米Microsoftが現在開発中の次期クライアントOS「Windows Vista」には,機能が大幅に強化された「Windowsファイアウオール」が搭載される。このWindowsファイアウオールには,多くの人々が長らく待ち望んでいた機能がようやく搭載される。この新機能があるおかげで,Windowsファイアウオールは競合のデスクトップ・ファイアウオールやサーバー・ベース・ファイアウオールと比較して,見劣りしない存在になるであろう。
何より重要なのは,Windowsファイアウオールがついに,インバウンド・トラフィック(外部から内部への通信)とアウト・バウンド(内部から外部への通信)の両方をコントロールできるようになることである。Windows XPではインバウンド・トラフィックしか制御できなかった。新たにアウトバウンド・トラフィックを制御できるようになることで,深刻な情報漏えいの危険性や,システムが乗っ取られてボット・ネットに参加させられるような危険性を減らしてくれるであろう。
なぜ従来のWindowsファイアウオールにおいてアウトバウンド・トラフィックの制限ができなかったのか,その理由はよく分からない。多分Microsoftは,アウトバンド・トラフィックの制限をしない方が,ユーザー企業におけるヘルプデスクへの問い合わせ件数などを減らせられると考えたのだろう(訳注:アウトバウンド・トラフィックを制限すると,利用に支障が出るアプリケーションが増えるため)。しかし,ヘルプデスクへの問い合わせがある期間増えるという危険性があったとしても,その危険性がサード・パーティ製ファイアウオールの売り上げを減少させたわけではなかった。私に言わせれば,Windows Server 2003とWindows XPのファイアウオールは「半焼け(half-baked)」の製品であり,役に立たないものであると言えた。
Windows VistaのWindowsファイアウオールでは,様々なタイプの新しい例外ルールを設定できるようになった。通信の発信元や送信元,プロトコル番号などに基づく例外ルールなどである。またWindows VistaのWindowsファイアウオールでは,従来のポート番号に基づく例外ルールを作る上でも,新しい設定ができるようになっている。例えば,複数のポートをユーザーがグループ化して,グループ単位で通信を許可するといった設定である。
ユーザーに設定の柔軟性を提供するために,インターフェースのレベルでも改善が施されている。もしパソコンに複数のネットワーク・インターフェースが搭載されている場合,インターフェースごとに個別の設定を施せる。またファイアウオール設定とIPsec設定の統合も図られている。従来はファイアウオールの設定とIPsecの設定は,別々に施す必要があった。
Microsoft管理コンソール(MMC)の新バージョンでは,Windowsファイアウオールの新しい追加設定を管理したり,別のWindowsマシンのファイアウオール設定を管理したりするスナップインが提供される。これらはいずれも,[コントロールパネル]にあるWindowsファイアウオールの標準管理画面では,設定できない内容である。新機能に関する設定は,MMC以外では「netsh」コマンド・ライン・ツールでも管理できるほか,Active Directoryを使って一元管理することも可能である。ご想像の通り,これらの新機能はサーバーOSの次期バージョンである「Windows Server Longhorn」(開発コード名)でも利用できる。
Windowsファイアウオールの改善によって,あなたのシステムに対する脅威が減少するのは間違いない。Windowsファイアウオールは今回の機能強化によって,これまでサード・パーティ製ファイアウオールを使わなければ得られなかったような効果を,われわれにもたらしてくれるであろう。もっとも,改善の余地はまだたくさんある。例えば,サード・パーティ製ファイアウオールは,Active XコントロールやJavaScriptなども,ブラウザに読み込まれる前にブロックしてくれる。またサード・パーティ製ファイアウオールであれば,特定のURLに対するアクセスをフィルタしたり,ポップアップ・ウインドウやCookieをブロックしたり,メッセージの添付ファイルを隔離したり,DNSリクエストをキャッシュしたりしてくれる。
Windowsファイアウオールや新しいMMCの詳細については,米MicrosoftがTechNetのWebサイトで公開している「The New Windows Firewall in Windows Vista and Windows Server 'Longhorn'」という記事を参照すると良いだろう。
