Broadband Watch logo
バックナンバー
第76回:これさえあれば外出中も安心! 携帯電話で自宅の様子を確認できる「EZ de DIONモニター」
[2003/10/28]
第75回:無線LAN運用のカギはチャネルに有り 干渉を避けるための設定方法を探る
[2003/10/21]
第74回:これからの情報発信の本命になるか? blogの魅力を探る
[2003/10/14]
第73回:デュアルバンド対応&機能強化で巻き返しを図るアイ・オー・データ機器「WN-AG/BBR」
[2003/10/07]
第72回:低価格路線で変わるプロバイダーのあり方
[2003/09/30]
第71回:インターネット経由でのWakeup On LANに挑戦
[2003/09/16]
第70回:Yahoo! BB 26M+無線LANパックは実用的か?
[2003/09/09]
第69回:アッカ・ネットワークスの26Mbps ADSL開通! ~他のADSL事業者との違いが明確に~
[2003/09/02]
第68回:イー・アクセスのADSLプラスIIでAnnexC/Iの違いを比較
[2003/08/19]
第67回:WPAで無線LANはどう変わるのか? ~その2 実際にWPAの利用と問題点~
[2003/08/12]
第66回:WPAで無線LANはどう変わるのか? ~その1 WEPの弱点とWPAのしくみ~
[2003/08/05]
第65回:Yahoo! BB 26Mを再検証 ~約2Mbpsの速度向上を確認~
[2003/07/29]
第64回:Yahoo! BB 26M速攻レビュー
~ダブルスペクトラムの効果はいかに?~
[2003/07/22]
第63回:エレコム LD-WLS54AG/APが実現するデュアルバンド同時通信環境
[2003/07/15]
第62回:長い沈黙を破って登場した新Atermシリーズ ~AtermWR7600Hでトリプルワイヤレスは本格化するか?~
[2003/07/08]
第61回:ついにやってきた20Mbps超ADSL時代 ~24/26Mbps ADSLの全体像を考察する~
[2003/07/01]
第60回:アクセスポイント間通信でネット家電の無線化に挑戦
[2003/06/24]
第59回:リビングのテレビでお手軽Webブラウジング パナソニック「Tナビ」の実用度はいかに?
[2003/06/17]
第58回:モデル追加されたメルコ LinkStation 静音化対策&機能追加でリベンジなるか?
[2003/06/10]
第57回:ノートPCの無線LAN環境を考える すでに802.11gに対応した機種も……
[2003/06/03]
第56回:MPEG2やDivXも家庭用テレビで再生可能 「Play@TV」で快適なテレビ生活ができるか?
[2003/05/27]
第55回:PHSと無線LANの一発切替ツールが登場 b-mobileはモバイル通信の救世主となるか?
[2003/05/20]
第54回:待望の802.11a/gデュアルバンド対応無線LAN アイ・オー「WN-G54/BBR-S」の完成度はいかに?
[2003/05/13]
第53回:HDD&DVDビデオレコーダーをネットワーク対応に パナソニック ブロードバンドレシーバーを試す
[2003/05/06]
第52回:デスクトップPCもワイヤレス化したい!エレコム LD-WL5411/PCIを試す
[2003/04/22]
第51回:IP電話は普及するのか? VoIPサービスの現状と今後を考える
[2003/04/15]
第50回:IEEE 802.11gに登場した新たな選択肢 corega WLAP-54GT Setを試す
[2003/04/08]
第49回:こんなにも多機能になったプリントサーバー 使いやすく進化した2製品を試す
[2003/03/25]
第48回:汚名返上を目指すドラフト版IEEE 802.11g 新ファームウェアでメルコWBR-G54とLINKSYS WRT54Gを試す
[2003/03/18]
第47回:実力を発揮するのはこれから? ソニー ブロードバンドAVルータに隠された謎を解けるか
[2003/03/11]
第46回:ハードディスクもネットワークで増設する時代に メルコ LinkStation HD-80LANを試す
[2003/03/04]
第45回:ブロードバンドはどこを目指すのか? 混迷するADSL
[2003/02/25]
第44回:5,000円でも機能は十分? 低価格ルータ3機種を比較
[2003/02/18]
第43回:祝・FTTH2回線開通~BフレッツとUSEN BROAD-GATE 01を比較する
[2003/02/04]
第42回:リンクシスの意欲作~802.11g対応無線LANルータ Wireless-Gを試す
[2003/01/21]
第41回:新環境でADSL 3回線を比較
[2003/01/14]
第40回:どうする? どうなる? 引越に伴うADSLの移設
[2003/01/07]
第39回:12Mbps ADSLの最新の動向を事業者に聞く ~イー・アクセス編~
