[運用]
常時接続時代のパーソナル・セキュリティ対策
(第1回)

2.セキュリティ対策の必要性

デジタルアドバンテージ
2000/12/23

 このようなNAT/IPマスカレード機能は、ISDNダイヤルアップ・ルータでは標準的に備えているが、Windows 2000ではOSの機能として標準装備されているので、ネットワーク・カードを2枚用意しさえすれば、LAN全体をインターネットへ接続することができる。最近では、CATVやADSLを使ったインターネット常時接続環境に向けて、「ブロードバンド・ルータ」や「ローカル・ルータ」などという名称で、このようなNAT/IPマスカレード機能を組み込んだ小型の専用ルータ機器も販売されているが(安価なものでは3万円程度から)、コスト差を考えると、OSの標準機能でも十分な場合も多いだろう。

 ただしこのような専用機器と比べると、Windows 2000システムを使う場合は、セキュリティ対策についてはユーザー自身で細かく設定する必要がある。もともとWindows 2000はルータ向けに設計されているものではないので、デフォルトでファイアウォール向けの強固なセキュリティ設定が行われているわけではないからだ。だが適切なセキュリティ設定を施せば、Windows 2000でも実用上問題ないレベルにまで安全性を高めることがができる。CATVインターネットは現在急速に普及しつつあるが、デスクトップにあるネットワーク・アイコンをクリックしたら、同じCATVインターネット・ユーザーのマシンの名前が見えたり、その中身を覗くことができたりした、などということもよく聞かれる。笑い話ですめばよいが、最近では、インターネットを利用したオンライン・バンキングやオンライン・トレーディングなど、お金を取り扱う機会も増えてきた。ネットワーク犯罪から身を守るためにも、セキュリティについては常に注意を払っておくようにしたいところだ。

 インターネットに常時接続するということは、逆にいうと、常時外部からの危険にもさらされている、ということでもある。悪意があるかどうかにかかわらず、インターネットでは常にさまざまなスキャンやアタックなどが行われており、何の対策もせずにインターネットにマシンを接続するというのは、実はかなり危険な行為である。例えば、弊社ではNTTのOCNエコノミー回線を使ってインターネットに接続しているが、外部からのポート・スキャン(TCPやUDPで待ち受けしているポートがないかどうかを、順番にスキャンして調べること。いったんポート番号が分かれば、そこから動いているサービスを特定し、そのサービス固有の弱点などを突いて内部に侵入される可能性がある)などは、毎日のように(世界中から)やってきている。今のところ、特にそれ以上の被害(いまどきポート・スキャンぐらいでは被害とは言わないかもしれないが)はないようであるが、いくら用心しても、しすぎるということはないであろう。

Dec 17 09:44:51 gw PP[LEASED] Rejected at IN(12) filter: UDP 207.50.XXX.XXX:137 > 210.YYY.YYY.97:137
Dec 17 09:44:54 gw last message repeated 2 times
Dec 17 09:45:09 gw PP[LEASED] Rejected at IN(12) filter: UDP 207.50.XXX.XXX:137 > 210.YYY.YYY.98:137
Dec 17 09:45:12 gw last message repeated 2 times
Dec 17 09:45:18 gw PP[LEASED] Rejected at IN(12) filter: UDP 207.50.XXX.XXX:137 > 210.YYY.YYY.99:137
Dec 17 09:45:21 gw last message repeated 2 times
Dec 17 09:45:27 gw PP[LEASED] Rejected at IN(12) filter: UDP 207.50.XXX.XXX:137 > 210.YYY.YYY.100:137
Dec 17 09:45:30 gw last message repeated 2 times
Dec 17 09:45:36 gw PP[LEASED] Rejected at IN(12) filter: UDP 207.50.XXX.XXX:137 > 210.YYY.YYY.101:137
Dec 17 09:45:39 gw last message repeated 2 times
Dec 17 09:45:45 gw PP[LEASED] Rejected at IN(12) filter: UDP 207.50.XXX.XXX:137 > 210.YYY.YYY.102:137
Dec 17 09:45:48 gw last message repeated 2 times
Dec 17 09:45:54 gw PP[LEASED] Rejected at IN(12) filter: UDP 207.50.XXX.XXX:137 > 210.YYY.YYY.103:137
Dec 17 09:45:57 gw last message repeated 2 times
インターネットからのポート・スキャンの例
これは、ヤマハのISDNダイヤルアップ・ルータで、ポート・スキャンされた結果をログに取ったもの。このようなポート・スキャンは、毎日のようにやってきている。ここでは、UDPのポート137番について、IPアドレスを1つずつ変えながらスキャンしている。「UDP 207.50.XXX.XXX:137」がスキャン元のIPアドレスとポート番号で、「210.YYY.YYY.YYY:137」がスキャンされている先のIPアドレスとポート番号。このポートは、Windowsのファイル共有などで使われるNBTプロトコルに関するポート。

