【特集】

ブロードバンド時代のセキュリティ入門〜最低限これだけはしておきたい〜

 Bフレッツの開始、Yahoo!BBの登場、各ISPのADSL接続料金の値下げなど最近ブロードバンドが活気付いている。これに伴い「低料金で高速回線に常時接続」というインターネット接続環境の「夢」が実現しつつあるのは、利用者としては嬉しい限りだ。だが喜んでばかりもいられない。常時接続となり「情報のやりとり」「接続時間」が増加すれば増加するほどその分、インターネット上の危険が増すのだ。

 今回の特集では、前回のブロードバンド導入編に引き続き、ブロードバンド常時接続時代に必要なセキュリティー知識入門編を紹介する。

1.セキュリティーの必要性
2.まずは自分のセキュリティーチェックをする
3.実際にセキュリティーソフトを入れてみる
4.ルーターを導入する
5.最後に

セキュリティーの必要性


マイクロソフトのプロダクト セキュリティーページ。リアルタイムでパッチが公開されている
 ブロードバンドを導入することにより広がるインターネットの利用法は多々ある。ブロードバンドコンテンツの配信、大量のデータのダウンロードなど今までは回線環境の悪さから疎まれがちだった部分が一気に改善されることになる。また、オンデマンドビデオシステムやIPテレビ電話など今後の可能性的にも格段の期待が持てることとなった。つまり、インターネットの可能性が格段に大きくなったとも言えるだろう。

 では、なぜ常時接続では通常のダイヤルアップ接続より危険性がますのだろうか?常時接続では、電話番号と同じように恒久的なIPアドレス認識番号がプロバイダーにより振り当てられることになる。これは自分のマシンの電源を落したり、回線を1度切るなどを行なわないと、変わることはない。これにより、いたずら電話と同じ要領でハッカーはあなたのIPアドレスを1度取得すると、何度も侵入の機会をうかがったり、データの盗み出しの機会を伺うことが可能になるのである。又、常時接続であるということ自体が、第三者に対し、自分のインターネット上での存在を確認するチャンスを増加させ、ハッカーに対して、自分のコンピュータの弱点(セキュリティホール)を時間をかけて見つけ出す余裕を与えてしまうことになる。

 またセキュリティーの穴(問題点)は、日常使用しているOS/ソフトの中にも存在している。大多数のユーザーが使用しているWindowsやInternet Explorer(IE)などの多くのソフトは、発売までの限られた時間の中で巨大なプログラムを完全に見直し、不具合がないか確認することは事実上不可能となっている。こうした状況でソフトの発売時に、開発者が予測できなかったセキュリティー上の不具合が、ソフトの公開後に多数のユーザーがさまざまな環境で使っていく内に発見されていく。これがセキュリティーの穴となるのだ。対策としては、各発売元が発行するセキュリティーパッチを導入するしか方法はない。事前に防ぎようのない問題なので、常に自分の使用するソフトの最新情報を自分で確認する必要がある。また、Windowsでは事前にユーザー登録をすることによって、セキュリティーに問題があることが発覚した際は「重要な更新の案内」として、インターネットに接続した際に自動的に知らせる機能があるので、そういったサービスを利用するのも一つの手だ。

 このように、セキュリティーを施していない(対策を行なっていない)状況は「屋外を裸で歩く」ようなものだ。なんの防御もなしに外を歩いていたらどうなるだろう?プライベートを覗かれたり、ストーカーのように尾行されたり、当然襲われることもあり得る。次の章からは、今は自分のセキュリティー状態はどの程度のものなのか?問題がある場合はどうすればいいのか?という問題に触れていく。

マイクロソフト プロダクト セキュリティー 警告サービス 日本語版のご案内
http://www.microsoft.com/japan/technet/security/bulletin.asp

Microsoft Windows Update
http://windowsupdate.microsoft.com/


まずは自分のセキュリティーをチェックする


 セキュリティーの必要性を述べたが、実際に自分のマシンのセキュリティー状況はどのようなものだろうか?何も対策を行なっていない状況は本当に危ないのだろうか?やはり、実際にクラッキングをされたことない(と思っている)方の為に、ここでは自分のセキュリティーをチェックすることができるサイトを紹介しよう。

「Shields Up!」にてテストした結果画面。「Stealth!」と表示されている
米GibsonSerch社が提供する「Shields Up!」
http://grc.com/x/ne.dll?bh0bkyd2

 ここは英語サイトだが、クリックするだけで「知らないうちに自分の情報が漏れていないか」「一般的に良く使用されているが、攻撃等に曝される危険性の高いWindowsのポートのチェック」が行なえる。

