• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

Windowsスペシャル・レポート

緊急報告!Windows XP SP2の全貌(第2回)

Windowsファイアウオール編

中田敦 2004/09/02

■XP SP2の新機能の中で,ユーザーに最も影響がある「Windowsファイアウオール」の技術を解説する。既存環境との互換性を保ちつつ,ネットワーク攻撃からOSを保護する仕組みが導入された。

■従来の「インターネット接続ファイアウオール」に比べ,デフォルトで設定が有効になっており,Windowsファイアウオールの利用はユーザーの常識になった。ユーザー・インターフェースも改良されて,アプリケーション単位で通信を制御できる。

■後半では,GPO(グループ・ポリシー・オブジェクト)を使ってクライアントのWindowsファイアウオールの設定を制御する話を紹介し,DCOMとRPCの制限にも触れる。

(本連載は『日経Windowsプロ』2004年8月号に掲載された特集「緊急報告!Windows XP SP2の全貌」に最新の情報を反映させたものです)

(中田 敦)


 2003年8月に大流行したBlasterワームのように,Windowsを外部から攻撃するのはワームの常とう手段である。これを防ぐには,Windows自身がネットワークを経由する外部からの攻撃に強くなる必要がある。

 そこでWindows XP SP2には,ネットワーク攻撃からOSやアプリケーションを保護する仕組みが大きく2つ実装される。1つはネットワーク経由でコンピュータに接続できないようにする「Windowsファイアウオール」である。Windows XPには元々「インターネット接続ファイアウオール(ICF)」というパーソナル・ファイアウオールが標準装備されていた。WindowsファイアウオールはこのICFの機能を大幅に強化したもの。XP SP2をインストールすると,それまでICFを使っていなかったユーザーでもデフォルトで有効になる。

 もう1つは,従来ワームや攻撃者が悪用してきたOS上の危険な入り口を封鎖することだ。Windows XPはデフォルトで様々なサービスを外部に公開しており,そのいくつかは外部からOSやプログラムを乗っ取る攻撃の「入り口」となっていた。そこでXP SP2では,危険なサービスについて匿名でアクセスできないようにしたり,無効にしたりしている。

エンドユーザーへの影響は軽微
 Windowsファイアウオールがデフォルトで有効になることについては,批判や戸惑いの声が多く挙がっていた。というのも,既存のパーソナル・ファイアウオールの多くは通信を全面的に禁止するので,適切に設定しないとWindowsのネットワーク機能や企業ユーザーが社内で利用するネットワーク・アプリケーションが使えなくなってしまうからだ。

 しかしWindowsファイアウオールの仕様を詳細に調べたところ,ユーザーを混乱させない配慮が随所に盛り込まれていることが明らかになった。企業ユーザーであっても,Windowsファイアウオールによる混乱は軽微だと思われる。

 原則としてWindowsファイアウオールは,コンピュータから外部への通信はすべて許可し,外部のコンピュータからの通信はすべて禁止する(図3)。外部からの通信が認められるのは,(1)接続要求を送信したIPアドレスからの応答である場合,(2)アプリケーションやポートが外部からの通信を許可するよう「例外リスト」に登録されている場合――だけである。

図3●Windowsファイアウオールの仕組み
Windowsファイアウオールは,コンピュータから外部へ要求した通信はすべて許可するが,接続要求をしていない外部のコンピュータからの通信は原則禁止する。ただし,「例外リスト」に登録したアプリケーションまたはポートに対する外部からの接続は例外として許可する。

 市販のパーソナル・ファイアウオールの多くは,外部への通信と外部からの通信の両方を規制する。しかし外部への通信まで規制すると,Webブラウザや電子メール・クライアントの動作まで制限される。Windowsファイアウオールは外部への通信は一切禁止しないので,エンドユーザーの操作で違和感はほとんどない。


あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る