Windows XPからOSに標準で搭載されるようになった「Windows ファイアウォール」の機能についての話。「Vistaからは機能が向上してまともに使えるようになった」とWebで良く見かけるものの、どうやらそうとも言い切れないようなので気になった部分をメモ。
前提知識
- インバウンド - コンピュータの外部から内部への通信
- アウトバウンド - コンピュータの内部から外部への通信
基本的にファイアウォールと言えば上記の両方を遮断・制御する機能を持つ。が、XPのWindowsファイアウォールはインバウンド(外部から内部への通信)しか制御できなかった。つまり何らかの原因によって「アンチウイルスソフト等で検出できないトロイの木馬などに感染した場合、被害を防げずPC内部の情報が流出する」という事態が発生してしまうことになる。(正確にはトロイの木馬はウイルスとイコールではないが、アンチウイルスソフトで駆除できる場合がほとんど。)
Windows Vistaからは機能が強化され、従来の「インバウンド通信の遮断」に加え「アウトバウンド通信の遮断」も出来るようになった。こちらは「セキュリティが強化されたWindowsファイアウォール」という名称がつけられ、従来のWindowsファイアウォールとは区別されている。(ただし画面上では普通に「Windowsファイアウォール」と表示されていることが多い。)注意点としては、初期状態ではアウトバウンド通信に関してはブロック設定がOFFになっているので従来のファイアウォールと機能的には変わらず、前述の「セキュリティが強化されたWindowsファイアウォール」を使用するには手動で設定を変える必要がある。
ここまでが前提知識。つまり「VistaからはWindowsファイアウォール機能が向上してまともに使えるようになった」というのは、正確には「Vistaからは『セキュリティが強化されたWindowsファイアウォール』機能が追加されてアウトバウンド通信が制御できるようになり、それによってファイアウォールとして『標準的』といえる機能を実装するようになった」という意味だ、ということになる。
それではこの「セキュリティが強化されたWindowsファイアウォール」を使用すれば、有料無料問わず各種存在するパーソナルファイアウォールソフトを入れる必要はないのか?というのが本題。(最初から機能が存在しないXP以前を除く。)OS標準の機能で十分なら無駄なコストや手間もかからず、ユーザとしてありがたいのは間違いない。
お世辞にも「使える」とは言い難いWindowsファイアウォール
先に結論を書いてしまえば、「標準的なファイアウォール機能を見込んで個人がWindowsファイアウォールを使うのはあまり現実的ではない」というのが個人的な結論。というのも以前より機能強化された「セキュリティが強化されたWindowsファイアウォール」とはいえ、以下のような仕様や制限が存在するため。
- 初期設定ではアウトバウンド通信がすべて「許可」になっているため、「機能としては存在していても動作してない」という状態になっている。
- 設定変更はできるが標準的なインターフェースからではなく、「管理ツール」から(別の)設定を開かないと項目自体が存在しない。(Windows 7からはもう少し楽にアクセスできるようになった。)
- 機能は備えているので設定を「ブロック」に変更すればアウトバウンド通信は遮断されるが、(自分が使おうとしたアプリケーションが通信しようとしても)個別に例外設定を指定できるダイアログやバルーンが表示されないため、そのままでは必要な通信も問答無用でブロックされ続ける。(一般的なパーソナルファイアウォールでは、通信しようとした時点で警告を兼ねたダイアログなどが表示され、容易に設定が変更できる。)
- 設定を変更するにはファイアウォールの設定画面から、アプリケーションごとに個別の「送信の規則」を作る必要があり、事前に面倒な作業を何度も繰り返す必要がある。(しかしそれをしないと、素通りか完全にブロックかのどちらかしかできない。)
個人的見解を述べれば、実に有意義な機能だとベータ版のころから期待していたが、マイクロソフトは同機能をユーザーに勝手に使われたくないのか、先の簡易的なインターフェースからアウトバウンドを制御する項目を用意していない。
アウトバウンドの設定は管理ツール下にある「セキュリティが強化されたWindowsファイアーウォール」から操作し、「規則に一致しない送信接続」を有効にすることで使用が可能だが、例外設定を促すダイアログが表れないため、「送信の規定」で社内のセキュリティーポリシーに沿った定義を作り上げる必要がある。
一般的な個人向けファイアーウォールソフトと比較すると首をかしげる仕様だ。同機能に期待していた私にとっては実に残念だが、前述のような作業が必要となるため、個人利用でアウトバウンド制御を行なうには、煩雑な操作が必要になることを覚悟していただきたい。
第4回 ネットワーク機能刷新・オンライン会議も便利に PC&デジタルカメラ-ビジネスユーザーのためのVista講座:IT-PLUS
引用元にも書いてあるが、この実装具合から勝手に推測すると「通信をデフォルトでブロックするようになるとそれが原因でトラブルが増えることはほぼ確実なので、意図的に機能をOFFにしている」のではないかと思う。要するに
「ファイアウォール機能は強化されたがインターフェースがクソなので激しく使いにくい。アウトバウンド通信を制御したいなら、サードパーティのパーソナルファイアウォールを使った方が断然楽(だし、そもそも初期設定では機能がOFFにされてて通信を防げないから「標準ファイアウォールがONだから安心」とか勘違いしない方がいい)」
と考えた方が良さそう。
ただし「特定のグループ(組織)内で決められたアプリケーションしか使わないので、セキュリティポリシー(設定)を使い回せる。新規に通信を行うようなアプリケーションは入れないし、サードパーティのパーソナルファイアウォールはなるべく入れたくない」という場合ならいいかもしれない。そんな個人ユースの人がどれだけいるのかは別として。
この記事へのコメント
コメント機能を利用するにはログインする必要があります。「Disqus」または「Twitter」「Google」「Facebook」などのアカウントが使用できます。