Windows VistaとIPv6でライフハック～日常をちょっと便利にする仕事術第3回

タグ：IPsec Vista ファイアウォール lifehack

2007-01-23 15:25

ネットワークでの不安をなくす仕事術

ファイアウォールやIPsecで安全な通信を行なおう

　個人情報保護法の施行以来、企業にとってはより一層のセキュリティ対策が求められるようになったにもかかわらず、「顧客情報○百件流出」なんて見出しのニュースが後を絶たない。

　ひとたび事件・事故が起きてしまえば、会社にとっても情報が流出された個人にとっても、多大な影響を及ぼすため、特に重要な情報を格納したPCは、厳重に管理してもしすぎるということはない。

　そんな状況でVistaとIPv6を導入することに、いったいどんなメリットがあるだろうか。IPv6はプロトコルレベルでの暗号・認証を行なうIPsecに対応しており、とうぜんVistaでもそれを利用することが出来る。

　また、Vistaに搭載されているファイアウォールも、Windows XPのものとは異なってきちんとIPv6に対応している。

　VistaにはIPv6に対応したファイアウォール機能が搭載されている。その使い方はIPv4の時のファイアウォールと同じように使うことができる。しかし今回はIPv6ならではの使い方も紹介しよう。

IPv6とアドレスフィルタ

　ファイアウォールの基本的な考え方は通信する相手、もしくはポートを制限することで通信の安全を確保するというものだ。IPv4を使う場合なら、アドレスを指定するといってもそれほど困難ではなかった。

　しかしIPv6になるとアドレスを指定するのははっきり言って面倒だ。面倒ということは間違える可能性が高まるという意味でもある。さらにVistaはマルチホームといってIPv6アドレスが複数割り当てられ、通信時にどのアドレスをつかうかということをすぐに知るのは容易ではない。またモバイルで使う場合や一時アドレスといった、アドレスが固定されない可能性も増えてくる。

　そのためIPアドレスでフィルタする方法とともに、VistaのIPv6ならではの通信の保護のスタイルを紹介する。

アドレスフィルタの使い方

　Vistaでは、いままでXPで使えたファイアウォールの設定スタイルがそのままIPv6でも使うことができる。まずコントロールパネルからWindowsファイアウォールを選び、設定の変更をクリックする。

　これはXPで見慣れたものだ。さらに上部のタブから例外を選び、ポートの追加を行う。

　するとポートを追加するウィンドウが表示されるので、名前とポート番号を入力する。ここもXPと同じだ。異なるのはスコープの変更ボタンを押した場合だ。

　ネットワークアドレスの入力例にIPv6アドレスが表示されていることがわかるだろう。XPではコマンドライン(netsh)を使わなければならなかったものがGUIで入力できるようになっている。

　プログラムを指定してフィルタする方法でも前記同様にIPv6アドレスでのフィルタができるようになっている。

　さらに詳細な設定に関しては「Windows Vista β2でIPv6はどう変わったのか？【その2】」を参照してほしい。

Vistaならではのやり方とは

　このようにXPとIPv4でできたファイアウォールの設定はVistaでは自然な形でIPv6でも使えるようになっている。しかし最初に述べたようにIPv6アドレスを直接指定するのは制限も多い。そこでIPSECの仕掛けを使う方法を紹介したい。これは第2回で紹介したIPSECの認証を利用するやり方だ。

　例えばネットカフェや客先からダイヤルアップなどを使って、オフィスや自宅のマシンにアクセスしようと思った場合、1つの方法は自分のマシンのIPv6アドレスを固定にし、受ける側でフィルタすることが考えられる。実際にOCN IPv6サービスを使えば、(サポートの有無は別として)プロバイダを問わずに、同じIPv6アドレスを利用することができる。ところがTeredoというIPv6アドレスを利用するための方法がVistaには備わっている。この２つは併用できるので１つのマシンに2つのIPv6アドレスが付与される。

　さて外部にアクセスする際、どちらのIPv6アドレスを使うのだろうか？答えは「状況による」ということになる。これでは受ける側でフィルタすることは難しい。そこでIPSECの認証を併用する方法が考えられるのだ。