「パーソナル・ファイアウォール」というカテゴリの製品が国内でも増えつつある。PC1台1台に導入して,他のユーザーからの不正アクセスを防止するソフトウエア製品である。“パーソナル”とは言うものの,必ずしも個人ユーザー向けではなく,一元管理機能など企業向けの特徴を備えた製品が多い。
表1 国内で入手可能なパーソナル・ファイアウォール |
米ネットロック・テクノロジズは2000年5月,「NetLOCK」を発表した。米F-セキュアの「Distributed Firewall」(DFW)も,7月にも国内で発売される見込み(表1[拡大表示])。さらに,米シマンテックの「Norton Internet Security2000」も年内には国内出荷が始まる見込み(表2[拡大表示])。米ネットワーク・アソシエイツが,米国で7月に発売予定の「PGP Desktop Security7.0」も日本に上陸してくるはずだ。
表2 米国などで登場しているその他のパーソナル・ファイアウォール |
常時接続には不可欠
図1 製品によっては多数のクライアントに搭載したパーソナル・ファイアウォールを一元管理できる いくつかのパーソナル・ファイアウォール製品は,企業利用向けに,セキュリティ・ポリシーや設定の一元管理機能を持つ。ファイアウォール・ソフトのインストール/更新も自動化できる。 |
欧米では2000年6月に「The Serbian Badman Trojan」(TSB)という不正プログラムがばらまかれた。TSBは,ユーザーからはビデオ・データ(AVIファイル)のように見える不正プログラム。Webサイトなどからデータをダウンロードし再生すると,自動的に不正プログラムをインストールし,クラッカにあらゆる操作を許してしまう。常時接続環境に限った問題ではないが,クラッカの魔手は,企業はもちろん一般ユーザーのPCにまで確実に伸びている。
こうした危険を防ぐには,不正なトラフィックを遮断するファイアウォールのような仕組みが欠かせない。そこで台頭し始めたのがWindows98/95/NT4.0/2000などの環境で稼働するパーソナル・ファイアウォールである。導入・設定が容易で,ほとんど手間がかからない。
写真1 パーソナル・ファイアウォールは設定が簡単 多くの製品は,セキュリティ・レベルが異なるポリシー・テンプレートを持つ。このテンプレートから1つを選べば,利用できる。写真は米ゾーンラボの「ZoneAlarm」。 |
社内での不正アクセス防止にも役立つ。社内ネットワークとインターネットの接続点に設置されたファイアウォールは,社内ネットワーク上での不正アクセスは防げない。部門ごとにファイアウォールを設置する方法はあるが,部門内ネットワーク上での不正アクセスは防げない。PC1台1台を守るパーソナル・ファイアウォールはこうしたニーズにはうってつけである。
安さ,容易さが魅力
パーソナル・ファイアウォールの魅力は,設定・運用が簡単な点。例えばBlackICEの場合,ファイアウォールの設定は4段階のセキュリティ・レベルから1つを選択するだけ。日本エフ・セキュアのDistributed Firewall(DFW)も,「設定するルールの数は,汎用的なファイアウォールの10分の1以下。せいぜい2~3項目しかない」(プリセールス/エンジニアリング部長である木村 礼壮氏)。米ゾーン・ラボの「ZoneAlarm」は3段階で,インターネット向けとイントラネット向けで別々のセキュリティ・レベルを設定できる(写真1[拡大表示])。
なかには,WinWrapperや米サイバージェン・ネットワークスの「Sybergen Secure Desktop」ように,どのプロトコルをブロックするかなどを詳細に設定する製品がある。ただ,プロトコルに関する知識を持つユーザーならルール作りは難しくない。Secure Desktopの場合は,特に細かな設定をしなくても4段階のセキュリティから1つを選べばとりあえず利用できる。
写真2 各種アプリケーションの通信を制限できる ポート番号や送信元/あて先IPアドレスなどをもとにフィルタリングし,通信を制限できる。写真は米ネットワークアイスの「BlackICE Defender」。セキュリティ・レベルを最強にすると,外部からのアクセスはほとんど受け付けなくなる。 |
外部からのアクセス(インバウンド)だけでなく,Webアクセスなどユーザーがアクションを起こしたトラフィック(アウトバウンド)も制限できるツールがある。WinWrapperは,ユーザーがアクセスできるWebサイトを制限するなどの設定が可能だ(写真3[拡大表示])。DFWの場合も,例えばアウトバウンドで一度の大量のpingは送信しない,というような設定ができる。DDoSのエージェントを埋め込まれても,踏み台にされる危険は小さくなる。
さらに,「企業向け」を意識した製品は,インストールやセキュリティ・ポリシーの設定,変更などを,管理者が一元的に実施できる機能を備える。BlackICEは,ICEcapという管理サーバー・ソフトで一元的に管理できる。同様に,DFWには「F-Secure Management Server」,NetLOCKには「NetLOCK Manager」という管理サーバーがある。どれも,管理下のクライアントすべてのセキュリティ・ポリシーを一元管理・配布できる。
写真3 ユーザーのインターネット利用制限も可能に 製品によっては,外部からの不正アクセスだけでなく,特定のWebサイトへのアクセスを禁止するというようにユーザーのインターネット利用を制限できるものもある。写真はアスキー・エヌ・ティの「WinWrapper」。 |
(河井 保博=kawai@nikkeibp.co.jp)