セキュリティ対策


[注意]
サーバを常時接続で外部に公開するとなると、セキュリティ対策も疎かにできません。
おやじが、実施しているセキュリティ対策を以下に示しますが、誤りがないとも限りません。ご自分でもいろいろ調査された上で、各人の責任でセキュリティ対策を行うようお願いします。
おやじのセキュリティ対策は以下のとおりです。

  1. 修正プログラムのインストール
  2. ネットワークの設定による対策
  3. NAT(IPマスカレード)による対策
  4. DMZによる対策
  5. ウイルス対策
  6. ファイアウォールによる対策
  7. セキュリティチェックサイトでの確認

■修正プログラムのインストール

おやじは、ソフトウェアに完全なものはないと思っています。現にWindowsを始めとして、Internet Explorer、Outlook Express等で多くの不具合(セキュリティホールを含む)が発見されています。おやじは、これらの不具合に対する修正プログラム(パッチ)が提供されたら、なるべく早くインストールするようにしています。パッチ提供の情報は、以下から得ています。

「スタート」→「Windows Update」から起動して、説明に従って実行することにより、最新の修正プログラムをインストールできる。なお、Windows Updateのメニューの「推奨する更新」にある「重要な更新の通知」をインストールしておくと、重要な更新があった場合、ポップアップで通知してくる。

注: ダイヤルアップ接続環境の場合、自動的に更新の有無をチェックに行くので、ルータやTAの機種によっては意図しない発信になってしまうようなので注意が必要。

マイクロソフト製品(WindowsやOffice等)のセキュリティ対策に必要な修正プログラムと、操作手順をわかりやすくまとめてある。
おやじが使用しているソフトで更新がされていないか、各ソフトのHPを定期的にチェックしたり、窓の杜の更新情報等を参考にし、常に最新版になるよう注意している。但し、最新版にすることが必ずしも最善かどうかは、各自の判断が必要。版数が上がることにより新たな問題がでることもあるので、アップデートする前にシステムのバックアップを採ることが最善と考える。 

■ネットワークの設定による対策

「一台のパソコンが乗っ取られれば、他のパソコンのファイルにも簡単にアクセスできるということで非常に危険です。」と書いてあるのですが、NetBEUIを使えば安全と勘違いするとのご指摘があったので、再度強調しておきますが、1台に侵入されたら、ファイル共有していればプロトコルが何であれ他のパソコンの共有しているファイルには簡単にアクセスできるのは当然ですので、この対策はおまじない程度ですから注意してください。

 家庭内LANでは、インターネット接続の共有だけでなく、企業と同様にファイルやプリンタの共有を使い情報共有を行う事があります。しかし、ファイルの共有ができるという事は、一台のパソコンが乗っ取られれば、他のパソコンのファイルにも簡単にアクセスできるということで非常に危険です。基本的には、使用しないほうがいいのですが、そうもいかないのでおまじない程度ですが、対策しておいたほうがいいでしょう。
Windowsでファイルやプリンタの共有の設定をすると、NetBIOSというプロトコルで家庭内パソコン間で通信できるようにします。実はこれが曲者で、下位層としてTCP/IPやNetBEUIというプロトコルが使用されますが、インターネットはTCP/IPで動作していますので、TCP/IP上にNetBIOSがマウントされていると、直接アクセスしやすくなります。TCP/IPを下位に使ったNetBIOSはNetBIOS over TCP/IP(NBT)といい、Windows NTや2000、XPではこのNBTベースになっています。これを防止するため、家庭内通信にはNetBEUIというプロトコルを使用します。NetBEUIではルータを超えての通信ができませんので、インターネット経由では直接パソコンとは通信できません。つまり、インターネット接続はTCP/IPで行い、家庭内はNetBUEIで通信することにより相互通信ができないようします。設定は、以下のとおりです。
Windows XPでは、サポート対象外になっているのでこちらを参考するといいでしょう。

  1. コントロールパネルの「ネットワーク」アイコン(Windows2000では「ネットワークとダイヤルアップ接続」アイコン)をダブルクリックしネットワークのプロパティを開く。
  2. NetBEUIがマウントされていなければ、追加(インストール)で、プロトコルを選択して、その中のNetBEUIを選択してマウントする。
  3. NetBEUIのプロパティを開き、バインドで「Microsoftネットワーククライアント」「Microsoftネットワーク共有サービス」 がチェックされていることを確認する。(Windows2000では不要)
  4. TCP/IPのプロパティを開き、バインドで「Microsoftネットワーククライアント」「Microsoftットワーク共有サービス」 のチェックが外れていることを確認する。(Windows2000では不要)
  5. TCP/IPのプロパティを開き、NetBIOSで「TCP/IP上で、NetBIOSを使用可能にする」のチェックが外れていることを確認する。(Windows2000では、TCP/IPのプロパティの詳細設定の中のWINDで「NetBIOS over TCP/IPを無効にする」をチェックする。)

