セキュリティ設定

 

トップ ページ 
個人情報管理 
セキュリティ診断 
セキュリティ設定 
自己防衛ガイド 
P-SEC事件簿 
お知らせ 
推薦サイト 
組織概要 

 

 

常時接続時代のセキュリティ設定

フレッツISDNやADSLの登場でインターネットに常時接続時代がやってきました!

    常時接続の時代が到来して、個人のPCのセキュリティについていろいろなところで取り上げられています。そして、多くの人たちが自分のインターネット環境のセキュリティに関心を持ちはじめています。これは、とても良いことでです。でも、
    何か勘違いをしていませんか
    セキュリティベンダーに騙されていませんか?
    ということで、個人の接続環境におけるセキュリティ問題を本質的に見ていきましょう。

常時接続って危ないの?

    まず、ここに大きな勘違いがあるかもしれません。
    常時接続が危ないわけではありません。インターネットが危ないのです。通常のダイアルアップ接続でも危ないのです。
    常時接続が安全であるとは決して言いません。危険です。
    しかし、「常時接続だから危ない」という意識は間違えなのです。そして、「常時接続は危険」ということをキーワードにユーザーの危険意識を高めて、ビジネスを企んでいる人たちがたくさんいるのです。このような流れに、そのまま踊らされない判断力が必要です。

インターネットの危険と常時接続の危険

    では、インターネットに接続している個人PCの危険について考えてみます。ここで説明するのは、サーバーの危険性ではありません。あくまでも、個人のPCの危険性です。
    大きく分けて、インターネット接続時の危険性は2種類に分けられます。

    • リモートから攻撃される危険性
      インターネットに接続している状態で、インターネット上の他のホストなどから攻撃をうけることです。
      • 侵入される
        設定ミスやセキュリティホールなどを利用してあなたのPCの内部の情報を読み出したり、設定を変更したりする
      • 使用不能にされる
        外部からあなたのPCに不正なパケットなどを送りつけて、使用できない状態にする
      • 監視される可能性
        あなたのPCがネットワーク上に存在することなどを監視する。とくにネットストーカーによく見られるケース
      • 踏み台にされる
        あなたのPC上のサービスを利用して(経由して)外部に不正アクセスをおこなう
      • 濡れ衣を着せられる
        あなたのPCのアドレスを装って、不正アクセスを行うことで、あなたを犯罪者に仕立てあげる
         
    • 内部から攻撃される危険性
      ウイルスや不注意によってPC内部で悪意のあるプログラムが動作することによる危険
      • 侵入される、情報を盗まれる
        ウイルスや不用意に実行した悪意のあるプログラムによって、あなたのPCの内部の情報がネットワーク経由で発信される
      • 破壊される、落とされる
        ウイルスや不用意に実行した悪意のあるプログラムによって、あなたのPCを内部から破壊したり、一時的に使用不能にしたりする
      • 監視される
        ウイルスや不用意に実行した悪意のあるプログラムによって、あなたのPCが外部から監視される。場合によっては盗聴や盗撮までも行われる。
      • 踏み台にされる
        ウイルスや不用意に実行した悪意のあるプログラムによって、あなたのPCが他のPCを攻撃し、加害者になってしまう

常時接続のセキュリティ対策

    では、インターネット接続時のセキュリティ対策について説明します。次のように考えてください。

    • 外部からの不正アクセスに対して
      外部からの不正アクセスへの対応は、とにかく不要なサービスを動かさないことです。そして外部からの不要なパケットがPCに到達しないようにします。言い換えれば、自分がインターネットにリクエストした戻りパケット以外はPCに到達しないようにします。
      • 不要なサービスを止める
        DOSプロンプトで、c:\>netstat -a を実行してください。そこに表示されたポートが不要なサービスです。これらは特別な理由がない限り必要ありません。もし、動かす必要がある場合は、必ず外側にルータを設置して不要なアクセスをブロックしましょう。
        Windowsの場合、自動的にMicrosoftネットワーククライアントがインストールされ、netbios関連のポートが勝手に開いています。(135,137,138,139,445など)
        外側にルーターを利用しない場合は、ネットワークの設定でMicrosoftネットワーククライアントを削除してしまうことで対策できます。
        また、Windowsの共有使わない方がよいでしょう。共有パスワードを利用してもセキュリティホールがありパスワードは外部から1秒で解析できてしまいます。(http://www.securityfriday.com 参照)
      • ルータでブロックする
        coregaなどで販売しているブロードバンド用のルータはとても便利です。IPマスカレードで利用すればデフォルト状態でも基本的に外部からの不要なパケットを通しません。値段も14000円程度なので是非導入してください。
      • パーソナルファイアーウォールソフトだけでブロックする <要注意>おすすめしません!!
        パーソナルファイアーウォールソフトウエアでブロックする方法をセキュリティソフトウエアベンダーはPRしていますが、これは危険です。もちろん外側にルータがあればよいですが、ソフトウエアだけの場合は、悪意のあるパケットは確実にあなたのPCにまで到達しています。そして、このパーソナルファイアーウォールソフトウエア自体が、不要なサービスの一つであり使用不能攻撃の対象になってしまいます。もちろんルータとの併用ならOKです。
    • 内部からの不正アクセスに対して
      • ウイルス対策ソフト
        内部からの不正アクセスは、本来はあなたが        うっかりミスをしない限り起こりません。しかし、人間は誰にでも間違えがあるので、その対策としてウイルス対策ソフトを入れておくことは良いでしょう。しかし、ウイルス対策ソフトは補助として利用し、あくまでもあなたが正しい判断をするように心がけることが大切です。
      • パーソナルファイアーウォールソフトウエア
        外部からの不正アクセス対策としては、「おすすめしない」とコメントしましたが、内部からの不正アクセスに対してはかなり利用価値があります。
        特に悪意のあるプログラム(ウイルスではない)が内部で動作し、外部に対して情報を送信しようとしているような時に、これを阻止することができるからです。このような内部からの情報発信は外部のルータなどでは阻止しにくいので、パーソナルファイアーウォールが有効です。

狙われないように

    さて、技術的な対策ができても、本当の意味での安全が手に入れられません。実社会でも同じですが、あなた自信が誰かに「狙われないように」、「目を付けられないように」、「因縁をつけられないように」振る舞うことが大切です。
    常時接続の場合は、長時間おなじアドレスを使うことになるので危険性が増します。あなたのアドレスを装った偽パケットで他のサーバーに攻撃を仕掛け、あなたを陥れることは簡単なことなのです。そして、その場合にあなたは無罪の立証をすることがほとんどできません。とにかく狙われないように注意しましょう。

    • インターネットの常識を知る
      注意したいのは、ポートスキャンなどの不正アクセスを受けた場合です。パーソナルファイアーウォールを導入すると、このような不正アクセスを確認できるようになります。そして、安易にクレームをつけてしまうケースがよく見られます。インターネットでは、この手の不正アクセスは常識なのです。詳しい事情を知らないあなたが「鬼のクビでも捕ったか」のようにクレームをつけない方がよい場合も多いのです。これは、町で怖そうなお兄さんと目が合ったときに「がんくれてんじゃねーよ!」と言っているのと同じ様なシチュエーションです。その結果としてターゲットにされてしまうケースがよく見られます。

Copyright(c) 2000 P-Sec.NET All rights reserved
info@p-sec.net