Windows 2000 Insider/PC Insider合同特別企画Windows XPの正体
|
 |
|
|
|
セキュリティ対策の重要性についてはもういまさら言うまでもないだろう。昨今ではxDSLやCATVインターネットなど、個人でも利用できるインターネットへの常時接続環境が広く普及しているが、それにつれて、常に外部(インターネット)から狙われるという危険性も非常に高くなってきている。以前のダイヤルアップ接続環境ならば、インターネットに接続している時間も短かったので、外部から自分のマシンが狙われて、システム内部のデータなどを破壊されたり、ほかのサーバを攻撃するための踏み台にされたりする危険性は少なかった。しかし常時接続環境ではそんな悠長なことは言っていられない。最近ではCode Redのように、常にあちこちをスキャンし続けるワームやウイルスもいるので、何の防御策(セキュリティ対策)も用意せずにインターネットに接続するのは、かなり危険な行為であるといえる。マシンの内容が破壊されても文句はいえないであろう。
例えばWindows XP Professional (RC1)では、デフォルトでは以下のような通信ポートが待ち受け状態になっていた。つまり外部からこれらのポートに自由にアクセスできてしまうのである。ここには、ファイル共有のために使われるポート(epmap、netbios-ssn、microsoft-ds)などが列挙されていることが分かるだろう。ユーザー名やパスワードが見破られてしまえば、外部からアクセスされてしまうかもしれない。
C:\>netstat -a |
このような危険な状態がWindows系OSのデフォルト状態だが、たとえ最低限でもよいので、セキュリティ対策を施しておけば外部からの不正なアクセスを未然に(非常に高い確率で)防ぐことができる。単にセキュリティ対策といっても、さまざまな方法が考えられるが、最低限の方策として、外部からの不正なアクセスを防ぐための「パケット・フィルタ機能」は必須であるといってよいだろう。
パケット・フィルタ機能を簡単に言うと、OSI参照モデルでいうところのネットワーク層やトランスポート層のレベルでパケットを通過させたり、ブロックしたりする機能である。このレベルで外部からの不正な侵入を完全にブロック(阻止)することにより、基本的には外部からの意図しないアクセスをすべて防ぐことができ、システムを安全に保つことができる。もちろんメール経由でやってくるウイルス・プログラムなどは(より上位の層で機能しているので)パケット・フィルタでは防ぐことはできないが、それについては別途ウイルスチェック・プログラムなどを併用する必要があるだろう。
従来のWindows 9xやWindows Meでは、OSの標準的な機能としてパケット・フィルタを備えていなかったので、別途セキュリティ・ソフトウェアやセキュリティ機能を持ったルータなどを購入したりする必要があった。これに対してWindows 2000では、簡単なパケット・フィルタを備えていたので、それを活用することも可能であったが、その設定はかなり面倒であった。本Windows 2000 Insiderフォーラムでも、「常時接続時代のパーソナル・セキュリティ対策」や「Window TIPS:インターネット常時接続時の基本セキュリティ設定」などの記事でその方法について解説しているが、とてもワンクリックですます、というわけにはいかなかった。
これに対してWindows XPでは、後で示すように、チェックボックスを1つオンにするだけで、簡単に有効化できるパケット・フィルタ機能が備わっている。しかも、前出の記事で説明したRRASサービス(Routing and Remote Access Service。パケット・フィルタを含む高度なルーティング機能を提供するためのサービス。RRASについては「常時接続時代のパーソナル・セキュリティ対策(第2回)」を参照のこと)を使うよりも、より実用的なセキュリティ対策を施すことができる。RRASと比べた場合の、Windows XPのファイアウォールの利点は次のとおりである(Windows XPにはRRAS機能も備わっているので、必要ならばRRASを使ってもよい)。
-
設定が簡単
逆にいうと、きめ細かい設定は不可能 -
ダイナミックなフィルタ機能
RRASでは、例えばFTPを使用するために、常にあるポートからのフィルタを空けておかなければならなかったが、XPのファイアウォールでは自動的にFTP使用時だけオープンになる -
ログを残すことができる
RRASではこれは不可能だった。ログにより、敵(侵入者)の手口などを知ることができる
なお、このファイアウォール機能とRRAS機能は排他的なものではないので、VPNやルーティングといったRRAS本来の機能も同時に使用することができる。ただしVPN接続にファイアウォール機能を適用すると、VPN経由のファイル共有サービスなどもブロックされてしまうので、ファイアウォール機能はインターネットに直接接続されているインターフェイスにのみ適用するのが正しい使い方だろう。
ファイアウォール機能を使う
Windows XPのファイアウォール機能を有効にするには、[スタート]メニューから[ネットワーク接続]の設定ダイアログを起動し、ファイアウォールで保護したいインターフェイスを選択して[プロパティ]属性の設定を行う。イーサネット・カードのようなネットワーク・インターフェイス・カードだけでなく、モデムやISDN用のTAなどのダイヤルアップ接続の場合でも有効にすることができるので、インターネットに直接接続している場合は、ぜひとも有効にしておきたい。たとえ短時間しかインターネットに接続しない場合でも、常に外部からの侵入の危険性があるからだ。
 |
|||||||||
| ファイアウォールの設定 | |||||||||
| ファイアウォールを有効にするには、有効にしたい「ネットワーク・インターフェイス」(ネットワーク・カードやモデムなど)を選んで、[プロパティ]メニューを起動する。 | |||||||||
