皆さん、曼陀羅ニュースで最も多く配信されている記事は何だと思いますか? インデックスページに「種類別」の記事一覧へのリンクがあります。 そこを見て貰えれば一目瞭然、「セキュリティ」の記事です。
曼陀羅ニュースの配信目的の一つに、情報セキュリティの啓発活動があります。ITC が持っているセキュリティ情報を公開し、皆さんに対策を行って貰うことで、ウイルスを初め様々な脅威からの被害を未然に防ぐ、又は被害が最小限に抑えられる事を願っております。
さて、今回は PC のセキュリティ対策の一つ「ファイアウォールソフトの利用」についてです。 以前配信した記事「ファイアウォールソフトでセキュリティアップ!」の再確認と、Windows ファイアウォール機能の診断に関連して確認された事についてご紹介します。
目次
ファイアウォールの機能
ファイアウォールとは、パソコンとネットワークの間で許可のない通信を阻み、「外部から侵入しようとするコンピュータウイルス」や「悪意を持った人物などからの不正アクセス」をシャットアウトするシステムです。
- ファイアウォールの機能
- 許可された通信だけを通す
- ネットワークからの不正な侵入を防ぐ
- PC 内部のソフトによる勝手な通信を防ぐ
ウイルス対策ソフトがあれば、ファイアウォールは必要ない!?
そんな事はありません。ウイルスの伝播が速く、対策ソフトがまだ対応していないウイルスが来る場合もあります。 そのような時、ファイアウォールがウイルスの侵入を水際で防いでくれるかもしれません。
また、万が一ウイルスに感染して不正な通信を始めた時、ファイアウォールが通信を阻んで被害が広がるのを防いでくれるかもしれません。
ファイアウォールがあればウイルスに感染しなくなる、というものではないですが セキュリティ対策に有効な手段の一つだと言えます。
Windows には OS 標準でファイアウォールが付いています。 しっかり活用してセキュリティを向上させましょう!
Microsoft Windows 上のファイアウォール機能診断
総合情報基盤センターでは、Microsoft Windows 上のファイアウォールソフトが正しく機能しているかどうかを定期的に診断しています。
Microsoft Windows セキュリティ向上への協力依頼
年2回実施し、毎回 約25~50台 の PC が問題有りと診断されます。 問題のある PC については研究室の先生や PC の管理者に連絡し、対応をお願いしています。
以前はファイアウォールソフトを機能させていないケースが主でしたが、最近は設定や使い方に問題があるケースが増えています。
- 設定していたソフトとは別のファイアウォールソフトが有効になっており、 そちらの設定に問題があった。
- 設定などに問題は無いが、通信が遮断されない。 結局、ファイアウォールソフトの再インストールで正常動作した。
- 全ての通信を許可する設定が入っていた。
- セキュリティ設定が緩く、不要な通信も許可されていた。
- リモートアシスタンスなどの通常使わないサービスのため、ポートが開いていた。
ファイアウォールソフトの動作不良やうっかりミスはもちろん、 設定による問題は分かりにくいものです。 それら問題のある PC を定期診断により見つけていますが、 今一度ファイアウォールソフトの設定を確認してみましょう。
ファイアウォールソフトの設定
セキュリティ向上のため、使用しないポートは閉じておきましょう。
この閉じて欲しいポートの代表は TCP-135,139 番です。
135 番を閉じると問題がある時(研究で必要な時など)は 139 番だけでも閉じておきましょう。
139 番については TCP-445 番が使えたら通常閉じても問題ありません。
ファイアウォールソフトの設定、確認方法は下記ページをご参照ください。
- Windows Vista のファイアウォール 設定・確認方法
- Windows Vista のファイアウォール詳細設定
- Windows XP のファイアウォール 設定・確認方法
- ウイルスバスター2010 のファイアウォール 設定・確認方法
- Symantec Endpoint Protextion 11 のファイアウォール 設定・確認方法
McAfee インターネットセキュリティのパーソナルファイアウォールの機能不全
2013年6月の診断時、ファイアウォールソフトを導入しているにも関わらず、ポートが閉じておらず ファイアウォールが機能していないように見える PC が数台ありました。確認すると、全て同じ製品 「マカフィー インターネットセキュリティ」が使用されていたため、ITC で調査を行いました。
その結果、以下の事象が確認されました。
- 調査は マカフィー インターネットセキュリティ2013 で実施
- 以下の問題点は マカフィー テクニカルサポートセンター に報告し、McAfee 開発担当部署にて確認された事象
確認された事象
マカフィー インターネットセキュリティを開くと図2の通り、ファイアウォールを含め正常に機能しているように見えます。
ただし、次の通り特定のポートやサービスをブロックできず、ファイアウォールソフトとして機能していません。
また、特定のポートをブロックする設定を追加しても、通信がブロックされない。
手動で IP アドレスを設定してもファイアウォールは機能しない。
つまり、全ての通信を許可/全ての通信を遮断、どちらかの状態にしか設定できない。
「マイホームネットワーク」が機能していない
マイホームネットワークはホーム画面から「パソコンとホームネットワーク用のツール」から確認できます。(図1参照)
マカフィーの見解
マカフィー・テクニカルサポートセンターより届いた、開発担当者による本現象に関する見解を簡単にまとめると次の通りです。
- 「マイホームネットワーク」の機能不良の原因は、PC に Global IP が設定されているため。
「マイホームネットワーク」は Private IP が設定されるネットワーク環境を想定して開発されており、 Global IP が設定される環境での正常動作は保証されていない。
- 「ファイアウォール」と「マイホームネットワーク」では、一部共有のドライバが使用されており、Global IP の使用が、ファイアウォールの動作トラブルの要因となっている可能性が想定される。
その後、マカフィーで Global IP アドレスを設定して検証を行ったところ、NAIST で発生している事象が確認されたと報告がありました。
NAT を持ちいたネットワーク環境であれば、PC に Private IP アドレスが設定されており問題はありません。ですが、PC に Global IP アドレスが設定されるネットワーク環境ではマカフィーのパーソナルファイアウォールは機能しない事になります。
ファイアウォール機能の確認
以下の2つに該当する場合、パーソナルファイアウォールは機能していないと予想されます。
- PC に Global IP アドレスが設定されている。
- 「マイホームネットワーク」を開けると「ネットワークを検出しませんでした」と表示される。
インターネットセキュリティのホーム画面を見ただけでは正常に機能しているように見えるため、気が付きにくい問題だと思います。
ファイアウォール機能を有効にするには
マカフィー パーソナルファイアウォールが機能していない場合は、その使用を諦め、Windows 標準のファイアウォール機能を使用する必要があります。
ですが、パーソナルファイアウォールがインストールされていると、Windows ファイアウォールを有効にする事ができません。
そのため、以下の手順が必要になります。
- マカフィーインターネットセキュリティをアンインストール
- インターネットセキュリティをカスタムインストール
- 機能の選択で「McAfee Personal Firewall」のチェックを外し、パーソナルファイアウォール無しでインストール (図4参照)
- Windows ファイアウォールを有効化
最後に
ネットワークに接続したパソコンは、ウイルスを初めとする様々な脅威にさらされています。 そのような脅威からパソコンを守るのにファイアウォールは役立ちますが、それには ファイアウォールを常に有効にしておく必要があります。
ファイアウォールソフトを正しく使い、あなたの PC のセキュリティを向上させましょう。
ネットワークに繋げた PC は曼陀羅システムを構成する一員となります。 一人ひとりがセキュリティ対策をしっかり行い、安全なネットワーク環境を構築しましょう。