情報あれこれ(コンピュータ関係)
18.パソコンのセキュリティ その2
パソコンが一般的になってきた半面,悪さをする人間も……やっぱり増えて来てますね。現実問題として。
そんなわけで,多少でも予防策になれば,ということで,セキュリティに関して,自分が思いつくかぎり,または実践している手段についてまとめてみました。
目的別の分類というようなことはどうもうまくできなかったので,一切やっていません。
その意味ではまとまりに欠けてしまっていますが,ご容赦下さい。
注意事項
それぞれの手段についての解説は,基本的に全て私個人の経験とそれに基づく推測であり,確実性を保証するものではありません。また,ここに紹介した手段により,100%の安全性を保証するものでもありません。誤解されることのないようにお願いいたします。
・ファイル共有の危険性と,対処としての『NetBEUI』プロトコルの導入
<目的>
インターネットからLAN内部の共有リソース(ファイル,プリンタ)へのアクセスを遮断する。
<概要>
要点だけをまとめれば,インターネットの利用には『TCP/IP』プロトコルを利用し,LAN内部でのファイル・プリンタ共有には『NetBEUI』プロトコルを利用する。というものです。
私の環境は,ケーブルTVの回線ですが,それ以外でも職場などでLAN経由でインターネットを利用している場合や,家庭内でLANを構築しているような場合には関連します。
<プロトコル(protocol)とは?>
インターネットに限らず,パソコン同士でデータをやり取りする(通信する)場合には,事前にその方法についての取り決めが必要となります。例えば,通信の最初にはどんなデータ(ビット列)を送信するか,とか,それに対する応当はどうするか。など,色々な取り決めが必要になります。
この取り決めのことを『プロトコル』と言います。日本語では『通信規約』と訳されます。
インターネットの世界においては,『TCP/IP』プロトコルが標準として利用されています。
だからこそ,どのメーカーのパソコンでも同じように(OSやブラウザが違えば,見た目の操作方法は違いますが),インターネットを利用することができるのです。
装備しているプロトコルが違うと,たとえパソコンの機種やOSが同じであっても,通信することはできません。
<共有の危険性>
家庭内LANなどで,フォルダやプリンタを共有することはよく行われています。確かにこれは便利です。
しかし,そのためにTCP/IPを利用していると,どうなるのか。
LANで共有されているフォルダやプリンタへのアクセスについても,その為に必要なデータのやり取りにはTCP/IPが使われます。ところが,このTCP/IPはLANの中だけではなく,インターネットからも信号が送られてきています。
ということは……もしもその中に,貴方のパソコンをターゲットにしたものがあったら?
簡単に言えば,そのパソコンでインターネットを利用している間(インターネットに接続している間),フォルダやプリンタは全世界中から利用が可能ということになります。つまり,ファイルを閲覧されたり,コピーされたり,あるいは改竄されたり,削除されたりする可能性があるのです。
<NetBEUIプロトコルを導入するとどうなるか>
NetBEUIはファイルやプリンタの共有はできますが,インターネットの通信には使えません。しかし,TCP/IPであれば,ファイルやプリンタの共有も,インターネットの通信もできます。そう考えると,TCP/IPさえあれば,それでいいということに通常はなるのですが(その方がシステムリソースの消費も少なくなる),セキュリティに関して言えば,全く逆ということになります。
ファイルやプリンタの共有に関しては『NetBEUI』だけを,インターネットの利用には『TCP/IP』を利用するような設定にしたとします。
この状況で,悪意のある人(クラッカー)が,外部(インターネット上)からファイルを読み取ろうとしたとします。
インターネットを経由するわけですから,そのためには必要なデータは『TCP/IP』プロトコルで送信されてきます。しかし,パソコン上ではTCP/IPをファイル共有のために使用しない設定になっているので,その送信データは無視されます(実際にどのような返信がなされるのかは知りませんが……)。
<実際の設定方法>
・CATV環境の場合(ADSLでも同じようにできる……ハズ)
(0) ネットワークインターフェースの増設,ドライバのインストール
パソコン本体,ネットワークインターフェースのマニュアルを参照して下さい。
(1) NetBEUIプロトコルのインストール
スタートボタン → 設定(S) → コントロール パネル(C) → ネットワーク
(または,デスクトップのネットワークコンピュータアイコンを右クリック → プロパティ)
追加ボタンをクリック。
『ネットワークコンポーネントの選択』ウィンドウで,「インストールするネットワークコンポーネント」で,「プロトコル」を選択して,追加ボタンをクリック。