接続共有使用時のセキュリティ設定

 ひと口にセキュリティ設定といっても、そのポリシー(どのくらいの安全性が必要なのか、どのように運用するのかなどの方針のこと)にはさまざまなものが考えられるので、今回は、Windows 2000 Professionalと、その接続共有機能だけでできる範囲に限ることにする。そして次回の後編では、専用のセキュリティ・ソフトウェアを導入して、より安全な環境を構築することにする。

 今回は、Windows 2000 Professionalだけで実現可能な範囲でセキュリティ設定を行うが、これは最も一般的なユーザー環境を想定してのことである。専用ルータなどが備えるセキュリティ機能と比べると、機能的に劣るのは仕方がないところであろう。Windows 2000だけで可能なセキュリティ対策としては、次のようなものがある。

  • ファイル共有サービスの、インターフェイスごとの許可/不許可
  • 簡易パケット・フィルタリング

 前者は、Windowsネットワークで一般的なファイル/プリンタ共有サービスや、そのクライアント機能を、許可したり、不許可にしたりする機能である。通常は、インターネット側に対してこれらのサービスを提供する必要はないため、外部からはアクセスできないように設定しておく必要がある。

 もう1つのパケット・フィルタリングとは、ポート番号に基づいてネットワーク・パケットを処理したり(通過させたり)、拒否(ブロック)したりする機能である。「簡易」と書いたのは、ルータなどが持っているパケット・フィルタ機能などと比べると、かなり限定的な機能しか持っていないからである。それに、ログを取る機能も持っていないので、どのようなパケットを通過させ、どのようなパケットを拒否したかなどを知ることができない。このあたりが専用ルータとの大きな違いであろう。どのように攻撃されているのかが分からないと、本来はその対策も立てようがないのだが、一般的によく狙われるポートなどがいくつかあるので、ここではそのような点に重点を置いてセキュリティ対策を施すことにする。

 これら以外の機能、たとえばパケットの中を流れるデータに応じて処理を行う、ダイナミックなパケットのフィルタリングや、アプリケーション層レベルでのフィルタリング、ウイルス・チェック機能なども持っていない。これらの機能が欲しければ、専用のセキュリティ・ソフトウェアを導入する必要がある。


 INDEX
  [運用]常時接続時代のパーソナル・セキュリティ対策(第1回)
    1.ネットワークの「接続共有」機能とは
  2.セキュリティ対策の必要性
    3.ネットワーク環境について
    4.セキュリティ対策その1:インターネット側のファイル共有サービスを禁止する
    5.セキュリティ対策その2:NBTを禁止する
    6.セキュリティ対策その3:パケット・フィルタを設定する(1)
    7.セキュリティ対策その3:パケット・フィルタを設定する(2)
    8.セキュリティ対策その3:パケット・フィルタを設定する(3)
    9.セキュリティ対策その3:パケット・フィルタを設定する(4)
 
 「運用 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間