セキュリティの基本

基本ということで、ごく基本的な事柄からどうするべきかを考えていきたいと思います。

まず家庭内LANだと仮定させていただきます。
現状ではWAN(インターネット)に直接パソコンをつないでる人は少ないとは思います。
でも、おられると仮定してどうしてルータを導入するのかという点を説明させていただきます。
下記の にも関係するはなしですが、日々セキュリティホールが見つかったという情報をよく目にされると思います。
悪意を持った攻撃者はウィルスやワームなどありとあらゆる手段を使って、こちらのパソコンに侵入しようとしてると思ってください。WANに直接パソコンがつながってる状態であれば、OSの機能だけで防御をしている状態です。その状態より対策したとしてインターネットセキュリティソフトを導入したとしても、『セキュリティホールが次々見つかる現状』で対策が後手後手に回ってる状態で、安全とは言い切れません。(インターネットセキュリティソフトの多くがソフトウェアで作ったルータ機能を経由させて動かして安全性向上を図っている状態です)

ではどうすればいいのでしょうか?
ここで攻撃側の目的には大きく分けると

この2点になります。 ルータを導入することによりどうなるんでしょうか?
その前にルータの基本的な機能について述べなくてはなりません。
ルータとはネットワーク間を中継する装置のことで、相互のネットワークのプロトコルやアドレスの変換を行うものです。
その機能を使い、グローバルIP1つに対してプライベートIPを複数を対応させることができることにより グローバル側(この場合インターネット)からの直接的アクセスを遮断することができることが使用目的です。簡単に説明しますと郵便に(たと)えれば、マンションに住んでる場合と一戸建てに住んでる場合といえます。グローバルIP付与状態は一戸建てです。 ルータ経由はマンションです。住所(グローバルIP)がわかれば届くのが一戸建て、部屋番号がわからなければその先に進めないのがマンション。ルータは親切な郵便屋さんではないので部屋番号分からなければ「届けられないと返事」、「破棄しますと返事」、「何も言わずに破棄」や「無視する」などの対応をします。部屋番号を調べて届けてくれることはありません。ただし、ポートフォワーディング、DMZの設定してる場合はこの限りではありません。 必要のない限りはDMZ、ポートフォワーディング設定はしないほうが賢明です。設定した場合は、マンション一階にある郵便ポストがいっぱい集まったもののところに名前を姓名ともに書いてるような状態ですから、部屋番号が推測されることと同じように外部からの通信が直接的に届いてしまいます。

インターネットセキュリティソフトでルータ機能を作り出してその機能を利用してるならそれでいいんじゃないかという疑問も生じるでしょう。でもソフトウェアでその機能を実現してるわけです。そのソフトウェアはOS上で実行してるわけです。そのOSでセキュリティホールが日々次々見つかってる現状でそれを信用しきることには不安があります。

少し具体的に考えてみます。直接攻撃にさらされるのはルータです。
メールのリンククリックして悪意のあるプログラムに感染したり 添付ファイル開いて感染などなど こちらの行動が伴うものは後々考えます。ここでは、受動的にはどうすべきかという点を主に考えます。

直接攻撃にさらされた場合、どうなるんでしょうか?
一つのパソコンですべての対策をしていて、しっかり管理されていればある程度安全とも言えるのですが、サービス不能攻撃などを食らった場合には、その限りではありません。そのような場合の対策として主に作業するパソコンとルータ機能を分けておくと、攻撃によりルータがフリーズしても主に作業しているパソコン自体は守られるわけです。

以上のことと、現在ネットワークに繋ぐ機器の増加が著しい環境から、パソコンとは別個のハードウェアとしてのルータの導入とプラスα(アルファ)を条件にセキュリティの向上を考えていきたいと思います。