[2002/12/24]
第38回:フレッツ・ADSL モア開通 ~NTT東西の12Mbpsの実力はいかに?~
[2002/12/17]
第37回:12Mbps ADSLの最新の動向を事業者に聞く ~アッカ・ネットワークス編~
[2002/12/10]
第36回:大幅に進化したIEEE 802.11aチップセット アイコム SL-5000を試す
[2002/12/03]
第35回:待望の802.11a対応ワイヤレスLANコンバーター ソニー PCWA-DE50を試す
[2002/11/26]
第34回:常時接続環境でストリーム配信に挑戦 BROAD STREAM TSR-MS4をテスト
[2002/11/19]
第33回:アッカ・ネットワークスの12Mbps ADSL開通 オーバーラップの効果は如何に?
[2002/11/12]
第32回:低価格化が進むIEEE 802.11b対応無線LANルータ NECアクセステクニカ「WARPSTARΔ WB7000H」を試す
[2002/11/05]
第31回:インターネット経由でテレビが見たい! 「INFOCITY ドコデモTV」を試す
[2002/10/29]
第30回:第2世代チップで普及へ弾みを付けるIEEE 802.11a Atheros Communicationsインタビュー
[2002/10/22]
第29回:PPPoE 2セッション同時接続可能になったフレッツ・ADSLを検証
[2002/10/08]
第28回:ホットスポットをどこまで便利に使えるか? ソースネクストの「どこでも無線LAN」を試す
[2002/10/01]
第27回:フレッツ・ADSL モアで何が変わるのか? NTT東日本インタビュー
[2002/09/24]
第26回:単体製品へと回帰するIEEE 802.11b 小型アクセスポイント3機種を試す
[2002/09/17]
第25回:選択肢が増えてきた802.11a対応製品 NECのAterm WA7500Hを試す
[2002/09/10]
第24回:このままでいいのか? あまりに違うルータのパッケージ記載内容と実性能
[2002/09/03]
第23回:無線LANのセキュリティソフトは有効!? ソースネクストの「鉄壁 無線LAN」を試す
[2002/08/20]
第22回:Yahoo!BB 12M開通! 他のADSLへの影響はいかに
[2002/08/13]
第21回:FREESPOT始めました! メルコの導入キット「FS-01」を試す
[2002/08/06]
第20回:これからの無線LANはセキュリティ設定がカギ IEEE 802.11aに対応したアイコム「AP-120B」を試す
[2002/07/30]
第19回:NASの実力はいかに? アイ・オー・データの「HDA-i120G/LAN」を試す
[2002/07/23]
第18回:ADSL 12Mタイプの方式乱立で混迷の時代となるか?
[2002/07/16]
第17回:NETWORLD+INTEROP 2002 TOKYOレポート ようやく見えてきた次世代技術の使い道
[2002/07/09]
第16回:速度だけを強調したルーターはもう古い
[2002/06/25]
第15回:緊急警告!! 今すぐ無線LANのセキュリティを設定せよ
[2002/06/11]
第14回:2回線のADSLを同時接続しスピードアップに挑戦
[2002/05/28]
特別編:USENのHFC通信の詳細について聞く
[2002/05/23]
第13回:イー・アクセスの新ファームウェアを試す
[2002/05/14]
第12回:プレイステーション 2を無線LAN化
[2002/04/30]
特別編:アッカ・ネットワークスに聞く
[2002/04/24]
第11回:フレッツ・ADSLを8Mタイプに移行
[2002/04/16]
第10回:ルータとしての完成度はいまひとつ?!
[2002/04/02]
第9回:安定性向上に効果あり、FBM方式を試す
[2002/03/19]
特別編:アッカ・ネットワークス インタビュー
[2002/03/13]
第8回:アッカの8Mbps ADSLを導入
[2002/03/05]
第7回:UPnP対応ルータで半分だけ解決されるMessenger問題
[2002/02/19]
特別編補足版:近端漏話とカッド構造の密接な関係
[2002/02/15]
第6回:802.11a対応無線LANアクセスポイントを試す
[2002/02/05]
特別編:つながらない!? ADSL 8Mサービスの現状を探る
[2002/01/30]
第5回:ハッキリ言ってくだらないスループット論争
[2002/01/22]
第4回:エレコム LD-WBBR4のWindows Messenger対応ファームを試す
[2002/01/08]
第3回:Windows XPのブロードバンド度をチェック・3
[2001/12/18]
第2回:Windows XPのブロードバンド度をチェック・2
[2001/12/04]
第1回:Windows XPのブロードバンド度をチェック
[2001/11/15]
【Click Here!】