『ネットワーク プロトコルの選択』ウィンドウで,「製造元(M)」から Microsoft を選択すると,「ネットワーク プロトコル」の一覧が表示されるので,その中から,「NetBEUI」を選択して,OKボタンをクリック。
後は,再起動すればOKです。
(2) 各プロトコルの設定
スタートボタン → 設定(S) → コントロール パネル(C) → ネットワーク
(または,デスクトップのネットワークコンピュータアイコンを右クリック → プロパティ)
まずは,『TCP/IP』から。
「現在のネットワーク コンポーネント(N)」の一覧から,「TCP/IP −> (LANアダプタ名)」を選択して,プロパティ(R)ボタンをクリック。
「バイント」タブで,「Microsoft ネットワーク共有サービス」,「Microsoft ネットワーク クライアント」のチェックを外す。
ここで,OKボタンをクリックします。
「バインドするドライバが選ばれていません」という警告が表示されますが,ここでは[いいえ(N)]をクリックしてください。
一旦,「ネットワークのプロパティ」ウィンドウに戻るので,改めて,TCP/IPのプロパティで,「NetBIOS」タブを開きます。
すると,「TCP/IP 上で、NetBIOS を使用可能にする(E)」のチェックが外れているはずです。
もし,外れていない場合には外しておきます。
ただし,チェックがついたまま,薄い色になっていてクリックしてもチェックが外せない状態(「グレーアウト」と言います)の場合,「バインド」の設定を見直してください。
また,「バインド」の欄とは無関係にNetBIOSを使用しているものがある場合には,そちらを解除することが必要になりますが,そちらのソフトウェアが使えなくなる可能性もあるので,これは一概に言えません。
これまでの経験から言えば,通常はバインドが外れていればOKですが……。
最後にOKボタンをクリックして,「ネットワークのプロパティ」に戻って,さらにOKボタンをクリックします。
再起動の要求がでますので,そのまま再起動してください。
場合によってはこの段階で,WindowsのCD−ROMを要求されます。指示にしたがってCD−ROMをセットしてください。
OKボタンをクリックする。
続いて,『NetBEUI』。
「現在のネットワーク コンポーネント(N)」の一覧から,「NetBEUI −> (LANアダプタ名)」を選択して,プロパティ(R)ボタンをクリック。
「バインド」タブで,こちらは「Microsoft ネットワーク共有サービス」のチェックをつけておく。通常,チェックがついているので,それを確認したらキャンセルボタンで戻っておきましょう。
最後に,ネットワークのプロパティウィンドウで,OKボタンをクリック。
再起動をうながすウィンドウが現れるので,再起動する。
これで設定は終了です。
<問題点>
私がインターネット開通の半年ほど前に受講した,ネットワークの基礎講習会の内容を正しく理解できているのであれば,この設定で問題はないハズです。
今後,ミスが発覚しないという保証はもちろんありませんが……。
また,昨今の状況として,LANではプリンタやNAS(ネットワーク接続型ハードディスクなど)との接続プロトコルとしてTCP/IPを使用するのが一般的ですので,導入できるかどうかという問題もありますね。ファイルサーバー,プリンタサーバーとしてPCを使うのであればいいんですが。
<補足>
ルーターが一般的になって来た現在では,ルーターを導入するのが簡単かもしれません。
特に,WindowsXPの場合,標準でNetBEUIが用意されてないようなので……。
・デュアルインターフェースプロキシサーバーの導入
<目的>
インターネットからLAN内部の共有リソース(ファイル,プリンタ)へのアクセスを遮断する。
+ (1つのアカウントで)複数のパソコンから同時にインターネットにアクセスできるようにする。
<概要>
CATVやADSL回線において,内部LANと外部(インターネット)との間に「デュアルインターフェース」のプロキシーサーバを設置するというものです。
複数台PCの(インターネットへの)同時接続を実現するための手段であり,同時にセキュリティとしてもそれなりの環境になります。
ただ……現実的には,次の「ルータの使用」の方が簡単……かとは思います。
<プロキシサーバーとは?>
プロキシ(proxy)とは通例「代理人」などと訳されます。ネットワークを含めたコンピュータシステムで,クライアントに代わって特定の処理(この場合はインターネットへのアクセス)を行うものを言います。
現実の世界で言えば,例えば図書館の司書があげられます。
図書館には一般に開放している図書以外にも様々な資料を所有していますが,誰もが自由にその資料庫に入れるわけではありません。利用者が閲覧したい資料がある場合には,司書(プロキシサーバー)にどんな資料を見たいのか(アクセスしたいページのURL)を申告して,代わりに取ってきてもらうということになります。
こうすることで,書庫に入れる(インターネットにアクセスできる)のが1人しかいなくても,大勢の人間(クライアント)がその書庫の資料を利用できると言うことになります。
