インターネットに接続された一般家庭で、導入可能なファイアウォールにルーターを使用する方法があります。ここでは、ルーターにより得られるセキュリティ効果について考えます。
ファイアウォールの種類と仕組みについては、以下で説明していますので先に目を通されることをお勧めします。
参照 => ファイアウォールとは ~ ファイアウォールの働きと種類
ルーターとはネットワーク機器の一つで異なるセグメントのネットワーク接続といったルーティング(転送)を行う装置です。これらはルーター内部に実装されたパケットフィルタリング機能により実現されています。
一般家庭ではインターネットとLAN の橋渡しに利用されていますが、規模の大きなネットワークでは部署ごとに異なるセグメントを接続する装置としても利用されます。
一般家庭におけるルーターの設置場所は、主に LAN と WAN (インターネット) を橋渡しする ゲートウェイ (出入り口)に配置されます。つまり、ISP から割り当てられる グローバル IP アドレス はルーターの WAN ポートに割り当てられます。
これが意味する事は、インターネットに直接露されているのは、ルーターの WAN ポートのみという事であり、LAN 内のパソコンが直接の攻撃対象となる事はありません。
ゲートウェイ で行う パケットフィルタリング型ファイアウォールとなるため、外部からの不正侵入に対して一括してLAN 内の複数のパソコンを守る事が可能になります。
ルーターは、自信のWAN ポートに割り当てられた グローバル IP アドレス を複数のパソコンで共有する役割を担っています。このとき、LAN 内のパソコンの接続要求に対して割り当てれた ローカル IP アドレス と グローバル IP アドレスを変換します。
そのため、外部からLAN 内のパソコンに接続するためには、WAN からの一方的な接続要求に対して同様に変換する必要がありますが、これらのパケットはルーターにより全て破棄されます。そのため、外部からLAN 内のパソコンに侵入する経路が失くなります。
ネットワークを流れるパケットを監視して行う通信規制ですが、セキュリティを考える上で以下の二通りにパケットを分類して考える必要があります。(ルータ内部で行われる処理はこんなに単純ではありません)
インターネット側(WANポート)からの一方的な接続要求に対しては、上記、NAT中継はおろか全てのパケットを遮断するように設定されています。つまり、パケットフィルタリング型のファイアウォールそのものです。全てを禁止にして必要に応じてパケットを通すポリシとなっています。
逆に LAN から出て行くパケットに対しては、全てを許可し必要に応じてパケットを禁止するポリシが提供されています。大抵のルーターは、NetBios などインターネット側に流れては困るパケットを遮断するようになっているため、このようなケースで情報が漏洩する危険性を回避する事が出来ます。
何れもパケットフィルタリングにより実現されています。
ルーターは独立したネットワーク機器であり、特に安価な民生ルーターでは設定できるパケットフィルタリングのルールが少ないという欠点があります。
上記、WAN (インターネット側) → LAN 方向のパケットに関しては、全てを遮断し、サーバー公開やネットワークゲームなど利用する場合、必要に応じてポートを開けば良いため、ルールの数は少なくて済みます。
ルーターでは、LAN → WAN 方向へは基本的に全てを許可して、ファイル共有やプリンタ共有などインターネットでは利用しないポート、または、既知のトロイの木馬が利用するポートなどの一部の通信を遮断するようになっています。
つまり、LAN 側のユーザーは利用できるインターネットサービスは制限しないというポリシーという事になります。
更に踏み込んでLAN 内からの情報漏洩を考えた場合、全てを禁止して必要なサービスのみ通信を許可すれば、更にセキュリティを高めることが出来ますが、利便性をセキュリティを両立させる場合、民生ルーターで設定可能なルールの数、アクションは限定されるため限界があります。
また、不正アクセスを試みる特定のIPアドレスに対して通信を規制する場合も、民生ルーターでは、行えるルール数に限りがあります。
このようなセキュリティ効果を得るには、民生ルーターでは役不足であり、パソコン単位で行うパーソナルファイアウォールと最も異なる部分となります。
一般家庭においては、怪しいサイトに近づかない、ウイルス・スパイウェア対策、ファイル共有ソフトをインストールしない、といった常識ある行動をとっていれば、これらの問題は特に意識する必要はありません。
ISP の中には、モデムしかレンタルしない事業者や、セキュリティを重視して ルータ 一体型モデムをレンタルする事業者もあります。レンタルされるモデム一体型ルーターは、LAN 側に一つしかポートを持たないため、見た目はモデムと変わりありませんが、この場合、LAN ポートに HUB を接続する事で複数のパソコンでインターネットが利用できるようになります。
同じ事をモデムで行った場合、最初に起動したパソコンのLAN ポートにグローバルIPアドレスが割り当てられるため、その他のパソコンはインターネットに接続でき失くなります。
ISP によっては、それぞれのパソコンに複数のグローバルIPアドレスを割り当ててしまう ISP もあります。これは正規の利用方法ではなく、契約違反になるケースが殆どです。 また、この場合は、全てのパソコンがインターネットに直接露されることになるため、それぞれにファイアウォールを構築する必要があります。また、LAN を組む事が出来ません。
十分考えられる誤まった接続方法ですが、(実際にネットでもよく見かける) セキュリティ面からも大変危険です。自信のない方は、今一度、見直してください。