 では、実際に行なってみよう。まずTOPページにアクセスし真中左の「Test My Shields」のボタンを押す。すると自分の現在のIPアドレスが表示され、テストが開始される。このテストではインターネットで良く用いられる139番ポートのチェックと、Windows特有の通信システム「NetBIOS」への接続を試みるテストが行なわれている。その後結果が「Your Internet port 139 does not appear to exist!」「Unable to connect with NetBIOS to your computer」と表示されれば合格だ。

 次にTOPページ真中右の「Probe My Ports!」テストを行なう。これは、Windows上に存在している全65,535ポート中、主なインターネットサービスに使用されている10個のポートに対してのみテストが行なわれている。「Probe My Ports!」ボタンと押し暫くすると、テストしたそれぞれのポートに対して「Stealth!」「Close!」「Open!」の表示がされる。「Stealth!」の場合は、ファイアーウォール等で自分のマシンが外界(インターネット上)から隠れている状態。つまり、外からは見えないので「安全」な状態と言える。「Close!」は、ファイアーウォールは設置されていないものの相当なセキュリティーが施されており、そのポートに対して攻撃を受けても大抵は問題ないという状態だ。しかし「Open!」と表示がある場合、そのポートが開いている可能性が高く「ポートスキャン」などのインターネット上でセキュリティーの甘い場所を無作為に探すプログラムによって、セキュリティーの穴を見破られる可能性が高い。早急に対策を講じるべきだ。

「セキュリティー診断所」のページ。4種類のセキュリティーチェックが用意されている
パーソナルセキュリティー研究所提供の「セキュリティー診断所」
http://www.p-sec.net/

 ここは、パーソナルセキュリティー研究所が運営しているサイト。自分のマシンのセキュリティーをチェックできる。「Windows診断」「Java Applet診断」「ActiveXコントロール診断」「ポートスキャン診断」などが行なえる。

 「Windows診断」は、自分のPCがインターネット上からどのように見えているのか?というテストだ。「結果を見る」ボタンを押すと、セキュリティー診断所のサーバーから見た自分のマシンの状態が表示される。ここで「unknown」と表示されれば問題ない。しかし、なんらかの情報が表示された場合はファイルの共有設定などを見直す必要がある。このページの対策個所をチェックしよう。

 「Java Applet診断」「ActiveXコントロール診断」は、Java AppletやActiveXによって悪用される可能性があるかどうかのテストだ。それぞれの診断ボタンを押すと、診断結果がWebに表示される。これらも対策方法は、Webに掲載されている
ので参照していただきたい。

 「ポートスキャン診断」は先ほどの「Shields Up!」とほぼ同様だ。英語ページにアレルギーがある方はこちらでお試しいただきたい。こちらもテスト結果に空ポートが発見された場合は、早急な対策が必要となる。

「ウィルスバスター・オンラインスキャン」のページ。ワンクリックで完了する
トレンドマイクロ社「ウィルスバスター・オンラインスキャン」
http://www.trendmicro.co.jp/hcall/scan.htm

 トレンドマイクロ社が運営するサイト。Web上でウィルスチェックが行なえる。駆除までは行なえないものの、最近蔓延しているウィルスに感染してないか不安だがソフトを持っていない、等の方は是非1度試してみて欲しい。万一ウィルスが発見された場合は、すぐにでもソフトを購入し、駆除する必要がある。

 上記のテストを行なった結果はどうだっただろうか?既にセキュリティーソフト、ファイアーウォールの設置などの対策を施されている方は、特に問題がなかったのではないだろうか。いずれにせよ、これらのテストでセキュリティーの穴が発見された場合はなんらかの対策が必要だ。次の章からは、セキュリティー対策商品などを紹介していく。


実際にセキュリティーソフトを入れてみる


 実際にセキュリティーに問題があることが発覚した場合、具体的にどのような対処がいいのだろうか?一般的に、個人向けセキュリティー商品と呼ばれているものは「パーソナルファイアーウォール」「侵入検知・防御ソフト」と呼ばれているものがある。ここでは、それらのソフトの中から代表的なものをいくつか紹介するので、色々使い勝手を比べながら選んで欲しい。

「ZoneAlarm 2.6」のページ。ここから無料ダウンロードができる
Zone Labs社「ZoneAlarm 2.6」
http://www.zonelabs.com/products/za/

 「ZoneAlarm 2.6」は代表的な個人向けファイアーウォールソフト。なんと言っても個人で使用する場合は無料、という所が大きい。無料で機能的に必要十分ということもあり、基本的には英語ソフトだが日本でも多くの利用者がいる。そのためか「日本語パッチ」もいくつか存在する。日本語パッチをあてれば、ある程度日本語で操作を行することが可能だ。全くファイアーウォールを導入していないユーザーは、是非1度試してみよう。

