Windows 2000 Insider/PC Insider合同特別企画Windows XPの正体
|
 |
|
|
|
セキュリティ対策の重要性についてはもういまさら言うまでもないだろう。昨今ではxDSLやCATVインターネットなど、個人でも利用できるインターネットへの常時接続環境が広く普及しているが、それにつれて、常に外部(インターネット)から狙われるという危険性も非常に高くなってきている。以前のダイヤルアップ接続環境ならば、インターネットに接続している時間も短かったので、外部から自分のマシンが狙われて、システム内部のデータなどを破壊されたり、ほかのサーバを攻撃するための踏み台にされたりする危険性は少なかった。しかし常時接続環境ではそんな悠長なことは言っていられない。最近ではCode Redのように、常にあちこちをスキャンし続けるワームやウイルスもいるので、何の防御策(セキュリティ対策)も用意せずにインターネットに接続するのは、かなり危険な行為であるといえる。マシンの内容が破壊されても文句はいえないであろう。
例えばWindows XP Professional (RC1)では、デフォルトでは以下のような通信ポートが待ち受け状態になっていた。つまり外部からこれらのポートに自由にアクセスできてしまうのである。ここには、ファイル共有のために使われるポート(epmap、netbios-ssn、microsoft-ds)などが列挙されていることが分かるだろう。ユーザー名やパスワードが見破られてしまえば、外部からアクセスされてしまうかもしれない。
C:\>netstat -a |
このような危険な状態がWindows系OSのデフォルト状態だが、たとえ最低限でもよいので、セキュリティ対策を施しておけば外部からの不正なアクセスを未然に(非常に高い確率で)防ぐことができる。単にセキュリティ対策といっても、さまざまな方法が考えられるが、最低限の方策として、外部からの不正なアクセスを防ぐための「パケット・フィルタ機能」は必須であるといってよいだろう。
パケット・フィルタ機能を簡単に言うと、OSI参照モデルでいうところのネットワーク層やトランスポート層のレベルでパケットを通過させたり、ブロックしたりする機能である。このレベルで外部からの不正な侵入を完全にブロック(阻止)することにより、基本的には外部からの意図しないアクセスをすべて防ぐことができ、システムを安全に保つことができる。もちろんメール経由でやってくるウイルス・プログラムなどは(より上位の層で機能しているので)パケット・フィルタでは防ぐことはできないが、それについては別途ウイルスチェック・プログラムなどを併用する必要があるだろう。
従来のWindows 9xやWindows Meでは、OSの標準的な機能としてパケット・フィルタを備えていなかったので、別途セキュリティ・ソフトウェアやセキュリティ機能を持ったルータなどを購入したりする必要があった。これに対してWindows 2000では、簡単なパケット・フィルタを備えていたので、それを活用することも可能であったが、その設定はかなり面倒であった。本Windows 2000 Insiderフォーラムでも、「常時接続時代のパーソナル・セキュリティ対策」や「Window TIPS:インターネット常時接続時の基本セキュリティ設定」などの記事でその方法について解説しているが、とてもワンクリックですます、というわけにはいかなかった。
これに対してWindows XPでは、後で示すように、チェックボックスを1つオンにするだけで、簡単に有効化できるパケット・フィルタ機能が備わっている。しかも、前出の記事で説明したRRASサービス(Routing and Remote Access Service。パケット・フィルタを含む高度なルーティング機能を提供するためのサービス。RRASについては「常時接続時代のパーソナル・セキュリティ対策(第2回)」を参照のこと)を使うよりも、より実用的なセキュリティ対策を施すことができる。RRASと比べた場合の、Windows XPのファイアウォールの利点は次のとおりである(Windows XPにはRRAS機能も備わっているので、必要ならばRRASを使ってもよい)。
-
設定が簡単
逆にいうと、きめ細かい設定は不可能 -
ダイナミックなフィルタ機能
RRASでは、例えばFTPを使用するために、常にあるポートからのフィルタを空けておかなければならなかったが、XPのファイアウォールでは自動的にFTP使用時だけオープンになる -
ログを残すことができる
RRASではこれは不可能だった。ログにより、敵(侵入者)の手口などを知ることができる
なお、このファイアウォール機能とRRAS機能は排他的なものではないので、VPNやルーティングといったRRAS本来の機能も同時に使用することができる。ただしVPN接続にファイアウォール機能を適用すると、VPN経由のファイル共有サービスなどもブロックされてしまうので、ファイアウォール機能はインターネットに直接接続されているインターフェイスにのみ適用するのが正しい使い方だろう。
ファイアウォール機能を使う