|
ファイアウォールを設定するには、各接続アイコンを右クリックして[プロパティ]を表示してもよいが、Windows XPでは、各フォルダごとに、「タスク」という、ユーザーの作業を手助けするためのメニューが左側のペインに表示されるようになっているので、ここから[この接続の設定の変更]タスクを選んでもよい。
ネットワーク接続のアイコンから[プロパティ]を選んで[詳細]タブをクリックすると、ファイアウォールの設定ダイアログが現れる。もしシステムにネットワーク・インターフェイスが2つ以上装備されていると(イーサネットとダイヤルアップ接続のように、異なる種類のインターフェイスでもよい)、ここには「インターネット接続ファイアウォール(ICF)」のほかに、「インターネット接続の共有(ICS)」という表示も現れるが、ファイアウォールの設定は、インターネット接続の共有(ICS)とは独立して行うことになるので、特に気にしなくてもよい。基本的には、インターネットに直接接続しているインターフェイスでのみ、このファイアウォールの設定を行っておけばよい。例えばLAN内のマシンであっても、インターネットへ直接ダイヤルアップするようなケースでは、そのダイヤルアップインターフェイスに対してファイアウォールの設定を行う。
ファイアウォール機能を有効にするには、このチェックボックスをオンにするだけであり、ほかには特に設定する必要はない。たったこれだけで、最低限のセキュリティが確保できるのは、Windows XPの大きなメリットといえる。ファイアウォールの動作としては、基本的にはインターネットへ向けて発信される通信(Windows XPからインターネット側へ向かって発信されるTCP/UDPの通信)はそのまま通過し、逆方向からの接続要求はデフォルトではすべてブロックされる。さらに例えばFTPのように、逆方向の通信が必要な場合は(FTPでは、制御用コネクションのほかに、データ転送用コネクションも使っている)、FTPの通信が有効な間だけダイナミックに(FTPサーバ側からの)2番目のコネクションが通過するようになっている(どのようなアプリケーションがサポートされているかは特にまだドキュメント化されていないようなので不明。多数のさまざまなコネクションを使う複雑なアプリケーションではうまく動かず、後述のサービスの公開機能などを併用する必要があるかも知れない)。
ただしこのファイアウォールは、あくまでも単なるパケット・フィルタ機能しか持っておらず、ウイルスチェック機能などは含まれていない。だから市販のファイアウォール/セキュリティ・ソフトウェアをもう導入しなくてもよいというわけではないので、注意されたい。
 |
|||||||||
 |
|||||||||
| ファイアウォールを有効にする | |||||||||
|
基本的には、このチェックボックスをオンにするだけでよいのだが、アクセスログを記録したり、サービスの公開などを行ったりするためには、以下のように、より詳細な設定が必要となる。
 |
| INDEX | ||
| [Windows XPの正体] 実験/実証によって探るWindows XPの真実の姿 | ||
| 常時接続でも安心のファイアウォール機能 | ||
 |
1.ファイアウォール機能を有効にする | |
| 2.サービスの公開 | ||
| 3.外部からの不正アクセスを検出可能にするファイアウォールのログ | ||
 |
||
 |
「Windows XPの正体」 |
ホワイトペーパー(TechTargetジャパン)
- 第207話 究極の人事システム (2010/2/9)
部長、わが人事部が開発した究極の人事評価システムがついに完成しました! これで不要な社員が一発で分かります! - WindowsTIPS (2010/2/5)
− netshコマンドでTCP/IPのパラメータを設定する
− Virtual PC 2007の共有NATで利用可能なアドレス範囲
− スタンバイ復帰でパスワード入力を要求されないように - 仮想環境でActive Directoryを利用する (2010/2/4)
仮想環境にADをインストールすれば、自由にActive Directoryドメイン・ネットワークを構築して実験できる - 第206話 バナー広告案 (2010/2/2)
いまどきWebマーケティングが不可欠なのは分かるが、強烈な競合に並べてバナーなんか出して、勝ち目はあるのか?
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 企業の仮想化に足りない“発想”とは? 仮想化運用管理のキモは意外なところに! New! |
| ◆ | 操作もマニュアルも分かりやすい! ユーザー視点で開発されたPC管理ツール New! |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | セキュリティを知り尽くす上野氏が登壇! @ITメールソリューションLive! in Tokyo |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く |
| ◆ | OSSで手間も時間も、障害も減った―― 「マピオンの事例」オープンソース活用法 |
| ◆ | 「ノートPCの持ち出し禁止」で大丈夫? 情報漏えいを防ぐ管理手法とインフラは? |
| ◆ | 1日の処理を1秒に――MySQLの達人が語る 「コスト削減」できるチューニング |
| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
| ◆ | 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| ◆ | @IT主催セミナーで語られた、「担当者に 求められるセキュリティ対策」をレポート |
| ◆ | @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。