Windows XP Online Book    
HOME
 
■安くて簡単なセキュリティ対策
    スパムメールやウイルスを添付したメールが激増している。ほとんどのユーザーは、アンチウィルスを稼動させているはずであるが、「狙われた」ユーザーにとってこれだけでは不十分である。フリーウェアの効果的な利用を中心に、セキュリティ対策を整理しておく。


  1. なぜアンチウイルスだけでは不十分なのか

    インターネットの脅威は、メールに添付されたウイルスだけではない。すなわち、ウイルスに加えて、フィッシングを目的としたウェブサイト、不法勧誘や架空請求等を目的としたスパムメール、個人情報を盗用するスパイウェア、パソコンの支配や破壊を目的とした「トロイの木馬」、その他セキュリティホールを狙った不正アクセス等、数多くの危険が存在する。

    現在、セキュリティソフトウェアを開発し販売するメーカーの技術力は、超一流のハッカーやクラッカーに比較して、決して勝っているとはいえない。ウィルスを例にとると、彼らは、新種や亜種のウイルスが発見されると、数日中にワクチンを開発しユーザーに提供する能力がある。しかし、次にハッカーが作り出すパターンを予測して、あらかじめアンチウイルスの定義ファイルに組み込んでおくことは難しい。

    結局、パターンファイルが膨れ上がるだけで、ウイルスが消滅することはない。根本的な解決策にはなっていないのである。さらに、スパイウェア、トロイの木馬等への対応や、ファイアウォールの使い勝手を見ても、いまだ開発途上であり、多くのユーザーはまだ完成していない製品の購入を強いられ、毎年アップグレードと称して更新費用を払うことになるのである。

    各メーカーの提供するアンチウイルスは、これらの脅威の一部にしか効果はないし、カバーする領域もまちまちである。ユーザーは、自分のパソコンの環境やネットワーク環境の弱点を理解し、各々の脅威への対策を自ら選択し施行しなければならないのである。



  2. まず、これだけは知っておこう

    ○あなたのパソコンのガードはどの程度?

    オンラインセキュリティスキャンでチェックしてみてください。
    この結果「要注意」がひとつでもあれば、対策を講じる必要があると考えてください。

    ネットワーク環境によってもセキュリティのレベルは大きく変わる。たとえば、グローバルIPアドレスが長時間固定されているユーザー(プロバイダに接続しっぱなしのパソコン)は、狙われる確率が高くなる。ルーターを介してインターネットと繋がっているパソコンは、モデムと直接繋がっているパソコンよりもガードが硬いといえる。しかし、LAN環境では、1台侵入されるとどっと他のパソコンに広がってしまう危険性もある。まず、自分のパソコンの環境をよく理解し、それに最も適した対応をしていただきたい。

    ○アンチウイルスやファイアウォールは万能ではない

    脅威が入り込むルートは多種多様である。メールの添付ファイルとして侵入するウイルスは、ユーザーには比較的分かりやすいし、ほとんどのケースでアンチウイルスがガードしてくれるだろう。ウェブサイトからダウンロードするファイルに付着してくる場合には、アンチウイルスが効かない場合がある。アンチスパイをインストールしていれば、発見できることもある。

    メールも含めて、インターネットとのやり取りには、目的別/アプリケーション別に通信ポートが割り当てられるが、そのポートを経由するやり取りになりすまして侵入する脅威もある。それらは、ファイアウォールが有効ならブロックしてくれるはずであるが、パーソナル・ファイアウォールをインストールしているユーザーは以外に少ない。(インストールしても頻繁な警告や使い難さからアンインストールしたり、無効にするユーザーも多い。)さらに、他のメディア(CD、フロッピー等)から侵入する場合もある。

    ○セキュリティとパフォーマンスは反比例する

    インターネットの脅威をブロックするソフトウェアをインストールすると、パソコンの処理が遅くなる傾向がある。特に、メモリの少ない非力なパソコンや、やや古めの遅いHDDを搭載しているパソコンは、起動時間や処理時間にかなりの影響を与える。(ベンチマークソフトを実行して比較してみるとよいだろう。)また、あってはならないことであるが、他の常駐ソフトと無理に共存させようとすると、Windows が正常に起動しない、などのトラブルが発生することもある。各メーカー共、製品に悪い印象を与える事実は、積極的には発表しないため、ユーザーはメーカーのウェブサイトのFAQ等を検索したり、問い合わせてみて初めて欠陥や不具合を知ることになる。(情報を取得するために、ユーザー登録だけは必ず実行しよう。)

    ○それでもインストールしなければならない

    現在の Windows には、アンチウイルスやパーソナル・ファイヤウォールの機能は無い。したがって、パソコンのソフトウェアや情報資産をこれらの脅威から守るためには、市販の、またはフリーのソフトウェアを、副作用があろうとなかろうと、とにかくインストールする必要がある。

