Windows 2000 Insider/PC Insider合同特別企画

Windows XPの正体
実験/実証によって探るWindows XPの真実の姿

常時接続でも安心のファイアウォール機能

1.ファイアウォール機能を有効にする

デジタルアドバンテージ
2001/09/20

 セキュリティ対策の重要性についてはもういまさら言うまでもないだろう。昨今ではxDSLCATVインターネットなど、個人でも利用できるインターネットへの常時接続環境が広く普及しているが、それにつれて、常に外部(インターネット)から狙われるという危険性も非常に高くなってきている。以前のダイヤルアップ接続環境ならば、インターネットに接続している時間も短かったので、外部から自分のマシンが狙われて、システム内部のデータなどを破壊されたり、ほかのサーバを攻撃するための踏み台にされたりする危険性は少なかった。しかし常時接続環境ではそんな悠長なことは言っていられない。最近ではCode Redのように、常にあちこちをスキャンし続けるワームウイルスもいるので、何の防御策(セキュリティ対策)も用意せずにインターネットに接続するのは、かなり危険な行為であるといえる。マシンの内容が破壊されても文句はいえないであろう。

 例えばWindows XP Professional (RC1)では、デフォルトでは以下のような通信ポートが待ち受け状態になっていた。つまり外部からこれらのポートに自由にアクセスできてしまうのである。ここには、ファイル共有のために使われるポート(epmap、netbios-ssn、microsoft-ds)などが列挙されていることが分かるだろう。ユーザー名やパスワードが見破られてしまえば、外部からアクセスされてしまうかもしれない。

C:\>netstat -a

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    winxppro10:epmap       winxppro10:0           LISTENING
  TCP    winxppro10:microsoft-ds  winxppro10:0           LISTENING
  TCP    winxppro10:1025        winxppro10:0           LISTENING
  TCP    winxppro10:1030        winxppro10:0           LISTENING
  TCP    winxppro10:3680        winxppro10:0           LISTENING
  TCP    winxppro10:5000        winxppro10:0           LISTENING
  TCP    winxppro10:netbios-ssn  winxppro10:0           LISTENING
  TCP    winxppro10:3001        winxppro10:0           LISTENING
  TCP    winxppro10:3002        winxppro10:0           LISTENING
  TCP    winxppro10:3003        winxppro10:0           LISTENING
  TCP    winxppro10:3668        winxppro10:0           LISTENING
  UDP    winxppro10:epmap       *:*
  UDP    winxppro10:microsoft-ds  *:*
  UDP    winxppro10:isakmp      *:*
  UDP    winxppro10:1026        *:*
  UDP    winxppro10:3011        *:*
  UDP    winxppro10:3744        *:*
  UDP    winxppro10:ntp         *:*
  UDP    winxppro10:netbios-ns  *:*
  UDP    winxppro10:netbios-dgm  *:*
  UDP    winxppro10:1900        *:*
  UDP    winxppro10:2234        *:*
  UDP    winxppro10:ntp         *:*
  UDP    winxppro10:1900        *:*
  UDP    winxppro10:2234        *:*

 このような危険な状態がWindows系OSのデフォルト状態だが、たとえ最低限でもよいので、セキュリティ対策を施しておけば外部からの不正なアクセスを未然に(非常に高い確率で)防ぐことができる。単にセキュリティ対策といっても、さまざまな方法が考えられるが、最低限の方策として、外部からの不正なアクセスを防ぐための「パケット・フィルタ機能」は必須であるといってよいだろう。

 パケット・フィルタ機能を簡単に言うと、OSI参照モデルでいうところのネットワーク層トランスポート層のレベルでパケットを通過させたり、ブロックしたりする機能である。このレベルで外部からの不正な侵入を完全にブロック(阻止)することにより、基本的には外部からの意図しないアクセスをすべて防ぐことができ、システムを安全に保つことができる。もちろんメール経由でやってくるウイルス・プログラムなどは(より上位の層で機能しているので)パケット・フィルタでは防ぐことはできないが、それについては別途ウイルスチェック・プログラムなどを併用する必要があるだろう。

 従来のWindows 9xWindows Meでは、OSの標準的な機能としてパケット・フィルタを備えていなかったので、別途セキュリティ・ソフトウェアやセキュリティ機能を持ったルータなどを購入したりする必要があった。これに対してWindows 2000では、簡単なパケット・フィルタを備えていたので、それを活用することも可能であったが、その設定はかなり面倒であった。本Windows 2000 Insiderフォーラムでも、「常時接続時代のパーソナル・セキュリティ対策」や「Window TIPS:インターネット常時接続時の基本セキュリティ設定」などの記事でその方法について解説しているが、とてもワンクリックですます、というわけにはいかなかった。

 これに対してWindows XPでは、後で示すように、チェックボックスを1つオンにするだけで、簡単に有効化できるパケット・フィルタ機能が備わっている。しかも、前出の記事で説明したRRASサービス(Routing and Remote Access Service。パケット・フィルタを含む高度なルーティング機能を提供するためのサービス。RRASについては「常時接続時代のパーソナル・セキュリティ対策(第2回)」を参照のこと)を使うよりも、より実用的なセキュリティ対策を施すことができる。RRASと比べた場合の、Windows XPのファイアウォールの利点は次のとおりである(Windows XPにはRRAS機能も備わっているので、必要ならばRRASを使ってもよい)。