ルーターは、パーソナル ファイアウォールと同じ パケットフィルタリング型のファイアウォールとして機能します。一般の方はルーターを導入する上でこれらの点を考慮されると良いと思います。
どちらが優れているかという比較ではなく、特徴の比較 です。ご注意ください。
パーソナルファイアウォールとルーターを比較した場合、以下の利点があります。
ルーターは独立したネットワーク機器であるため、パソコン内にインストールする市販のパーソナルファイアウォールと比較した場合、パソコンに負荷は掛かりません。
市販のパーソナル ファイアウォールは、詳細なログ、アクションなど様々な機能が提供される分、パソコンに高い負荷がかかります。
ルーターは独立したネットワーク機器(ゲートウェイ)であるため、パソコン内部で実行されたウイルスが、ファイアウォールを無効にするためにはルータへのアクセスコードを入手する必要があります。
正しくルーターが管理されていれば、内部から実行されるウイルスによりファイアウォールが無効にされる可能性は、パーソナルファイアウォールに比べて低いと考えられます。
インターネット側から来るワームウイルスやDoS攻撃により、影響を受けるのはルータもパーソナルファイアウォールも同じ
民生ルーターの機種によってセキュリティ強度が異なる場合があります。例えば、ルーターへの接続を特定の IP アドレスに限定可能な機種やステルスモード(WAN側からのICMP応答)が設定されている機種やそうでない機種も存在します。
インターネット側に直接接しているのは、ルーターのWANポートのみであるため、インターネット側から直接パソコンに攻撃する事は出来ません。
このようにモデムとパソコンが直結された環境で、パーソナル ファイアウォールのあるケースでは、パーソナル ファイアウォール自信が攻撃対象として狙われる可能性があります。過去にも深刻なセキュリティホールは何度も発見されており、パソコンが危険にさらされることになります。
パーソナル ファイアウォールに限らず外部からアクセスで何らかのアクションを起こすアプリケーションは度々狙われますが、ルーターに実装されるパケットフィルタリングでは出来ることが限られるため、任意のコードが実行されてしまう可能性は少なくなります。
民生ルーターのセキュリティ強度は、機種により異なります。また、特定の民生ルーターの脆弱性を狙った攻撃も存在するため、ルーターの方がセキュリティ面で優れているという訳ではありません。
一般向けに市販、又は ISP からレンタルで提供されるルーターで出来ないことをまとめると以下の様になります。
ルーターで行えるパケットフィルタリング設定には限りがあり、また、行えるアクションも限られます。そのため、同じ パケットフィルタリング機能を持つパーソナル ファイアウォールのように、特定のパケットを監視して通信を抑制する事が出来ません。
内部から送信される情報漏洩対策としては、パーソナル ファイアウォールに及びません。ちなみに、パーソナルファイアウォールでは、内側から出て行くパケットは全て遮断し、必要に応じて通信を許可するかアラートが出るようになっています。
これは、ルーターの "全てを許可して一部を拒否するポリシー" の逆であり、内部から出て行く通信を厳しく規制する事が出来ます。パソコン内部に存在するため、ルールやフィルタリング数に制約がないため、このような事がポリシーが可能になります。
上記、理由から、ワームウイルスに感染した場合、感染を拡げようとするワームウイルスを抑制する事が出来ません。しかし、ウイルスに感染してしまった以上、ウイルスがファイアウォールを無効化する可能性もあります。
通常作業で使用するユーザーは Administrator 権限を持たないユーザーを使用すべきです。
民生ルーターで採取できるログは限られており、不正アクセス状況の把握が困難です。また、それに応じた対策も難しくなります。中には、ログをメールで送信する機能を持つ機種や他のサーバーへ送信する機能を持つ機種もあり差がありますが、パーソナル ファイアウォールには及びません。
専門知識が必要になりますが、古いPCにLANを二枚指してルーターを自作する事も可能です。必要なハードは余った PC と 2枚 の LAN カード、そして Linux です。CD-ROM でシステムを起動すれば、書き換え不可能で制約のない最強ルーターを構築する事も不可能ではありません。
IPNuts のように、簡単にルーター構築を目的とした専門のディストリビューションも存在します。
この標題のトップへ 7 / 9 
情報漏洩 ~ ネットワーク
メーカー直営ショップ(準備)
スカイプ 対応フォン(USB)
![SONY インターネットテレフォン 「マウストーク」 ブルー[VN-CX1/L]](http://images-jp.amazon.com/images/P/B000E6FZ0A.09.MZZZZZZZ.jpg){kind=small}
![SONY インターネットテレフォン 「マウストーク」 ブライトレッド[VN-CX1/R]](http://images-jp.amazon.com/images/P/B000E6FZ0K.09.MZZZZZZZ.jpg){kind=small}
個人情報漏洩
保護・監視ツール
自分のパソコンから流出する個人情報を未然に防ぐセキュリティソフトです。特定のコードを含む情報が特定のサイト以外へ流れるのをブロックします。ウイルスチェックツールだけでなく、このような機能を持ったセキュリティソフトは必須でしょう。
クレジットカードによるオンライン決済を良く利用される方、サーバをレンタルされているネットショップオーナーの方は、利用中のパソコン経由でもれてしまう個人情報は自分で守る必要があります。
プライバシーサービスは、上記、インターネットセキュリティスイートに含まれます。
