール。

　言うまでもないことだが，インターネットにコンピュータを接続すると，世界中のコンピュータにアクセスできるようになる。その便利さは，インターネットを利用しているすべてのユーザーが感じていることだろう。しかし，世界中のコンピュータにアクセスできるということは，世界中のコンピュータから自分のコンピュータへとアクセスできることを意味している。この連載の中でも，パーソナルファイアウォールの導入に関して一度簡単に触れたが，セキュリティ対策の必要性，その方法について，以前の内容と重なる部分もあるが再度触れておきたい。

世界中からアクセスできることとは？

　「あなたのパソコンに世界中からアクセスできる」という言葉は，大げさに表現したものではない。インターネットに接続しているとき，文字通りあなたのパソコンは，インターネット上のさまざまなコンピュータからの通信要求を受け付ける状態にあるのだ。

　これは，インターネットに接続しているほかのコンピュータを通じて，誰かがあなたのコンピュータに進入できる可能性があることを意味している。「ミッションインポッシブル」や「007」シリーズなどのスパイ映画で，コンピュータに進入して重要な情報を盗み出すシーンが使われることがある。もちろん「私のパソコンに入っても何もないよ」という人もいるだろうが，愉快犯はどこにでもいるものだ。それに，パソコンの中のどこかにクレジットカード番号でもメモされていたら……と考えると，決して他人事ではない。

　もっとも，必要以上に過敏になる必要はない。外出するとき，玄関や窓に鍵をかけておくのは常識だが，だからといって銀行の金庫ほど厳重にする必要はない。コンピュータの安全性を高めるよう適切に設定し，鍵をかけておくことが重要なのだ。

　空き巣はセキュリティが厳重な家を狙ったりはしない。なぜなら，家は1軒だけではないからだ。もっとセキュリティ対策の甘い家を狙った方が，効率よくドロボウができる。同じように，星の数ほどあるインターネットに接続されたコンピュータのうち，鍵のかかったコンピュータを狙うようなことはしない（もっとも，特定のコンピュータが目的の場合は話は別だが）。

　問題がないことがほとんどではあるが，せめて鍵ぐらいはかけておきたい。そのための道具が，パーソナルファイアウォールと呼ばれるソフトウェアだ。

どんな場合にあなたのコンピュータにアタックできるのか

　xDSLやCATVインターネットなどで接続している時はもちろん，ダイヤルアップで接続している時も，インターネットからパケットが届く状態にある。ただし，例外はいくつかある。

　利用しているISPがファイアウォールを導入している場合や，プライベートIPアドレスを割り当て，アドレス変換を行っている場合は，ISPの外にある大多数のコンピュータは，あなたのPCにアクセスできない（ただし同一ISPの場合はその限りではない）。

　インターネットにルータのIPマスカレードという機能を経由して接続している場合。このとき，IPマスカレードはインターネットへの接続状況を参照し，ユーザー側のネットワークが要求していないデータは取り次がない。同様のセキュリティ機能は，やはりIPマスカレードの仕組みを利用してWindows XPが標準で実装している。

　このような場合，インターネットからあなたのコンピュータに直接アクセスする手段がないため，直接アタックはできない。「ルータはファイアウォールの機能も兼ね備えているから，セキュリティ対策にもなる」という話は，ここから来ている。しかし，だからといってファイアウォールが不要というわけではない。

　なお，ルータでIPマスカレードを使っている場合でも，DMZ機能を使って特定コンピュータにすべてのパケットを送りつける設定にしている場合は，ファイアウォールとしての効果は全くないので注意しよう。DMZはネットワークゲームやNetMeetingを使う場合に設定しなければ動作しないことがある。

　トロイの木馬と呼ばれるプログラムを送り込まれると，接続できてしまうためだ。トロイの木馬とは，コンピュータの中でに入り込み，特定のポートを使って外部にアクセスし，外からの接続を待っているソフトウェアのことをいう。

　IPマスカレードなどのファイアウォール機能は，外部からのアクセスには強いが，内部から口を開けられると全く機能しない。たとえば，どこかで拾ってきたフリーのソフトが，実はスパイウェアで外部のコンピュータに何らかのデータを送信していたり，口を大きく開けて待機しておき，クラックされるのを待っている，なんてことも考えられるわけだ。

