一般家庭で導入可能な ファイアウォール にパーソナル ファイアウォールがあります。不正侵入を防ぐ役割や仕組みはルーターと変わりませんが、パソコンが設置される環境によってセキュリティの意味合いが異なる点に着目してください。
パケットフィルタリングによる通信規制をソフトウェア(パソコン内)で行うタイプのファイアウォールです。パソコン単位に設置するためノード型とも呼ばれています。Windows XP や OS X など最近の OS は標準でファイアウォール機能を持っています。
パーソナル ファイアウォールには、Windows XP など OS に標準で搭載されるファイアウォール機能 と 大手セキュリティ ソフトメーカーから市販されているファイアウォール製品があります。いずれも不正侵入のために行っている事は同じですが、機能面で違いがあります。
パーソナル ファイアウォールはパケットフィルタリングを行うソフトウェアであるため、インストールされているパソコン単位での対策となります。そのため、ノード型ファイアウォールとも呼ばれます。
ネットワーク機器構成や場所、パソコンが配置さる場所によって最適なセキュリティポリシは異なります。具体的にどういう事なのか、図で説明します。
一般家庭に多いと思われるネットワーク構成です。モデムと直接接続できるパソコンは一台のみで複数のパソコンを HUB を介して繋ぐことは出来ません。この場合、パーソナルファイアウォールは必須となりますが、後述するネットワークを構築している場合とでは、パーソナルファイアウォールに適用すべきセキュリティポリシが異なります。
このようなネットワークを持たない環境では、パソコンから外へ出て行くパケットを抑制する必要があります。LAN を構築している場合は、LAN 内の利便性に配慮し、ファイル共有やプリンタ共有が利用できるように自分から外へ出るパケットについては制限されないポリシが適用されています。
しかし、ISP が提供するインターネット回線の中には、同じ ISP の加入者同士が LAN で結ばれている杜撰なネットワークを提供する ISP も存在します。この場合、外部からの侵入は防げても、ファイル共有が設定されていた場合、ISP 加入者に自分のパソコン内のデータが見えている状態になります。つまり、情報が流出します。
このように、直接パソコンとモデムを接続する、つまりネットワーク(LAN)のない環境では、自分から出て行くパケットも規制する必要が出てきます。
Windows XP では、知識のない方でも対策が行えるように簡素化されたインターフェイスを提供しています。XP SP2 からはデフォルトでファイアウォールは有効となっており、ポリシも SP1 より強化されています。
ファイル共有やプリンタ共有などはユーザ(コンピュータ管理者)が設定を行わない限り、利用できないポリシになっています。
モデムとパソコンを直接接続する場合や、公衆無線LAN などセキュリティに問題のあるネットワークにパソコンを設置する場合に使用する設定が用意されています。
1.管理者権限でシステムにログインします。
シングルユーザであっても、通常のパソコン操作に管理者権限を利用すべきではありません。管理者権限でウイルスが実行されるとファイアウォールが無効化、システムの破壊といったリスクが発生するからです。下記ページで説明しています。
参照 => システム管理者 (Administrator) とユーザー権限について
2.コントロールパネルからファイアウォールを開きます。
ファイアウォールが有効になっている事を確認します。
3.例外 タブを選択し、必要のないポートを遮断します。
ここでは、外部からのリクエストに応える必要のあるサービスポートを開く設定を行っています。利用するプリンタによっては双方向で通信を行う必要もあり許可しなければ、正しく接続された機器がコントロールできない場合もあります。モデムなどの通信機器でも UPnP を認めなければ設定が行えないケースも考えられます。
ファイル共有や接続されたプリンタをネットワークで共有する場合も、例外としてポートを開ける(許可)する必要があります。しかし、LAN を構築しない場合、つまりモデムと直接接続する環境では、これらを許可する必要はありません。むしろ危険です。 必要のないポートは閉じる必要があります。
