ISP （プロバイダ） により異なるセキュリティについて

ISP（ Internet Serves Provider ） とは、インターネット接続サービスを提供する通信事業者の事で、家庭 （LAN） から インターネット（WAN） への橋渡しを行っています。具体的には、モデムから先に接続されたケーブルは、WAN に属します。

提供される回線種別は様々で、 xDSL（電話線）や光ファイバー、ダイアルアップ（電話回線）、無線、衛星通信、ケーブルTV 回線など事業者により異なります。

一般家庭におけるネットワークイメージ図.

一般家庭、SOHO 、オフィスなど ISP （インターネット 接続代行会社）を利用したインターネットに接続された最もオーソドックスなネットワーク環境です。

"一般家庭 → ISP" と "ISP → インターネット"

一般家庭から ISP までは、WAN による接続ですが、実際には ISP に所属する組織内ネットワークと考えた方が自然です。つまり、ISP から インターネットへの WAN とは求められるセキュリティ対策は異なります。

具体例を挙げると、ISP が提供するメールサーバへの接続は、※盗聴、改ざんのリスクは少なく暗号化は必要ありませんが、ホスティングサービス（レンタルサーバ）のメールサーバへ接続する場合は、インターネットを通るため暗号化による対策が必要となります。

また、自宅から ISP 間は、有線で結ばれているため一般的に盗聴、改ざんの心配はありませんが、ISP によってはセキュリティ上、問題のあるネットワークを提供する ISP も存在します。

無線LAN の普及により安全とはいえなくなった
参照 => 無線LAN に求められる二通りのセキュリティ対策

注意すべき ISP.

ISP の中には、セキュリティ上問題のあるネットワークを提供する事業者が存在します。特にケーブルTV インターネットなど遅れてインターネット事業に参入した ISP に多いように思います。

チェックポイントは以下の通りです。

DHCP サーバ / プライベートIP による接続

DHCP サーバやプライベートIPアドレスを提供する ISP に問題があると言う訳ではなく、このような接続環境を提供する ISP に多い事例です。ケーブルTV や Yahoo! BB が提供するインターネット接続サービスは、DHCP サーバによりネットワーク接続に必要な IP アドレスを取得します。

ケーブルテレビ局が提供するインターネットサービスは、ケーブルテレビ局が提供するケーブルを使用してインターネットサービスを提供しており、同一ノードに存在する加入者は、LAN 状態で接続されている状態にあります。

ISP が使用するネットワーク機器によっては、LAN 内のパケットが手元のモデムに届くため、ISP加入者の通信内容を自由に盗聴できてしまいます。該当するかどうかの判断は一般の方には難しいです。

実際、Yahoo! BB のADSL サービスは、サービス開始当初、このようなネットワークを提供しており、サービス開始当初、知り合いの所で自分の目で確認しました。現在はどうかわかりません。（知らないパソコンの共有ディレクトリが丸見えだった・・・ありえね）

参照 => DHCP誤認問題から考える，Yahoo! BB網のセキュリティ

クラッカーにしてみれば、興味のそそられる ISP です。自分も掲示板でリスクを説明してました。

解約すべき ISP

特に新しく ISP 事業に参入した事業者は、古くからダイアルアップ接続でインターネット接続サービスを提供してきた電話会社のインターネットサービスに比べて技術力が伴っていない事業者が存在します。つまり、質の悪いネットワークを提供しています。

他に利用可能な ISP がある場合で、如何に該当するケースは乗換をお勧めします。

• ルーターの使用を禁止している ISP
  • ルーターは不正侵入の観点でセキュリティ上、重要な役割を持ちます。またパソコンから漏れる余計なパケットをWAN 側へ出て行かないようにしてくれます。
  • ISP が提供するモデムが持つ帯域以上は使うことはないため、ルーターを利用して同時にインターネットを行っても帯域は分配されるだけなので ISP に迷惑はかかりません。ですが、接続台数に併せて利用料を請求したり、ルーターの利用を禁止している事業者は問題があります。
• ファイルやプリンタ共有の利用を止めるように推奨しているISP
  • 論外です。その上、ルーターの使用を禁止している場合は最悪です。Windows 98 や Windows 2000 など、ファイアウォールの仕組みを持たない OS を使用する場合、市販ファイアウォールソフトの導入は必須です。Windows XP の場合にも市販ファイアウォールソフトが必要になります。放置すれば、パソコンを乗っ取られる危険があります。他に選択肢があれば解約すべきです。