また,通常プロキシサーバーにはキャッシュ機能があるので,より効率的なアクセスが可能になります(個々のパソコンにも備えられている機能ですが,これまでに自分が一度も利用していないページであっても利用できる)。
<デュアルインターフェースとは?>
dual(2重の)という名前のとおり,LANインターフェース2枚を装備した状態のプロキシサーバーです。
2枚のLANインターフェースのうち1枚をインターネット側(CATV or ADSL回線)と接続し,もう1枚をLAN側に接続します。
<必要なもの>
・サーバー用パソコン
Pentium以降のCPUを搭載していれば,まず問題はないと思いますが,OSが快適に動作すること,プロキシサーバーソフトの動作条件を余裕をもってクリアできるものが必要です。
・LANインターフェース
1つはパソコン本体内蔵のものでもかまいません。その場合でも少なくとも1枚は増設が必要です。
パソコン本体がLANインターフェースを装備していない場合には2枚の増設が必要になります。その場合,別のメーカーの製品を組み合わせた方がよいと聞いたことがあるのですが,少なくとも私の経験上は問題ありませんでした。
・OS
プロキシサーバーソフトの種類によっては,CATV,ADSL環境ではWindows−NTが必要というものもあります。注意して下さい。
というより,2枚のLANインターフェースを正常に認識させるためにはNT系の方が無難と聞いた憶えもあります。ただServerでなくてもいいようです。
・プロキシサーバーソフト
市販のものもあれば,オンラインソフトでもいくつか存在しています。
セキュリティに関してもある程度の機能をもったものを選んでおいた方がいいと思います。
<導入手順(概要)>
1:サーバー用パソコンのセットアップ
まずはコレからです。パソコン本体,OSのマニュアルをよく読んで実行しましょう。
ただし,OSのサービスパック,修正パッチはこの段階ではまだ適用しないでおきましょう。かえって手順がややこしくなり,ミスの原因になります(理由は後述)。
2:LANインターフェースのセットアップ
2枚増設する場合,製品によってはリソース(割り込み,ROMアドレスなど)の設定で問題が発生しやすくなります(如何にOSがプラグ&プレイと謳っていても,現実問題としては)。
場合によってはユーティリティを使用しての(DOS上からの)セッティングが必要になる場合もあります。
3:インターネット接続環境のセットアップ
まずサーバー用パソコン自体がインターネットに正常にアクセスできなければ意味がありません。
2枚のLANインターフェースのうち,どちらをインターネット側に使用するのか決めて,そちらがわの設定を行います。主にTCP/IP周りの設定と言うことになります。
4:LAN環境の設定
残る1枚のLANインターフェースの設定を行います。
たいていの場合,インターネットに接続する側のIPアドレス(とサブネットマスク)はDHCPサーバーによって自動的に割り当てられることがほとんどですが,プライベートLANにおいてはルータやWindowsNTServerでもない限り自動的には割り当てられないので,プライベートアドレスを設定します。
5:サービスパック,修正パッチ適用
OSのサービスパック,各種修正パッチ(Y2K問題,IE・OEのセキュリティ関係など)を順次適用していきます。
最初にこれをやらなかったのは,標準のセットアップではネットワーク関係のファイルは標準ではセットアップされないことが多いからです。つまり,ネットワーク関係の部分だけ,修正がなされていないままになってしまうからです。それでは意味がないですからね。
6:クライアントPCのLANセットアップ・設定
LANインターフェースのセットアップとIPアドレス関係の設定が主です。
IPアドレス(とサブネットマスク)は,やはり手動設定になります。当然ですが,サブネットマスクはサーバーと同じに,IPアドレスはサーバーとは異なるものに(サブネットマスクの部分は同じでないと通信ができませんから気を付けて)します。
コマンドプロンプトからpingコマンドを使用して,問題なく動作しているかどうかを確認しておきましょう。
7:プロキシサーバーソフトのセットアップ
ソフトのマニュアルに従って,セットアップ,設定,動作確認をしていきましょう。
ソフトによっては,クライアントの情報を登録しておく必要があったりします。また,プロバイダ関係の情報(アカウント情報),メールサーバー関連情報(メールアカウントの情報)など,利用するものによって必要な作業が代わってきます。こればっかりは……マニュアル相手に頑張るしかないですね。
市販のソフトの場合,メーカーのホームページで設定手順が開設されている場合もあるようですので,事前の情報収集も忘れないように。
また,アップデート用の差分が公開されている場合もありますから,必要に応じて導入しておきましょう。
8:クライアントPCのインターネット設定
インターネットへの接続設定で,「プロキシ」の設定を変更します。