■NAT(IPマスカレード)による対策

 これは、対策というより必然的にセキュリテイ対策が行われているといったほうがよいでしょう。複数台のパソコンでインターネットアクセスをするためには、ルータのIPマスカレード機能を使用せざる得ません。IPマスカレードを使用すると、IPアドレスの変換とポート番号の変換が行われるため、インターネット側からはパソコンが直接見えなくなりますので、アタックできなくなるものです。おやじ宅は、IPSecの関係でADSLルータとブロードバンドルータの2段NATになっているため、より安全といえます。 

■DMZによる対策

DMZ(DeMilitarized Zone)とは、Web、FTPなどの公開サーバを設置したときに、クライアントパソコンをインターネット側からの不正な攻撃から守るため、ファイアウォールにより設けられたセグメントのことです。通常は、ファイアウォールにWAN、LAN、DMZの3つのLANを設け、インターネット側からは、DMZにしかアクセスできないようにしますが、おやじはファイアウォールの導入は困難なので、ADSLルータの静的NAT(DMZ機能とも言い、家庭でサーバを公開したりするため、特定のプロトコルをサーバに固定的にルーティングする機能)と、ブロードバンドルータの2段NATにより、セキュリティをあげています。
おやじネットワークにもあるように、当初は、サーバを含めて全てのパソコンをブロードバンドルータ配下に置いていました。2段のNATルータやフィルタリングが効いていますので、サーバにはアクセスできます。従って、サーバにセキュリティホールがあるとたちまち他のパソコンが危なくなります。そこで、サーバのみをADSLルータとブロードバンドルータ間に移動し、万が一サーバが乗っ取られても、ブロードバンドルータのフィルタリングやNATにより、パソコンを守るようにしました。

■ウィルス対策

ウィルス対策は、いまや当然のことです。おやじはNorton Anti Virusを使用しています。設定は、自動更新にすることにより、常にウィルスパターンファイルを最新版にするとともに、更新後の再起動を防止しています。

[参 考]
最近は、フリーのウィルス対策ソフトもあるようですので、お金をかけたくない人のために紹介しておきます。但し、おやじは使用したこともありませんし、一部のソフトと競合して不具合が出る等の問題があるそうですので、あくまで個人の判断で導入を検討してください。
このソフトは、ドイツの会社が提供するフリーソフトで、AVG AntiVirといい、こちらからダウンロードできます。パターンファイルの更新も早いようです。

■ファイアウォールによる対策

常時接続でインターネットに接続していると、さまざまな不正アクセスを受けます。そこで、ファイアウォールによりパソコン(サーバ他)を守ることにしました。ファイアウォールの機能は、許可されていない通信を遮断するものですが、何も外部からの不正アクセスを防ぐだけではありません。万が一、パソコンがワーム型ウイルスに感染すると、自分のパソコンがインターネットを攻撃することになりますが、このような場合も、ファイアウォールは許可されていない通信として遮断してくれますので、ファイアウォールの導入は重要といえます。但し、家庭で本格的なファイアウォールの導入はコスト的に困難なので、おやじはパーソナルファイアウォールを導入しました。
市販されているパーソナルファイアウォールソフトとしては、Norton Internet securityやウイルスバスターなどがあります。しかし、パーソナルファイアウォールも個人利用に限り無料で使用できるソフトがいくつかあり、いろいろ試してみましたので紹介します。何れも海外製ソフトのため英語ベース(Agnitum Outpost Firewallは日本語対応)ですが、一部のソフトは日本語化するパッチが提供されています。これを利用すれば、大部分が日本語化されるので、誤って設定することも少ないため英語の苦手な方は利用するといいでしょう。
なお、こちらのサイトで、Firewallについて詳しく述べられている他、ここに上げたソフトについても詳細な情報がありますので、参考にされるとよいと思います。

[注 意]
おやじ宅では特に問題は発生していませんが、パーソナルファイアウォールソフトは一般的なソフトと異なり、OSに近いところで動作するため、各種のドライバソフト等と競合して不具合を起こす事があります。例えば、「OCN ADSLアクセスACCAプラン USBタイプでは、使用するOSによって、USBドライバーとパーソナルファイアウォールソフト(Tiny Personal Firewall、Zone Alarm)がバッティングし正常に接続できない現象が起きる」ようです。(
OCN Tech Web セキュリティを参照)
各自使用している機器やソフトのHPで不具合情報がないか確認の上、各自の責任でインストールしてください。なお、これらのソフトの利用により万が一損害が発生しても、おやじは責任を負えません。


◆ZoneAlarm(日本語化可能)