Windows XPのファイアウォール機能を有効にするには、[スタート]メニューから[ネットワーク接続]の設定ダイアログを起動し、ファイアウォールで保護したいインターフェイスを選択して[プロパティ]属性の設定を行う。イーサネット・カードのようなネットワーク・インターフェイス・カードだけでなく、モデムやISDN用のTAなどのダイヤルアップ接続の場合でも有効にすることができるので、インターネットに直接接続している場合は、ぜひとも有効にしておきたい。たとえ短時間しかインターネットに接続しない場合でも、常に外部からの侵入の危険性があるからだ。
 |
|||||||||
| ファイアウォールの設定 | |||||||||
| ファイアウォールを有効にするには、有効にしたい「ネットワーク・インターフェイス」(ネットワーク・カードやモデムなど)を選んで、[プロパティ]メニューを起動する。 | |||||||||
|
ファイアウォールを設定するには、各接続アイコンを右クリックして[プロパティ]を表示してもよいが、Windows XPでは、各フォルダごとに、「タスク」という、ユーザーの作業を手助けするためのメニューが左側のペインに表示されるようになっているので、ここから[この接続の設定の変更]タスクを選んでもよい。
ネットワーク接続のアイコンから[プロパティ]を選んで[詳細]タブをクリックすると、ファイアウォールの設定ダイアログが現れる。もしシステムにネットワーク・インターフェイスが2つ以上装備されていると(イーサネットとダイヤルアップ接続のように、異なる種類のインターフェイスでもよい)、ここには「インターネット接続ファイアウォール(ICF)」のほかに、「インターネット接続の共有(ICS)」という表示も現れるが、ファイアウォールの設定は、インターネット接続の共有(ICS)とは独立して行うことになるので、特に気にしなくてもよい。基本的には、インターネットに直接接続しているインターフェイスでのみ、このファイアウォールの設定を行っておけばよい。例えばLAN内のマシンであっても、インターネットへ直接ダイヤルアップするようなケースでは、そのダイヤルアップインターフェイスに対してファイアウォールの設定を行う。
ファイアウォール機能を有効にするには、このチェックボックスをオンにするだけであり、ほかには特に設定する必要はない。たったこれだけで、最低限のセキュリティが確保できるのは、Windows XPの大きなメリットといえる。ファイアウォールの動作としては、基本的にはインターネットへ向けて発信される通信(Windows XPからインターネット側へ向かって発信されるTCP/UDPの通信)はそのまま通過し、逆方向からの接続要求はデフォルトではすべてブロックされる。さらに例えばFTPのように、逆方向の通信が必要な場合は(FTPでは、制御用コネクションのほかに、データ転送用コネクションも使っている)、FTPの通信が有効な間だけダイナミックに(FTPサーバ側からの)2番目のコネクションが通過するようになっている(どのようなアプリケーションがサポートされているかは特にまだドキュメント化されていないようなので不明。多数のさまざまなコネクションを使う複雑なアプリケーションではうまく動かず、後述のサービスの公開機能などを併用する必要があるかも知れない)。
ただしこのファイアウォールは、あくまでも単なるパケット・フィルタ機能しか持っておらず、ウイルスチェック機能などは含まれていない。だから市販のファイアウォール/セキュリティ・ソフトウェアをもう導入しなくてもよいというわけではないので、注意されたい。
 |
|||||||||
 |
|||||||||
| ファイアウォールを有効にする | |||||||||
|
基本的には、このチェックボックスをオンにするだけでよいのだが、アクセスログを記録したり、サービスの公開などを行ったりするためには、以下のように、より詳細な設定が必要となる。
 |
| INDEX | ||
| [Windows XPの正体] 実験/実証によって探るWindows XPの真実の姿 | ||
| 常時接続でも安心のファイアウォール機能 | ||
 |
1.ファイアウォール機能を有効にする | |
| 2.サービスの公開 | ||
| 3.外部からの不正アクセスを検出可能にするファイアウォールのログ | ||
 |
||
 |
「Windows XPの正体」 |
ホワイトペーパー(TechTargetジャパン)
- WindowsTIPS (2010/3/19)
− [シャットダウン]ボタンの設定を変更する
− WINSサーバをインストールする
− WINSサーバをnetshコマンドで管理する - Windows 7のファイアウォール機能 (2010/3/18)
Win 7のファイアウォールの概要解説。ルールセットを切り替えるプロファイル機能が強化され、ドメインでもVPNでも、適切なルールが自動選択される - 第212話 プリンタ用紙 (2010/3/16)
致命的なディスク・クラッシュが起きる確率は、クラッシュによってもたらされる被害の大きさに比例する… - WindowsTIPS (2010/3/12)
− 不要なアドオンを無効化してIE8の起動を高速化する
− IE8のソース表示エディタを変更する
− RRASのNATでポートマッピングを定義する
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
 |
「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
 |
「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。