InternetExplorerの場合
ツール(T) → インターネット オプション(O) → 「接続」タブ → LANの設定(L) → プロキシサーバーの詳細(X) と進んでいきます。
HTTP,Secure,FTP,Gopher,Socksそれぞれの場合について,使用するプロキシサーバーのアドレス(手順4で,サーバーパソコンに設定したIPアドレス)とポート番号(普通マニュアルに載っています)を記入します。
NetscapeNavigatorの場合
編集(E) → 設定(E) → カテゴリ「詳細」 → プロキシ → 手動で設定する 表示(V) と進んでいきます。
IEの場合と同様に,それぞれのサービス毎にサーバーのIPアドレスとポート番号を記入します。
もちろん,メールソフトの設定も忘れないように。
9:動作確認
ここまでが問題なく完了できていれば,それでOKのハズです。
とゆーことで,クライアントPCからインターネットへのアクセス,メールの送受信,FTPによるファイルのアップロードなど,普段やっていることが問題なくできるかどうかを一通りためしてみてください。
正常にいかない場合のチェックポイントとしては……
・プロキシサーバーマシンの動作(インターネットへの接続)
・プロキシサーバー(ソフト)の設定
・プロキシサーバーのLANインターフェース設定(LAN側)
・クライアントのLANインターフェース設定
・クライアントのソフトの設定(プロキシを使用する設定に)
ざっとこんなところ……だと思います。
<注意点>
プロキシサーバーが稼動していないとインターネットに接続できないのは,間違いなく難点です。特に,家庭内で離れた場所にパソコンが設置してあるような場合には。
サーバーですから,常時稼動させておいても別段悪くはないのですが,セキュリティ面でいえばやっぱり心配は残ります。どんなに凄腕のクラッカーであっても,電源の入っていないコンピュータに外部から(オンラインで)侵入することは不可能ですから(笑)
その意味では,使わない時には電源を切っておきたいのですが……。
その方が,電気代の節約にもなりますし。いくら起動してしまいさえすれば,ディスプレイは不要とは言っても……無視はできないですよねぇ。ルータだったら無視してもいいと言うつもりはないですが,それに比べたら大きいのは確かですし。
それから,ウィルス対策などが必要なのは間違いありません。
その意味では,管理の必要なコンピュータが1台増えてしまうのも事実です。
また,場合によってはWindowsNT系が必要になりますから,そうなると9x系とは異なった操作方法や考えが必要になります。特にユーザーアカウントの管理は。できれば,Administratorで常用するのは止めた方が良いでしょうが,そのあたりの概念的なことの理解も結構やっかいです。2000になって,NT4よりは多少使いやすくなったような気はしますが,下手すると肝心な部分をユーザーから見えなくして,それで見掛け上設定作業が減ったように見せているだけ,の様な気もします(私見です。あくまでも)。
なお,後述のルータの導入もそうですが,CATV回線の場合,プロバイダの規約を事前に良く点検しておいたほうがいいでしょう。
プロバイダによっては,ルータやプロキシサーバーの設置を制限しているところもあります。そのような場合,アカウントの取り消しなどの対象となることも考えられます。
注意しましょう。
・複数台PCの(インターネットへの)同時接続でのルータ使用
<目的>
インターネットからLAN内部の共有リソース(ファイル,プリンタ)へのアクセスを遮断する。
+ (1つのアカウントで)複数のパソコンから同時にインターネットにアクセスできるようにする。
<概要>
現時点において,個人レベルでCATV回線,ADSL回線を利用しての複数台PCの同時接続を行うとなると,そのための手段は事実上,ルータの使用ということになるのではないでしょうか。
Windowsには「ダイヤルアップ接続の共有」という機能もありますが,それでは該当のパソコンは常に起動していないといけないなどの制約もありますし,外部からの侵入の危険性もあります。
そうなると,セキュリティ機能をもったルータが最も簡単な解決ということになるでしょう。
<弱点>
ルータのセキュリティ機能そのものにバグなどあった場合にはどうしようもないでしょうが,そうでなければ,まず問題はないと思います。
当然ながら,設定ミスなどはない ものと仮定しての話です。
どんな機械であっても,その性能を正しく引き出すためには,利用者が正しく使用することが必要なことには変わりありませんから。
<補足>
プロバイダによっては,ルータの設置が制限されているところもありますので,事前にプロバイダの利用規約を確認する必要があります。
最悪の場合,アカウントの取り消しということも考えられます。明らかに利用規約に違反しているとなれば,当然の結果ですが,そうなってしまうと色々と後がやっかいですし,なにより「お金と手間をかけて(社会的な)トラブルを引き起こしただけ」になってしまうのも馬鹿らしいですからね。