ここで紹介したパーソナルファイアウォールソフトの中で、一番扱いが簡単なソフトで、ほとんどの設定が対話形式でできます。簡単といってもセキュリティ機能が劣るわけではなく、細かい設定ができないというだけで、一般的な使用には何ら問題ありません。あまり詳しくない家族のパソコンで利用しています。
ZoneAlarmの設定は非常に簡単です。インストール後、インターネットにアクセスするアプリケーションを起動するたびに、アラートメッセージが表示されますので、アプリケーション名を確認して、アクセスを許可していきます。このとき、「今後このプログラムを使う時は許可を求めない」にチェックマークを入れて許可すると、以後いちいち警告表示が出なくなります。この操作を新しいアプりケーション毎に行っていきます。この操作は、基本的に他のパーソナルファイアウォールソフトも同様です。
ZoneAlarmをZone Labsからダウンロードします。あわせてZoneAlarm日本語化ツールもダウンロードして、インストールします。インストール方法や使用方法は竜の情報館に詳しく書かれていますので、参考にされるとよいでしょう。

◆Tiny Parsonal Firewall(日本語化可能)

Tiny Parsonal Firewallは、有償になっています。Tiny Parsonal FirewallをTiny Softwareからダウンロードします。日本語化パッチはこちらからダウンロードしてインストールします。
このソフトもフィルタがかかると、アクセス許可を判断するウィンドウがポップアップするので、内容を判断しながら設定していきます。このままでも、使用できますが、上記操作で作成されるルールを自分で設定すると細かい設定ができます。ZoneAlarmに比べるとやや敷居が高いソフトです。このルールを設定するには、プロトコルとポート番号の関係ぐらいは理解していないとややきついかもしれません。ルールを作るには、こちらを参考にするとよいでしょう。
 こちらも参考にするとよいでしょう。

◆Sygate Parsonal Firewall(日本語化可能)

このソフトもかなりきめ細かく設定でき、日本語化パッチをこちらからダウンロードできます。普通に使用するだけなら、他のソフトと同様に警告が出るたびにアクセス許可を与えていくだけで使用できます。
Sygate Parsonal Firewall自体はsygateからダウンロードできます。

◆Agnitum Outpost Firewall(日本語対応)

おやじが一番気に入っているソフトで、機能面で他のソフトにはない機能を持っています。また、海外製にも関わらず最初から日本語に対応しており、インストール時に言語指定すれば大半が日本語で表示されます。
このソフトはプラグインモジュールによっていろいろな機能を組み込めるようになっており、標準的なものが提供されています。モジュールとしては、広告カットやDNS問い合わせ結果のキャッシュ,Active XコントロールやJavaアプレットの動作履歴,ウイルスとなり得る電子メールの添付ファイル警告,攻撃の履歴記録といったプラグインモジュールがあります。
このソフトも基本的にセットアップを行うだけで、特別な設定は必要ありません。アプリケーションがインターネットアクセスするとき、「初回のみ許可/不許可」「その場だけ許可/その場だけ不許可」「自動」などをユーザーが選択するだけです。
Outpost Firewallはagnitumからダウンロードできます。

■セキュリティチェックサイトでの確認

いろいろセキュリティ対策をしたら、予定どおりセキュリティが保たれているか調査しよう。これには、Web上でパソコンをスキャンして調査してくれるセキュリティチェックサイトを利用するとよい。おやじが利用しているサイトを以下に紹介します。いずれも、英語のサイトですが、操作は簡単です。

 ページの左側にある「Quick Scan」をクリックし、メインページの「Scan Now」をクリックすると、代表的なポートとトロイの木馬、ICMPをスキャンして、結果を表示してくれる。
 スキャン結果は、以下のように表示される。
ス キ ャ ン 結 果
Blocked ファイアウォール等により、インターネットからは存在しないように見える状態
Open プログラムが動作しており接続できる状態(サーバが稼動中なら当該ポートはOpenしている)
 ページの中ほどにある「Test My Shiealds!」をクリックすると、NetBIOS(Windowsの共有サービス)のスキャンが行われる。進入禁止のマークになっていればOK。NertBIOSはコンピュータをインターネットにさらけ出すようなものであり、必ず遮断しよう。次に、「Probe My Ports!」をクリックすると、代表的なポートをスキャンして、結果を表示してくれる。
 スキャン結果は、ポートごとに以下のように表示される。
ス キ ャ ン 結 果
Stealth! ファイアウォール等により、インターネットからは存在しないように見える状態
Closed! 接続できない状態
Open! プログラムが動作しており接続できる状態(サーバが稼動中なら当該ポートはOpenしている)
サーバ等を動かしていなければ、全てが「Blocked!」または「Stealth!」になっているべきです。意識していないポートがOpenになっている場合は、調査する必要があります。

[注意]
なお、このサービスを利用するときに注意しなければならない点があります。それは、インターネット混んでいる時間帯(テレホタイム等)に試験しない事です。これらのサービスでは、スキャンした結果が戻ってこない事をもって「Blocked!」または「Stealth!」としているため、インターネットが混んでいると、パケットが廃棄されたり、大幅に遅延して誤判定となることがあるからです。土日曜でも大丈夫なのでなるべく昼間の時間帯に試験するよう、また異なる時間帯で複数回試験することを進めます。

Top Pageへ