社員に自宅からメールなど会社のネットワークサービスを許可する場合、社員宅のパソコンが狙われると情報漏洩に直結する可能性もあります。

ご注意

HUB で複数のPC に IP アドレスを割り振ってしまう ISP もあります。１契約につき一つの IP アドレスが原則なのでこの場合は、複数のパソコンを利用する場合でも契約違反になります。誤解のないようにして下さい。

一般の方は、HUB と ルーターの区別も難しい様です。以下で説明を追加しました。

参照 => ルーター導入アドバイス ～ ネットワーク機器選びのポイント

おすすめのISPは

古くから電話回線でインターネット接続サービスを提供してきた NTT や ODN 、KDDI では PPPoE や PPPoA でIP網に接続します。選択肢があれば、このような ISP の方が安心できます。

また、ルーター一体型モデムを提供するISP がお勧めです。NTT のフレッツADSL では、NTT からモデムのみを購入するかレンタルする事になります。加入者から直接アクセスされる事はありませんがモデムとパソコンを直接接続すると、このようなセキュリティリスクが発生します。

個人的におすすめできる ISP は次のページで紹介を予定しています。

ISP が提供するセキュリティ 機能について

IPS が提供するセキュリティ機能についてです。これらの点に注意して ISP を選ぶ際に参考にして下さい。

• ウイルスメール・迷惑メール対策
  • ISP が提供するメールサーバーへ届くメールを事前にウイルスチェック、スパムチェックを行いユーザーが受信する前に破棄します。アンチウイルス エンジンによっては検出できるウイルスに差があるため安全が確約できる訳ではないので注意が必要です。
  • それぞれのパソコンでメールに対応したアンチウイルスソフトを導入する事で安全性は高める事が出来ます。
• 上流ネットワークでのポート遮断
  • プロバイダ側でポートを遮断しているケースがあります。これは外部からの不正アクセスを防止する目的で上位回線でポートを遮断します。そのため、特定のネットワークゲームやサービスが利用できないなどの制約があります。ポートを公開してサーバーを公開する事も出来ません。
  • ユーザの利便性が低下するため、個人的にはお勧めできません。ルーターやパーソナルファイアウォールで手前で制限する方が良いと思います。
• Winny 対策
  • Winny による情報流出が後を絶ちませんが、Winny は特定のポートを使用しない、通信を暗号化するためポート規制による通信の遮断が行えません。ISP の中には、増え続けるトラフィックと情報漏洩に対応するため Winny の通信パターンを解析しプロバイダ側で通信を遮断する所も出てきました。
  • Winny などファイアウォールを潜り抜ける P2P ソフトによる対策は、企業ネットワークにおいても通信規制が難しく、個人のネットワーク環境では不可能といって指しさえありません。そのため、ISPが行うこれらの対策は情報漏洩の観点で非常に有効な対策ですが、"通信の秘密"（法律）に抵触する恐れがあり ISP は強制することは出来ないようです。
• アダルトサイト・有害サイトへの規制
  • アダルトサイトや暴力的な有害なサイトへの通信を規制するサービスを提供する ISP もあります。 某掲示板 のように検索エンジンに頻繁にヒットするサイトの中には一般的なキーワードでもアダルトサイトへ誘導したりするサイトも存在します。
  • 小さな子供が検索に使用するキーワードを狙って驚かす悪質なサイトや出会い系サイトなど子供が犯罪に巻き込まれるケースもあります。一般家庭においてはポイントとなるサービスだと思います。

その他、セキュリティ対策ソフトウェアが提供される（バンドル）するサービスなど各社差がありますので、セキュリティに自身のもてない方は、これらに注意して ISP を選びから入られると宜しいかと思います。

次のページでエリアの広い お勧めの ISP の紹介を予定しています。

この標題のトップへ　４ / ５