 ネットワークにつなぐ機器は何ですか?
パソコン一台という人もいるでしょうが、最近の電化製品を見てますとテレビ、レコーダー類(HDDレコーダー、BDレコーダーなど)、ゲーム機器(Wii NintendoDS、Platstation 3、Xbox360など)等々 多種多様だとおもいます。
 費用対効果の面でセキュリティ的にどれぐらいのものが必要ですか?
家庭内LANと仮定しましたから、ごくごく普通に量販店で手に入る市販品でできることに限定すべきでしょう。またメンテナンスという面からも、構成自体簡単で最小にするべきでしょう。
 どんな脅威・危険から保護したいですか?
第三者からの攻撃・侵入に対しての保護が基本になると思います。ルータを導入することにより外部(WAN)とはセグメント(ネットワーク)をわけるべきです。それにより直接的能動的アクセスをLANに対して行わせないことが重要になります。
具体的に上記の3つの条件について考えていきます
 について、繋ぐ機器としてパソコンは汎用性があり 周辺機器でどうにでもなるので大きな割合ではなく、電化製品(テレビ、レコーダー類)は多種多様性がある上に汎用性がないのでイーサネットコンバーター経由で繋ぐのが妥当だと思います。
ここで、問題となるのがゲーム機器です。WiiやPlaystation2、3、Xbox360は有線のLAN端子を準備(最初からついてるものとか後付けでつけるなど)できるのでなんとでもなるのですがNintedoDSやPSPは本体に載ってる機能でどうにかするしかないのが現状です。
PSPでは、ワイヤレスLAN (IEEE 802.11b準拠)(Wi-Fi)に対応
NintendoDSでは、IEEE 802.11対応および任天堂独自プロトコルの2方式に対応
という現状であり、無線LAN(IEEE802.11b)が現実的選択となります。
また、無線LANという選択時にはWii、PlayStation3では初期から本体に内蔵されているので
ワイヤレスになりいろいろな利便性向上という点もあります。
 について、個人での使用という点、での選択から店頭で買える無線LAN内蔵のルータになります。また、別途必要に応じてイーサネットコンバータを導入するのがいいと思います。
無線LAN導入で問題になるのがセキュリティ対策です。
暗号化(WEP方式、TKIP方式、AES方式など)の設定とルータ自体のパスワードをユニークなものに変更することは必須になります。ここで最大の問題になるのがでのゲーム機器を繋ぐ場合です。
ゲーム機器の暗号化の対応状況
機器名 暗号化レベル対応(右へ行くほど強固) 無線規格
Nintendo DS WEP64/WEP128 IEEE 802.11b準拠
PSP WEP64/WEP128/TKIP/AES IEEE 802.11b準拠
PlayStation3 WEP64/WEP128/TKIP/AES IEEE 802.11b/g準拠
Wii WEP64/WEP128/TKIP/AES IEEE 802.11b/g準拠
実際、設定する場合、面倒だと感じるのはNintendoDSとPSPでしょう。ソフトウェアキーボードしか使えませんから、文字入力に難があります。また暗号化のレベルで問題になるのがNintedoDSです。 最高でもWEP128にしか対応してません。現在(2008年02月時点)で破ることが難しいとされているのはAES以上のものですから、出来うるならば暗号化の違いによるアクセス制限ができる機器がよいのですが、機能を求めすぎると機器の選択肢も少なくなるので求めるセキュリティレベルとの相談になります。
簡単に設定したい場合、ゲーム機器に内蔵された機能を使って設定する方法もあります。『AOSS』(バッファロー製)と『らくらく無線スタート』(NECアクセステクニカ製)という機能を使えば楽に接続できますが、問題点もあります。機器の組み合わせにもよりますが、暗号化が低い状態で設定されたりするなどの問題があることを忘れないでください。(ボタンを押していくだけで設定できるのは、ゲーム機に搭載されているのは現状ではこの2つのものしかありません)
では、選択肢としてどのような条件が挙げられるのでしょうか?

購入する機器の選定に入る場合、そのメーカーのWebサイトを確認してファームウェアの更新頻度、FAQの充実度、サポートの充実度なども充分考慮されることをお勧めします。

基本的には設置は購入した機器の説明書通りにすればほとんどの場合は問題ない状態にもっていけるはずです。

念のために設置・運用を始めるにあたっての方針は次にあげることに注意してください。



Copyright (c) 2008.Makotos