  • 設定が簡単
     逆にいうと、きめ細かい設定は不可能

  • ダイナミックなフィルタ機能
     RRASでは、例えばFTPを使用するために、常にあるポートからのフィルタを空けておかなければならなかったが、XPのファイアウォールでは自動的にFTP使用時だけオープンになる

  • ログを残すことができる
     RRASではこれは不可能だった。ログにより、敵(侵入者)の手口などを知ることができる

 なお、このファイアウォール機能とRRAS機能は排他的なものではないので、VPNやルーティングといったRRAS本来の機能も同時に使用することができる。ただしVPN接続にファイアウォール機能を適用すると、VPN経由のファイル共有サービスなどもブロックされてしまうので、ファイアウォール機能はインターネットに直接接続されているインターフェイスにのみ適用するのが正しい使い方だろう。

ファイアウォール機能を使う

 Windows XPのファイアウォール機能を有効にするには、[スタート]メニューから[ネットワーク接続]の設定ダイアログを起動し、ファイアウォールで保護したいインターフェイスを選択して[プロパティ]属性の設定を行う。イーサネット・カードのようなネットワーク・インターフェイス・カードだけでなく、モデムやISDN用のTAなどのダイヤルアップ接続の場合でも有効にすることができるので、インターネットに直接接続している場合は、ぜひとも有効にしておきたい。たとえ短時間しかインターネットに接続しない場合でも、常に外部からの侵入の危険性があるからだ。

ファイアウォールの設定
ファイアウォールを有効にするには、有効にしたい「ネットワーク・インターフェイス」(ネットワーク・カードやモデムなど)を選んで、[プロパティ]メニューを起動する。
  Windows XPでは、この[タスク]メニューから[この接続の設定の変更]を起動することもできる。
  ファイアウォール機能が有効になっていると、このように「ファイアウォール」という表示が現れる。またよく見ると、ネットワーク・アイコンの右上に鍵のマークが付いている。
  ファイアウォール機能を有効にするにはこれを実行する。→

 ファイアウォールを設定するには、各接続アイコンを右クリックして[プロパティ]を表示してもよいが、Windows XPでは、各フォルダごとに、「タスク」という、ユーザーの作業を手助けするためのメニューが左側のペインに表示されるようになっているので、ここから[この接続の設定の変更]タスクを選んでもよい。

 ネットワーク接続のアイコンから[プロパティ]を選んで[詳細]タブをクリックすると、ファイアウォールの設定ダイアログが現れる。もしシステムにネットワーク・インターフェイスが2つ以上装備されていると(イーサネットとダイヤルアップ接続のように、異なる種類のインターフェイスでもよい)、ここには「インターネット接続ファイアウォール(ICF)」のほかに、「インターネット接続の共有(ICS)」という表示も現れるが、ファイアウォールの設定は、インターネット接続の共有(ICS)とは独立して行うことになるので、特に気にしなくてもよい。基本的には、インターネットに直接接続しているインターフェイスでのみ、このファイアウォールの設定を行っておけばよい。例えばLAN内のマシンであっても、インターネットへ直接ダイヤルアップするようなケースでは、そのダイヤルアップインターフェイスに対してファイアウォールの設定を行う。

 ファイアウォール機能を有効にするには、このチェックボックスをオンにするだけであり、ほかには特に設定する必要はない。たったこれだけで、最低限のセキュリティが確保できるのは、Windows XPの大きなメリットといえる。ファイアウォールの動作としては、基本的にはインターネットへ向けて発信される通信(Windows XPからインターネット側へ向かって発信されるTCP/UDPの通信)はそのまま通過し、逆方向からの接続要求はデフォルトではすべてブロックされる。さらに例えばFTPのように、逆方向の通信が必要な場合は(FTPでは、制御用コネクションのほかに、データ転送用コネクションも使っている)、FTPの通信が有効な間だけダイナミックに(FTPサーバ側からの)2番目のコネクションが通過するようになっている(どのようなアプリケーションがサポートされているかは特にまだドキュメント化されていないようなので不明。多数のさまざまなコネクションを使う複雑なアプリケーションではうまく動かず、後述のサービスの公開機能などを併用する必要があるかも知れない)。

 ただしこのファイアウォールは、あくまでも単なるパケット・フィルタ機能しか持っておらず、ウイルスチェック機能などは含まれていない。だから市販のファイアウォール/セキュリティ・ソフトウェアをもう導入しなくてもよいというわけではないので、注意されたい。

ファイアウォールを有効にする
  ファイアウォール関連の設定はこの[詳細]タブで行う。インターネット接続の共有機能(ICS)がオンになっていると(このためにはマシンに2つ以上のインターフェイスを装備している必要がある)、このダイアログの下側には、さらにICS向けの設定項目も現れる。
  ファイアウォール機能を有効にするには、このチェックボックスをオンにするだけであり、ほかには何もする必要はないが、ログなどを取りたければ、さらに以下の設定を行う必要がある。
  さらに詳細な設定を行う場合は、ここをクリックする。→

 基本的には、このチェックボックスをオンにするだけでよいのだが、アクセスログを記録したり、サービスの公開などを行ったりするためには、以下のように、より詳細な設定が必要となる。

 

 INDEX
  [Windows XPの正体] 実験/実証によって探るWindows XPの真実の姿
  常時接続でも安心のファイアウォール機能
  1.ファイアウォール機能を有効にする
    2.サービスの公開
    3.外部からの不正アクセスを検出可能にするファイアウォールのログ
 
 「Windows XPの正体」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間