@ITをご覧のみなさまは、普段から会社や自宅でインターネットを活用されているだろうから、いまさらいうまでもないことと思うが、インターネットに接続しているとウイルスやワーム、不正アクセスのたぐいがまん延している。これらは決して他人事ではなく、インターネット利用ユーザーすべてに関係することである。それを知っている皆さんは、OSやソフトウェアのアップデート、アンチウイルスソフトの導入などを行っていることだろう。
それでは、インターネットに接続しているコンピュータが一番危険な状態をご存じだろうか? それは、買ってきたばかりのコンピュータ、またはOSをインストールしたばかりの真新しい状態のコンピュータがインターネットに接続された瞬間である。この危険な状態はWindowsだろうが、Linuxだろうがほとんど同じである。この状態は、OSが最新のバージョンであったとしても、最新の修正パッチが導入されていない。また、アンチウイルスソフトやパーソナルファイアウォールなどの防衛手段も動作していないか、または最新版ではないだろう。
これらセキュリティ対策ツールの最新版を手に入れるためには、インターネットに接続してダウンロードサイトから最新版を入手しなければならない。最新版にアップデートするのに必要なものがCD-ROMなどの媒体で配布されることもあるが、入手にいくらかお金がかかることもあったり、配布時期が遅かったりするため、一般的にはインターネットからの入手が主要な手段であろう。
そう、最新版を入手するためには、インターネットに接続しなければならないのだ。しかも、コンピュータが最も無防備だといえる状態のときにである。コンピュータを最新の状態にしたいが、インターネットに接続すると危険だ。しかし、インターネットに接続しないわけにもいかない。などという葛藤(かっとう)が続いてしまう。さて、いったいどうしたものか。
本当に脅威なのは何か?
インターネット上の脅威といっても、すべての脅威が何もせずにコンピュータに勝手にやってくるわけではない。自ら進んで身をさらさないことには脅威となり得ないものもある。メールに添付されてくるウイルスなどは、メールを受信しない限りは受け取ることはない。また、ブラウザで閲覧しただけで被害に遭うActiveXなどの脆弱性を利用したような攻撃は、信頼できないサイトにアクセスしない限りは起こらない。これらのインターネットアクセスは、最新版へのアップデートやアンチウイルスソフトの導入が終わるまでに行わなければ脅威とならない。
無防備な状態で脅威ととらえるのは、インターネット側から無差別に行われる攻撃である。ワームによる自動化された無差別攻撃や不正アクセスなどがそれに当たる。IPアドレスを走査して片っ端から接続していき、セキュリティホールが残っているOSやソフトウェアを攻撃対象とするものである。これらは、インターネット側からコンピュータに直接接続されることで脅威となるのだ。最新版にアップデートするまでの短い時間の間でも起こり得ることである。
脅威から身を守るためには?
インターネット側からコンピュータに直接接続されることを防ぐ。これが可能になれば、無防備なコンピュータをいきなりインターネットに接続しても脅威から防ぐことができるだろう。
インターネットから直接接続するためには、インターネットから参照できるIPアドレスがコンピュータに割り当てられている必要がある。多くのISPではインターネット側からアクセスできるグローバルIPアドレスと呼ばれるIPアドレスを固定的または、動的に利用者に提供している。
インターネットから直接アクセスできないようにするには、ローカルIPアドレス(またはプライベートIPアドレス)と呼ばれるIPアドレスを利用する必要がある。しかし、ローカルIPアドレスをコンピュータに割り当てると、インターネット接続すらできなくなってしまう。これを解決するのがNAT(Network Address Translation)やNAPT(Network Address Port Translation)という技術である。NATやNAPTはグローバルIPアドレスとローカルIPアドレスを透過的に相互変換する仕組みである。
つまり、NATやNAPTを利用すればインターネット側からの脅威から守ることができるということだ。NATやNAPTを使うのはそれほど難しいことではない。恐らく、ある程度の規模のコンピュータがある会社ではすでに導入しているし、自宅でも数台のコンピュータを使っている方は使っているはずなのだ。NATやNAPTを使うためにはルータと呼ばれる仕組みを導入することが必要である。自宅向けの場合には、ブロードバンドルータと呼ばれるそれである。
ブロードバンドルータは、1本の回線を複数台のパソコンで使えるという売り文句で売り出していることが多い。しかし、ブロードバンドルータの真の売り文句はNATやNAPTが使えることで、LAN側のコンピュータがインターネット側からの脅威を防御できることだと考える。なので、パソコンが1台しかなくてもブロードバンドルータの利用をオススメする。
ただ、NATやNAPTを使えるブロードバンドルータを導入してもセキュリティ対策がすべて万全というわけではない。無防備な状態よりはかなり防御力が高まっているが、それと併せて一般的にいわれるセキュリティ対策は実施するようにしておく必要がある。
Profile
上野 宣(うえの せん)
1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.