第3回:Windows XPのブロードバンド度をチェック・3


 Windows XP編、最後のテーマとなるのは「インターネット接続ファイアウォール」だ。今やADSLやCATVなどの常時接続環境に欠かせないセキュリティ関連の機能がWindows XPでどこまで実現されているのかが気になるユーザーも多いだろう。その仕組みを説明しながら、メリットおよびデメリットを紹介していこう。


関心の高いセキュリティの話題

Windows XPに標準搭載されるインターネット接続ファイアウォール。設定は接続先のプロパティでチェックボックスをONにするだけと簡単。ネットワークセットアップウィザードなどを利用した場合も自動的に構成される

 最近、身の回りの友人からセキュリティ関連の話題について相談されることが多い。「ADSLを導入したのだが、セキュリティはどうすればいいのか?」、「セキュリティのためにルータを買おうと思うんだけど何がいい?」などといった具合だ。

 このような相談に対して、筆者はとりあえずWindows XPの「インターネット接続ファイアウォール(ICF)」の使用を薦めることにしている。友人の多くはインターネットに接続するPCが1台のみという環境が多いため、OSの機能のみで実現できるコストの低さ、設定の容易さなどを考えると、これだけでも十分にセキュリティを確保できると考えられるからだ。

 複数台のPCをインターネットに接続する必要があるため、ルータを導入した方が効率的なケース、さらに高いセキュリティを確保する必要があるケースとなれば話は別だが、通常はインターネット接続ファイアウォールだけでも必要最低限のセキュリティを確保することはできるのだ。



ファイアウォールの基本的な仕組み

 インターネット接続ファイアウォールの仕組みを理解するためには、ファイアウォール自体の仕組みをある程度理解しておく必要がある。

 ファイアウォールを実現する機能として、もっともオーソドックスな機能は静的なパケットフィルタリングだ。これはインターネットとLANの間のパケットの流れを監視し、一定のルールに基づいてパケットの通過の可否を決めるというもの。あらかじめ、どのようなパケットを通過させるかというルールをファイアウォール側で定義しておき、これに基づいてパケットのヘッダ情報に含まれる宛先IP、宛先ポート番号、発信元IP、発信元ポート番号、各種フラグなどを検査しながら、最終的に通過させるか、させないかを判断する。ひと昔前のルータなどもこの機能によってセキュリティを確保していた。

 しかし、この静的なフィルタリングは運用が非常に難しいという欠点を持っていた。フィルタリングテーブルを手動で管理しなければならないおかげで、どのパケットを通過、拒否するのかをすべて自分で判断しなければならないわけだ。外部からの攻撃を防ぐため、また逆に特定のネットワークアプリケーションを利用するために、フィルタリングテーブルと格闘したユーザーも多かったことだろう。アプリケーションを利用するために開けたポートが逆に攻撃の対象になるなどというケースも多かった。

 そこで登場したのが、現在発売されている多くのルータに採用されているステートフルパケットインスペクションだ。基本的な仕組みはパケットフィルタリングと同じだが、TCPヘッダまでしか判断しなかった静的なパケットフィルタリングと異なり、パケットのデータ部の内容と宛先や方向までを監視することが可能となっており、セッションの状態やアプリケーションの状態を監視しながら、パケット通過の可否を判断可能となっている。

 これにより、基本的に外部からの通信をすべて遮断しながら、LAN側から発信されたパケットに対応する通信だけを動的に通過させることが可能となっている。具体的には、LAN側から発信されたすべてのトラフィックを通信テーブルに記録し、外部からの通信がこのテーブルに一致する場合のみLAN側への通過させ、通信が終わるまで(または一定時間など)パケットを転送するという仕組みになる。このため、外部からの不正なアクセスをすべて遮断するという高いセキュリティを備えながら、ネットワークゲームなど動的にポートを変化させるようなものに対しても柔軟に対応できるようになっている。



ルータとほぼ同等のセキュリティを確保可能

 現在発売されいてるほどんどのルータは、このステートフルパケットインスペクション(ステートフルパケットフィルタ、ダイナミックフィルタリングとも言う)によってセキュリティが確保されている。そして、Windows XPのインターネット接続ファイアウォールもまさにこれと同じステートフルパケットインスペクションだ。