入手しやすいパーソナルファイアウォール

　ではパーソナルファイアウォールには，どんなものがあるのだろうか？

　手頃なところでは，トレンドマイクロの「ウィルスバスター2001」がある。ウィルスバスター2001は，外部からの接続を遮断する機能に加え，ウィルス対策ソフトらしく，あらかじめトロイの木馬として機能することが分かっている不正プログラムをデータベースとして持ち，それらの機能を無効にしてくれる。またDDoS攻撃対策としてPINGを無視する機能もある。特定のIPアドレス，ポート番号，プロトコル（範囲指定も可能）からのアクセスに制限をかけることもできる。

　ただし，未知のプログラムがインターネット側と接続するのを防ぐわけではないようだ。この点が少々頼りないところではある。また，別のウィルス対策ソフトを既に利用しているユーザーは，機能が重なっているため使いにくい。

　日本語化されているパーソナルファイアウォールの中で，もっとも人気があるのはシマンテックの「Norton Internet Security」だろう。また，入手性という意味では，この連載の中で紹介した東陽テクニカの「BlackICE Defender」がダウンロード販売を行っており，いつでも入手できる。

先日まで試用していたBlackICE Defender。強力かつ簡単にセキュリティをアップさせることができるが，15カ月単位で6500円というライセンス形態が，個人には難点かもしれない

　いずれも同じような機能を持っており，インストールするだけで利用できてしまう簡単さは魅力だ。操作性もすこぶる良い。いずれもアタックを受けたとき，そのアタックがどのような性質のものなのかを説明してくれる，という点も，初心者向けでいいかもしれない。

　ただし，BlackICE Defenderは特定のポートだけを通過させる設定などを，テキストファイル編集で行わねばならない。こうした設定は通常行う必要はなく，インターネットからアクセス可能なサーバを自宅内に作りたいといった場合以外は編集しなくていい。つまり，パワーユーザーしか使わないわけだが，同じことをInternet SecurityはGUIで行うことができる。Internet Securityには，ファイアウォール機能以外にも，アダルトサイトなどへのアクセス制限やバナー広告制限といった機能も含まれているため，少しだけお買い得な感じだ（ただし，特殊な設定を行わない限りにおいてはBlackICE Defenderの方がシンプル）。

　と，市販品をいくつか紹介したが，結局の所，僕はシェアウェアの「ZoneAlarm Pro」に落ち着いている。ZoneAlarmProはZoneLABSの製品で，無料で配布しているZoneAlarmの上位版にあたる。僕が上位版を選んだ理由は，その機能を試すのが目的であり，実際にはフリーのZoneAlarmで十分に強力なファイアウォールとして動作してくれる。

ZoneAlarmは個人の非営利目的には無料で利用できる。英語版だが一部のメッセージを日本語化したパッチも配布されている

外部にアクセスしようとするすべてのアプリケーションに警告が出るので驚かないように。見覚えのないプログラムがアクセスしようとしたら，アクセスを遮断しよう

　フリーでは心配と思うかもしれないが，ZoneAlarmは個人の非営利用途に限って無料で利用できるもので，完全に無料というわけではない。本来は19.95ドルで販売される有償ソフトである。

　デフォルト設定時のセキュリティが強固で，インストール直後はすべてのアプリケーションのインターネットへの接続に対して警告を行う（このため，面倒くさいと思う人もいるだろう）。一度，そのアプリケーションに対して外部への接続を許可すれば，次回からは警告が出ない。インターネットに対して接続を行うソフトは，それほど種類が多いわけではないので，最初のうちだけ少し我慢しておこう。

　なお，ZoneAlarmには非公式の日本語化パッチ（メニューやメッセージ，ダイアログが日本語化されるだけで機能的な差はない）もある。「セキュリティUP!」では，日本語化パッチとともに，ZoneAlarmの詳しい解説もあるので参照してみるといいだろう。ユーザー同士のコミュニティ掲示板もある。

[本田雅一， ITmedia]

ITmediaはアイティメディア株式会社の登録商標です。