    特に、企業ユーザーの場合は、セキュリティポリシーに準じて、足並みそろえて共通のソフトをインストールしないと、後々のメンテナンスやアップデートの際に苦労する。複数台のパソコンを使用している企業ユーザーの方は是非ご相談ください。



  3. セキュリティの原則を理解する

    1.ネットワーク

    外部(インターネット)との通信はどのような機器を経由して行なわれているか。たとえば、VDSL/ADSLモデムに直接ケーブル接続している場合とルーターを介して繋がっている場合とでは、どこに重点をおくかが異なってくる。企業のネットワーク管理者は、ネットワークのセキュリティレベルを向上させるには、多くの予算を確保しなければならないこと、それでも現在の技術では完全なセキュリティを実現するのは困難であること、したがって、長期的にどのように拡張していくかをまず検討して、IT戦略の中に組み込んでいく努力をすべきである。

    まず、LANに侵入する手前で、脅威をブロックすることを検討する。万が一、侵入を許した場合は、脅威が他のLAN・他のパソコンに拡散する前に、通信を遮断する、ということである。他のパソコン、他のネットワークへの通信経路を断ち、リカバリーを速やかに開始する。無線LANの場合は、アクセスポイントをパワーオフするなどして対処する。

    2.OSとアプリケーション

    Windows Update は、自動・手動にかかわらず実行し、最新の状態に保つ。(現在は、Microsoft Update
    に拡張され、Microsoft Office もアップデートの対象となっている。)

    特定のアプリケーションを狙った脅威をブロックするために、アプリケーション用の(セキュリティ)アップデートは迅速にインストールし、常に最新の状態に保つ。

    3.メール

    まず、メールによる脅威は、最上流でブロックする。つまり、メールサーバー側にアンチウイルス、アンチスパムのフィルターを装備する。プロバイダを使用する場合は、プロバイダのメールサーバーのフィルターを利用する。これにより、添付ファイルの「受信」による被害を最小化できる。さらに、感染して意図せずに脅威を発信することになった場合は、発信の最上流、すなわち、クライアントパソコンから外部への送信を拒絶する必要がある。これは、クライアント側のアンチウイルス、ファイアウォールの役割である。

    メールによる感染が確認されたら、あわてず、まず通信を遮断して修復処理を行なえばよい。通信を遮断しないと、常時接続環境では、不正な送信が行なわれる可能性が高くなる。

    4.ウェブ

    ブラウザのオプション(「セキュリティ」、「プライバシー」、「詳細設定」等)の設定変更を専門知識を持たないエンドユーザーに強いるのは無理がある。やはり、ファイアウォール側でウェブ側とのやり取り(トランザクション)を監視し、ブロックするか否かを判別すべきである。しかし、Windows のファイアウォールは、ここまで詳細な機能は持たないし、現在市販されているパーソナル・ファイアウォールは、外部とのほとんどのやり取りを監視はできるが、判断はユーザーに委ねる仕組みになっている。(ユーザーが指示を間違えれば、次回から通信できなくなる。)

    企業レベルでのファイアウォールが装備されていない環境では、代替案としてパーソナル・ファイアウォールを各々のクライアントパソコンにインストールし、脅威をブロックすることになるだろう。パーソナル・ファイアウォールを上手に使いこなすためには、それなりの技術支援が必要となることを認識して欲しい。

    5.ユーザー

    これが最も重要である。アンチウイルス、アンチスパイ、パーソナル・ファイアウォール等をインストールしても、脅威を「完全」にブロックすることは不可能である。もし、侵入・感染を許してしまった時、それを察知し被害を最小に止める(自分のパソコンだけに留める)ことができるかどうかは、各々のユーザーの意識と判断に依存する。見慣れないメッセージが表示されたり、「もしかしたら、感染したかも」と感じたとき、迅速に行動できるかどうかで、被害の大きさは異なってくる。ウイルスの添付されたメールを送り続けたり、大事なファイルが改竄されているのを気がつかずにいるユーザーは大変多い。


     
  4. 実践しよう、セキュリティ対策

    低予算でできるソフトウェア中心の対策を紹介する。企業ユーザーの場合は、セキュリティポリシーに合わせてガイドラインを作成し、全社共通のセキュリティ対策を実施すべきである。

    *フリーソフトのサポートに関しては、それぞれのメーカーのウェブサイトで確認してください。

    1.アンチウイルスをインストールする

    ■AVAST! HOME EDITION

    ホームユースに限り無料、2ヶ月以内にライセンスキーを取得すると12ヶ月使用できる。キーを更新すればまた1年間使用できる。ビジュアルなユーザーインタフェースで、世界的に人気がある。

    ■Grisoft AVG Anti-Virus Free Edition

    有料版と無料版があり、ヨーロッパ以外の国々に対しては無料版が配布されています。(これもホームユースに限定)アンチウイルスとしての基本能は十分。ただし、市販の多くのソフトと異なり、ファイアウォール機能はない。