 つまり、インターネット接続ファイアウォールは、現在発売されているブロードバンドルータとほぼ同程度のセキュリティを確保することが可能ということになる。もちろん、NATによるアドレス変換を併用することでLAN側のプライベートIPアドレスを外部から隠せるようになっている上、逆に外部からの接続を許可したいポートを手動で開いておくなどの設定も可能となっている。しかも、OS標準の機能であるため動作が軽い。接続先のプロパティでチェックボックスをひとつONにするという簡単な設定でありながら、個人レベルのファイアウォールとしては比較的、完成度の高いものであるのだ。

詳細設定を行なうことで、外部からのパケットを通過させることも可能。通過させたいサービスを選んでチェックを付けるだけと簡単だ。ポート番号を指定して、任意のポートを開くこともできる ICMPも標準で拒否されるように設定されている。これによりPINGやTRACERTなどのアプリケーションに対しても応答しないようになる

 ただし、この機能は、前述したようにADSLモデムやケーブルモデムがPCに直接接続されている環境でないと使う意味がない。たとえば、すでにルータを利用している環境で、さらにインターネット接続ファイアウォールを設定すると、二重にパケットの検査やNATによるアドレス変化が行なわれるという非効率的な環境になる。すでにルータである程度のセキュリティが確保されているのだから、同じ仕組みで二重にセキュリティを確保しても、転送速度が落ちるなどの弊害があるだけでほとんど意味はないだろう。

 また、NICに対してインターネット接続ファイアウォールを設定すると、LAN上のPCからのアクセス要求を不正なアクセスとして拒否してしまい、ファイル共有などがうまくできなくなることもあるので注意したい。ただし、これを逆手に取ると、CATVインターネットのようにプライベートIPアドレスが割りあてられる環境でのセキュリティを確保することも可能となる。



インターネット接続ファイアウォールの欠点

インターネット接続ファイアウォールのログ設定。定期的にログを参照するように心がけたい

 このように比較的高度な機能を備えたインターネット接続ファイアウォールだが、これによって完全なセキュリティが確保できるわけではない。インターネット側からの攻撃方法が多彩になっている現在、特定の攻撃に対しては防御できない可能性がある。

 代表的なのはトロイの木馬のような攻撃だ。たとえば、メールなどでトロイの木馬タイプの悪質なプログラムがPCに入り込むと、そのプログラムが外部に対して通信セッションを開き、そのセッションを利用して外部からの侵入が可能になってしまう。LAN側からの通信は通過させるというステートフルパケットインスペクションの仕組みでは、この手のプログラムには対抗できないわけだ。

 また、市販のルータや個人向けファイアウォールソフトのように攻撃があったことをユーザーに知らせる機能なども備えていない。インターネット接続ファイアウォールでもログを取得することは可能だが、ユーザーが積極的にログをチェックしなければ、攻撃があったことすら把握できないわけだ。さらに、個人向けのファイアウォールではパスワードやクレジットカードの番号などをあらかじめ登録しておくことで、これらの情報が外部に漏れることを防止する機能(インターネット側に送信されるときにアラートを表示したり、自動的に防止する)が備えられているが、このような付加機能もインターネット接続ファイアウォールには存在しない。



最終的にはユーザーの意識が大切

 たしかにインターネット接続ファイアウォールは、OS標準の機能でルータと同等のセキュリティ機能を実現できるという手軽かつ完成度の高い機能だ。しかし、あくまでも最低限のセキュリティを確保するものと割り切るべきだろう。世の中に万全のセキュリティなど存在しない。これはルータを導入した場合、市販の個人向けファイアウォールソフトを導入した場合も同じだ。ソフトウェアやハードウェアを導入しただけで万全なセキュリティが確保できるというものではないのだ。ファイアウォールの導入によって安心してしまうのではなく、結局のところは、常に最新のセキュリティ情報を入手するように努力するというユーザーの意識が大切となるわけだ。

(2001/12/18 清水理史)

□Windows XP製品情報(マイクロソフト)
http://www.microsoft.com/japan/windowsxp/
□フレッツサービス情報(NTT東日本)
http://www.ntt-east.co.jp/flets/

清水理史
 製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できるWindows XP 基本編」ほか多数の著書がある。
Broadband Watch ホームページ
Copyright (c) 2001 impress corporation All rights reserved.