直接モデムを接続する場合、モデム越しの接続を禁止するために例外は認めないようにする必要があります。特に LAN の存在しない環境では以下の項目はチェックを外さないと危険です。
NetBIOS / ファイルとプリンタ共有 / リモート アシスタンス / リモート デスクトップ
※ 一括でポートを遮断する場合、例外を認めない のチェックボックスが用意されていますのでそれを利用します。
□ Windows ファイアウォールによるプログラムのブロック時に通知を表示する
にチェックが入っている場合、警告が出るようになります。悪意あるソフトウェアが外部との通信を確立しようとする場合にも警告が出るためチェックを入れるようにします。
( Winny など防げないソフトウェアもあります)
ここで例外を認めると使用されるポートが開くためセキュリティリスクが増す事になります。LAN 内の利用に限られる場合は、上位にルータがあればルータが遮断してくれるため、インターネット側から侵入される事はありません。
■ご注意
使用しているモデムや周辺機器、ドライバによっては、UPnP を例外で認めなければ正しく制御できない場合や特定の周辺機器には双方向通信が行えないと動作しない場合もあります。詳しくは、それぞれのソフトウェア、ハードウェアの説明書に従って下さい。
モデムと直接接続する場合を想定してか、SP2 からファイアウォールのデフォルトが強化されていますが、出て行くパケットに対して柔軟な設定が行える 市販のパーソナルファイアウォール は導入する価値はあります。
複数のパソコンを所有しており、ルーターによってぞれぞれがインターネットに接続出来る環境、LAN を構築しているケースです。つまり、上位にファイアウォールが存在するケースです。
このケースでは、上流に専用ルーターが存在しているため、ファイル共有やプリンタ共有などのパケットはルーター側で外に出て行かないように初期値で設定されており、意図的にルータの設定を変更しない限り、外部からの侵入経路も閉じられた状態にあります。
そのため、ISP の提供する粗悪なネットワークが情報漏洩に直結してしまう可能性はなくなります。
このようなケースで、市販パーソナル ファイアウォール製品を導入する事で得られるメリットは、PC内部から出て行く通信を全て遮断し、必要に応じて ローカルIPアドレスにのみ認める事で更にセキュリティを強化できる事です。
ただし、パーソナルファイアウォールを利用して、これらの通信ルールを決めるには知識が必要であり、一般の方には難しくかえって不要な通信規制によりLANの利便性が著しく低下する恐れもあります。ルータがあればパーソナルファイアウォールは必須ではありません。
市販パーソナル ファイアウォールの中には、特定のパケットを監視して通信を規制する機能を持つ製品もありますので、ネットショッピングをよく利用される方やパソコン内に重要なデータが記録されているケースでは、セキュリティを強化される目的で導入されると良いと思います。
Windows XP 標準のファイアウォールに比べ、市販されているパーソナル ファイアウォール製品は、自分から出て行くパケットやポートに対してより詳細な設定が行えます。
例えば、事後対策として、LAN 内のパソコンが ワームウイルス に感染した場合、LAN内の他のパソコンからの感染防止対策をポリシによって行う事が出来ます。
内部から出て行くパケット(サービス)を制限すると LAN の利便性が低下します。
このように、同じパーソナルファイアウォールでもネットワーク環境によって求められるセキュリティ ポリシが異なる事に留意する必要があります。 例えば、ルータを導入してLAN を構築しているケースでは、ローカルIPアドレス宛のみに通信を許可する事で利便性を考慮してインターネット側へ
パケットフィルタリングによる通信規制を行う点は、ルーターと同じですがファイアウォールとしての機能を比較した場合、専用ルーター と パーソナルファイアウォール では異なる点があります。
ルータのようにハードウェアの制約がないため、詳細なログやアラートの出力が可能なだけでなく、リアルタイムです。セキュリティに関心のある方は勉強する上で足掛かりになるかも知れません。
パソコン内にインストールされたプログラムであるため、ルータのようにハードウェアの制約がありません。また、市販のファイアウォールソフトの場合、詳細な設定を行う事が出来ます。
単純に ルーターと比較した場合、以下の面で劣ります。