Zonealarm日本語化パッチページ
http://ryulife.com/net/security/zone2.html



「BlackICE Defender」のヒストリー画面。トラフィックとアタック状況がグラフ化されている
Network ICE社「BlackICE Defender」
http://www.toyo.co.jp/security/ids/product/bi_dfndr.html

 「BlackICE Defender」は、インターネット接続した際の不正侵入を検知、遮断する侵入検知・防御ソフト。グラフなどで現在のトラフィック情報や、アタックの危険度なども表示される。ファイアーウォール機能も持ち合わせており、個人向けセキュリティーソフトとしては満足のいく性能だと言える。実際にインストールしてみると、アタックを試みようとしたIPアドレスや、アタックを行なった者が実際に行なった行動やその対策方法などが表示され、初心者にも非常に分かりやすいシステムとなっている。有料ソフトだが1ヶ月のお試し期間があるので、まだセキュリティーソフトを導入してない方は、1度導入して自分が実際にアタックを受けているかどうかを調べてみるといいだろう。また、導入後前述の「Shields Up!」などを試してみて本当にセキュリティーに問題がないかチェックするのもよいだろう。



テクノブレスト社のページ。「WinGate 4.0」以外のバージョン「WinGate home」なども販売されている
テクノブレスト株式会社「WinGate 4.0」
http://www.technogroup.co.jp/wingate/

 「WinGate 4.0」は、プロキシー機能をベースにファイアーウォールも構築可能なソフト。今までのバージョンで備えられていた基本的に必要な機能に加え「NAT機能」「ブリッジ機能」「カスタムファイアーウォール機能」が追加された。これらの機能を簡単に紹介しよう。「NAT機能」は、プライベートネットワーク(いわゆる家庭内のLANなど、モデム・ルーターなどの内側にあるネットワーク)からインターネットを共有するための機能。ルーターなどによく搭載されている。「ブリッジ機能」はLANとワイヤレスなど複数の技術での接続を可能にする機能。「カスタムファイアーウォール機能」は低、中、高のファイアウォール強度などが設定できる機能。上位バージョンではこれに加えて、ルーティング、ファイアーウォール攻撃、ポート セキュリティなどの機能も加えられている。

こちらも、使用期間付きでダウンロード可能なので、試してみるとよいだろう。価格は3ユーザーまで6,000円〜


ルーターを導入する


 上記のようにセキュリティーソフトや簡易ファイアーウォールを導入したことにより「裸で屋外を歩いている」状態から「洋服を着て屋外を歩いている」状態までいったと言える。少なくとも何も施していない状況よりは、数段セキュリティーがあがっていると言えよう。しかし、セキュリティーに完全はない。そこで、ブロードバンドモデムと自分のマシンの間にセキュリティー機能の付いた「ルーター」を導入し、更なる安全を目指してみよう。

 そもそも、ルーターとはどのようなものだろうか?ルータとは「ルーティングを行なうデバイス」である。ルーティングとは経路制御のことであり、複数のネットワーク間で通信する際に、目的のネットワークに正しく到達できるように制御することが本来の役割である。従って、通常の家庭では複数のネットワークを導入している例も少ないと思われるので、必ず必要なものではない。価格も1万円程度から数十万円ものまで多種多様だ。機種によっては、ほとんどルーティング機能しか備わってないものもある。また、ADSLではPPPoEというプロトコルを利用しているプロバイダーとそうでないプロバイダーも存在する。それに加え、最近までブロードバンドルーターは余り種類が豊富でなく、プロバイダーによっては半強制的にプロバイダー推薦のルーターを使用させるケースもあり、さらには回線との相性の問題もある。ここでは、上記を踏まえた上で特に評価の高いルーターを紹介する。