    2.パーソナル・ファイアウォールをインストールする

    ■Agnitum Outpost Firewall Free

    Agnitum(キプロスのセキュリティソフト会社)からリリースされている個人向けのパーソナル・ファイアウォールである。有料ビジネスユースの PRO 版に機能制限を加えて個人向けに完全フリー版として提供している。使いこなすには、ある程度知識が必要である。

    ■Zone Labs ZoneAlarm

    Zone Labs 社の 製品である ZoneAlarm Pro の機能制限版のフリーソフト。個人ユーザおよび非営利の慈善団体には無料で提供されている。(ただし、行政機関と教育機関は対象外)
    日本語化用のファイルはこちらでダウンロードできる。
    AVAST! HOME EDITION との共存に問題がある。(改善中)

    3.セキュリティ総合ソフトをインストールする

    ■King Soft Internet Security 2006

    100万本無償ダウンロード実施中。中国のソフトメーカー「キングソフト」がリリースした、アンチウイルス、アンチスパイ、ファイアウォールの機能を持つ総合ソフト。 1年間無料、2年目から年間980円で更新できる。動作はとても軽く、機能的にもほぼ満足できるものである。

    注意点:
    1.込んでいるせいか、アップデートに時間がかかる。(ブロードバンド・ユーザー向け)
    2.共存するメールソフトによって不具合が発生する。(改善中のようだ。)
    3.基本的に、他のセキュリティソフトと共存できない。(Windows の起動に影響することがある。)

    ○その他のセキュリティ対策

    ネットワークの知識を有する専門家がいないオフィスで、「繋がった」「繋がらない」という初歩的なトラブルが発生した場合、その分析と処方は大変難しいといわざるをえない。パソコンや通信機器の再起動で回復すればよいのであるが、多くの場合、変更しなくてもよい設定をし直したりして、ますます迷路の奥深くはまってしまうことが多い。ウイルスや不正アクセスによる攻撃的なトラブルが原因であるなら、処方はまったく異なってくる。こうしたトラブルの問題解決を促進するため、そして、セキュリティレベルの向上のため、各企業においては次のような対策を実施して欲しい。

    1.無線LAN環境では、WEP等での暗号化等によりアクセスできるパソコンを制限する。

    これにより、企業内ネットワークへの第三者のアクセスを完全に遮断する。特に、Windows 標準の無線通信機能を使用してLANを構築している企業(たとえばパソコンに内蔵された無線LANアダプタを使っているモデルに多い)では、アクセスポイントを手動で指定し、他の AP には絶対アクセスできないようにしておく。また、こちらの AP には、外部の第三者からのアクセスができないように、暗号化やアドレスの指定をしておく。

    2.全てのクライアント・パソコンや周辺機器のローカル IP アドレスを固定する。

    固定することにより、IPアドレスの重複による通信トラブルやLANプリンタへの印刷のトラブル等を回避できるかもしれない。なお、「192.168.X.Y」のうち「X」は、よく使われる「0」「1」以外が望ましい。

    3.通信機器を定期的にパワーオフする。

    モデム、ルーター、アクセスポイント等は、定期的にパワーオフすることにより、ネットワークが再構成され通信速度が再設定され、構成によってはアドレスの再設定が行なわれる。また、繋がらない・繋がり難いといった症状が発生した際にも実施してみよう。

    4.パソコンの常時接続を解除する。

    LANユーザーは、パソコンを起動すると、通常ルーターにつながり、メールソフトやブラウザを起動するとインターネットに接続されるはずである。勤務時間中このままだと、最初に割り当てられたグローバルIPアドレスがそのまま使用される。長時間IPアドレスを固定することは、外部から不正アクセスされる可能性が高くなると考えてください。インターネットを使用しない時間帯には、接続を切るということを習慣化して欲しい。これは、ネットワークの負荷を軽減するという効果も期待できる。

    5.パソコン起動時のパスワード設定
    ▼スタート>コントロールパネル>ユーザーアカウント>アカウントを変更する>パスワードを変更する

    大切な業務情報や個人情報を参照できるパソコンには、必ず、起動時のパスワードを設定してください。万が一パソコンが盗難にあった場合でも、情報を盗まれずに済むかもしれない。

    6.離席時のスクリーンセーバー設定

    環境にもよるが、第三者が侵入しやすい構造のオフィスでは、長時間離席する際に、パスワード付スクリーンセーバーを実行してから席を離れることを義務付けたほうがよいだろう。これもフリーウェアと組み合わせれば簡単に設定できる。

    7.盗難予防

    ノートパソコンには、暗証番号が設定できるセキュリティチェーンをかけておく。その他、外付けHDDなどのリムーバルメディアの取扱いも慎重にしよう。



Windows XP Online Book    
HOME