それぞれのパソコンにファイアウォールの仕組みがあると、それぞれに通信規制が行えるため LAN を構築している場合は LAN の利便性が低下する可能性があります。
また、市販のファイアウォール製品をインストールした事によって、これまで利用できていたネットワークサービスが利用できなくなる可能性もあり、仕組みを理解していなければ問題解決が難しい場合があります。
LAN 内の同一セグメント上の PC に対して規制を外す事で利便性を高める事も出来ますが、これではパーソナルファイアウォールの意味がありません。脆弱性のある古い無線LAN アクセスポイントがない場合では、ルータがあればそれで良いという事になります。
パソコン内部に存在するため、ウイルスによりファイアウォールが無効化される可能性は、異なるネットワーク機器であるルータに比べ高いといえます。(ネットワーク認証を突破する必要があるため)
ウイルスは通常、実行したユーザー権限で発動するため、ファイアウォール変更が行える Administrator 権限でウイルスに感染した場合、無効にされる危険性も高くなります。このリスクを軽減するには、自分だけが操作するパソコンであっても、Administrator (管理者)権限 を持たないユーザを使用すべきです。
(企業ではそのようにしているが、個人のパソコンであっても同じ)
OS やアプリケーションの脆弱性を付いて Administrator 権限を取得して実行されるウイルスも存在しますので全てのウイルスに効果がある対策ではありません。また、ルータが安全と言う訳ではなく、特定の機種が持つ脆弱性を狙った攻撃も存在します。
ファイアウォールはパケットを監視して何らかのアクションを起こします。つまり、ファイアウォール ソフト自身のセキュリティホールをついて外部から何らかのコマンドが実行される恐れもあります。
高機能なファイアウォールほどその危険性は高いと思います。この原稿を書いている最中にも、Symantec のパーソナルファイアウォール製品を狙ったと思われるワームウイルスが出現した可能性があると報じられています。
一般家庭向けのルータでは少なくとも、システムに被害が及ぶコマンドがルータ自身で実行される事はありませんが、特定のハードウェアの脆弱性を狙った攻撃も存在します。
モデムと直接接続した場合、パーソナル ファイアウォールは必須となりますが IP アドレスは パソコンのLAN インターフェイスに割り当てられるため、インターネットに直接さらされる事になります。
ルータの場合は、ルータのWAN ポートがインターネットにさらされ、ここで得られる NAT によるセキュリティ効果はパーソナルファイアウォールにはありません。
ブロードバンドが普及し始めた頃から提供されている実績あるパーソナルファイアウォールです。多機能ではありませんがポートを遮断して外部からの不正侵入に対応する事が出来ます。
参照 => ZoneAlerm
個人ユーザおよび非営利の慈善団体、教育機関、行政機関のみ無料で提供されています。 SOHO、ビジネス用途においては利用出来ませんので注意して下さい。
この標題のトップへ 8 / 9 
情報漏洩 ~ ネットワーク
メーカー直営ショップ(準備)
スカイプ 対応フォン(USB)
![SONY インターネットテレフォン 「マウストーク」 ブルー[VN-CX1/L]](http://images-jp.amazon.com/images/P/B000E6FZ0A.09.MZZZZZZZ.jpg){kind=small}
![SONY インターネットテレフォン 「マウストーク」 ブライトレッド[VN-CX1/R]](http://images-jp.amazon.com/images/P/B000E6FZ0K.09.MZZZZZZZ.jpg){kind=small}
個人情報漏洩
保護・監視ツール
自分のパソコンから流出する個人情報を未然に防ぐセキュリティソフトです。特定のコードを含む情報が特定のサイト以外へ流れるのをブロックします。ウイルスチェックツールだけでなく、このような機能を持ったセキュリティソフトは必須でしょう。
クレジットカードによるオンライン決済を良く利用される方、サーバをレンタルされているネットショップオーナーの方は、利用中のパソコン経由でもれてしまう個人情報は自分で守る必要があります。
プライバシーサービスは、上記、インターネットセキュリティスイートに含まれます。
