PC1台1台で不正アクセスを防止

河井保博

2000.07.22

「パーソナル・ファイアウォール」というカテゴリの製品が国内でも増えつつある。PC1台1台に導入して，他のユーザーからの不正アクセスを防止するソフトウエア製品である。“パーソナル”とは言うものの，必ずしも個人ユーザー向けではなく，一元管理機能など企業向けの特徴を備えた製品が多い。

表1　国内で入手可能なパーソナル・ファイアウォール

　1台1台のPCに搭載して利用する「パーソナル・ファイアウォール」が国内でも増え始めている。国内では，アスキー・エヌ・ティ（アスキーNT）が99年10月から販売している「WinWrapper」，米ネットワークアイスの「BlackICE Defender」などの製品があるが，最近，同じカテゴリの製品がいくつも登場してきた。

　米ネットロック・テクノロジズは2000年5月，「NetLOCK」を発表した。米F-セキュアの「Distributed Firewall」（DFW）も，7月にも国内で発売される見込み（表1[拡大表示]）。さらに，米シマンテックの「Norton Internet Security2000」も年内には国内出荷が始まる見込み（表2[拡大表示]）。米ネットワーク・アソシエイツが，米国で7月に発売予定の「PGP Desktop Security7.0」も日本に上陸してくるはずだ。

表2　米国などで登場しているその他のパーソナル・ファイアウォール

　“パーソナル”とは言うものの，これらのツールは企業ユーザーにもメリットがある。通常のファイアウォールは企業のネットワーク・システム全体を守るだけで，PC1台1台を守ることはできないからだ。

常時接続には不可欠

図1　製品によっては多数のクライアントに搭載したパーソナル・ファイアウォールを一元管理できる
いくつかのパーソナル・ファイアウォール製品は，企業利用向けに，セキュリティ・ポリシーや設定の一元管理機能を持つ。ファイアウォール・ソフトのインストール/更新も自動化できる。

　パーソナル・ファイアウォールのユーザーとしてまず挙げられるのが，インターネットに常時接続しているユーザーである。最近は，CATVやADSL（非対称型ディジタル加入者回線），無線などを利用してインターネットに常時接続するユーザーが増えている。常時接続環境は，いつでもインターネットを利用できて便利な半面，個々のPCがクラッカによる攻撃の危険にさらされることになる。DDoS（分散型サービス妨害）攻撃などの踏み台として利用されてしまう危険もある。

　欧米では2000年6月に「The Serbian Badman Trojan」（TSB）という不正プログラムがばらまかれた。TSBは，ユーザーからはビデオ・データ（AVIファイル）のように見える不正プログラム。Webサイトなどからデータをダウンロードし再生すると，自動的に不正プログラムをインストールし，クラッカにあらゆる操作を許してしまう。常時接続環境に限った問題ではないが，クラッカの魔手は，企業はもちろん一般ユーザーのPCにまで確実に伸びている。

　こうした危険を防ぐには，不正なトラフィックを遮断するファイアウォールのような仕組みが欠かせない。そこで台頭し始めたのがWindows98/95/NT4.0/2000などの環境で稼働するパーソナル・ファイアウォールである。導入・設定が容易で，ほとんど手間がかからない。

写真1　パーソナル・ファイアウォールは設定が簡単
多くの製品は，セキュリティ・レベルが異なるポリシー・テンプレートを持つ。このテンプレートから1つを選べば，利用できる。写真は米ゾーンラボの「ZoneAlarm」。

　企業ユーザーも活用できる場面は少なくない。例えば，小規模な拠点や在宅勤務者はCATVやADSLを利用する可能性が高まっている（図1[拡大表示]）。しかし，ファイアウォールを設置，運用管理する費用や人員の余裕はない。そこでパーソナル・ファイアウォールが効果を発揮する。

　社内での不正アクセス防止にも役立つ。社内ネットワークとインターネットの接続点に設置されたファイアウォールは，社内ネットワーク上での不正アクセスは防げない。部門ごとにファイアウォールを設置する方法はあるが，部門内ネットワーク上での不正アクセスは防げない。PC1台1台を守るパーソナル・ファイアウォールはこうしたニーズにはうってつけである。

安さ，容易さが魅力

　パーソナル・ファイアウォールの魅力は，設定・運用が簡単な点。例えばBlackICEの場合，ファイアウォールの設定は4段階のセキュリティ・レベルから1つを選択するだけ。日本エフ・セキュアのDistributed Firewall（DFW）も，「設定するルールの数は，汎用的なファイアウォールの10分の1以下。せいぜい2～3項目しかない」（プリセールス/エンジニアリング部長である木村礼壮氏）。米ゾーン・ラボの「ZoneAlarm」は3段階で，インターネット向けとイントラネット向けで別々のセキュリティ・レベルを設定できる（写真1[拡大表示]）。

　なかには，WinWrapperや米サイバージェン・ネットワークスの「Sybergen Secure Desktop」ように，どのプロトコルをブロックするかなどを詳細に設定する製品がある。ただ，プロトコルに関する知識を持つユーザーならルール作りは難しくない。Secure Desktopの場合は，特に細かな設定をしなくても4段階のセキュリティから1つを選べばとりあえず利用できる。

写真2　各種アプリケーションの通信を制限できる
ポート番号や送信元/あて先IPアドレスなどをもとにフィルタリングし，通信を制限できる。写真は米ネットワークアイスの「BlackICE Defender」。セキュリティ・レベルを最強にすると，外部からのアクセスはほとんど受け付けなくなる。

　機能的には，ほとんどの製品がパケット・フィルタリングを活用してファイアウォールを実現している。送信元のIPアドレス，ポート番号などを見てフィルタリング。データをアプリケーション・ソフトに渡すかどうかを判断する。例えばBlackICEの場合は，一番高いセキュリティ・レベルを選ぶと，Webアクセスなどユーザーがアクションを起こしたトラフィック以外，外部からのアクセスはほとんどすべて遮断してしまう（写真2[拡大表示]）。

　外部からのアクセス（インバウンド）だけでなく，Webアクセスなどユーザーがアクションを起こしたトラフィック（アウトバウンド）も制限できるツールがある。WinWrapperは，ユーザーがアクセスできるWebサイトを制限するなどの設定が可能だ（写真3[拡大表示]）。DFWの場合も，例えばアウトバウンドで一度の大量のpingは送信しない，というような設定ができる。DDoSのエージェントを埋め込まれても，踏み台にされる危険は小さくなる。

　さらに，「企業向け」を意識した製品は，インストールやセキュリティ・ポリシーの設定，変更などを，管理者が一元的に実施できる機能を備える。BlackICEは，ICEcapという管理サーバー・ソフトで一元的に管理できる。同様に，DFWには「F-Secure Management Server」，NetLOCKには「NetLOCK Manager」という管理サーバーがある。どれも，管理下のクライアントすべてのセキュリティ・ポリシーを一元管理・配布できる。