コレガ社「BAR SW-4P」
http://www.corega.co.jp/product/wireless/barsw4p.htm

「BAR SW-4P」の製品紹介ページ。機能説明などがされている
 最近本誌記者宅にも導入されたYahoo!BBでは、現在のところレンタルでルーターを貸し出しておらず、モデムタイプのみとなっている。また、推奨ルーターの発表もされていない。このルーター「BAR SW-4P」はいくつかの掲示板等でYahoo!BBで使用できると報告されているルーターだ。このルーターは、実勢価格が1万5,000円程度なのが魅力の1つとなっている。機能的には「スイッチングHUB機能」「NAT/IPマスカレード機能」「DHCPクライアント/サーバー機能」「ファイアーウォール機能」「PPPoE対応」と主な必要な機能を備えていると言える。機能を一通り説明すると「スイッチングHUB機能」とは、HUB機能を用いて複数台でLANを共有する機能。また「NAT/IPマスカレード機能」とは、2つの異なるネットワーク(WAN/LAN)間で、IPアドレスやTCP/UDPのポート番号を変換して利用する機能だ。具体的には、プロバイダーから与えられるグローバルIP(通常だと1個)をLAN側で複数のプライベートIPに変換して使用する、というものだ。これは、ブロードバンドルーター必須の機能と言える。「DHCPクライアント機能」は、DHCPサーバーが割り当てたIPを自動取得する機能。PPPoEと同様の機能だ。「DHCPサーバー機能」は、DHCP機能により各クライアントマシンへ自動的にIPアドレスを割り当てる機能。こちらもIPマスカレード機能と同様にブロードバンドルーター必須の機能だ。「ファイアーウォール機能」は前述の通り、大抵のルーターは「パケットフィルタリング機能」などを備えている。この機能は、ルーターを通過する全てのパケットを許可するのではなく、任意に設定したパケットだけを通過させたり禁止することができる機能。ファイアーウォール機能の一部でもある。

 上位機種となると、これらの機能以外にも多数の機能を搭載しているものがあるが、一般家庭で使用する場合は、上記のような機能で必要十分だろう。そのような意味ではこの「BAR SW-4P」は、比較的安価でこれらの機能を搭載しているお手頃な機種の1つと言える。

メルコ社「WLAR-L11-L」
http://buffalo.melcoinc.co.jp/products/catalog/item/w/wlar-l11-l/index.html

 こちらは、先ほどの「BAR SW-4P」とほぼ同性能のブロードバンドルーターの無線LAN対応版。値段は実勢価格で3万円程度とほぼ倍だが、マンションなどで配線に苦心している方には是非お勧めだ。無線LAN機能として11MbpsのDS-SS方式を採用している。機能的にも「BAR SW-4P」と同じ機能を備えている。

ブレーン社「ZyWALL10」
http://www.brain-tokyo.com/ZyWALL10/

 上記のルーターなどの機能に加え、セキュリティー機能を充実させているのがこのモデルの特徴だ。ファイアウォール機能を搭載し、ステートフル・インスペクション方式のフィルタリング機能、DoS攻撃の検出および防止、メールによるリアルタイム警告、レポートおよびログによるトラフィックの状態表示機能など、この価格帯のルーターの中ではかなりセキュリティー性能を充実させている。SOHOなど家庭で重要な情報を扱うユーザー向けだ。定価49,800円

 これらのルーターを導入することにより得られる「NAT/IPマスカレード機能」「パケットフィルタリング機能」は、前述のセキュリティーソフトなどと並び安全面で大きな役割を担ってくれる。また、これらのルーターは設定をWebブラウザー上でできるものが大半であり、設定も初心者に分かりやすいものが多い。ルーターのセキュリティー機能をキチンと設定しているので、セキュリティーソフトを導入していない、というユーザーも居るのではないだろうか?これから複数台でのインターネット接続を考えている方や、家族で利用している方はご検討してみよう。なお、各ブロードバンド・ルーターの比較には以下のサイトも役立ちそうだ。

ブロードバンド・ルータ徹底攻略ガイド
http://www.atmarkit.co.jp/fpc/special/bbrouter_desc/

最後に


 今回の特集は特集「ブロードバンド導入前/導入後に見ておきたいお役立ちサイト」を踏まえてブロードバンド導入初心者向けに、セキュリティー関連ソフトなどを紹介してきた。一つも導入していないユーザーから、もっとハイレベルなセキュリティーを導入している方もいるだろう。しかし、インターネットセキュリティーに安心は無い。先日SSL認証のベリサイン社のTOPページが改ざんされた。セキュリティー関連会社のセキュリティー技術をもってしても、Webページが改ざんされることが実証されてしまったことになる。個人レベルで行なうセキュリティーに、限りがあることは否めない。しかし、常に警戒心をもってインターネットを行なうことや、最新のウィルス定義、セキュリティーパッチの導入など、無料で行なえるセキュリティーも多い。手間を惜しまずこれらを実践していっていただきたい。

改ざんされたことを報告するVerisign社のページ。対策プロジェクトチームを結成すると言う

Verisign社の発表文
http://www.verisign.co.jp/press/alert/security_alertert20010806.html

◎関連記事
ブロードバンド導入前/導入後に見ておきたいお役立ちサイト

(2001/8/13)

[Reported by otsu-j@impress.co.jp]


INTERNET Watchホームページ

INTERNET Watchグループinternet-watch-info@impress.co.jp