パソコンのセキュリティ / 対策ハードウェア

7.1 ルータ

現在、一般的に個人用のルータ（Router）と呼ばれているものは、ブロードバンドルータ（Broadband Router）というものです。
このブロードバンドルータは、 FTTH（Fiber to the Home：光回線）や ADSL（Asymmetric Digital Subscriber Line）などの接続も、ルータの電源を入れれば勝手に行ってくれる機能を持っているものです。そのため、ブロードバンドルータを利用すると、プロバイダへの接続が専用のソフトウェアをパソコンにインストールして、手作業でいちいち行う必要がなくなります。ルータの電源さえ入れっぱなしにしておけば、プロバイダへの接続を常に保ってくれます（なんらかの障害で接続が切れても自動的につなぎなおしてくれます）。ですから、ルータにつながったパソコンを起動すれば、すぐにインターネットにアクセスできるという便利な環境を手に入れることができます。

また、ルータの本来の機能として、１つの回線（プロバイダの接続）に複数のパソコンを接続し、それぞれがインターネットにアクセスすることができます。

ここで、登場するルータの機能が NAT（Network Address Transfer）やIPマスカレード（IP masquerade）と呼ばれるものです（基本的な原理は同じようなものです）。これは、ルータに複数のパソコンを接続したとき、インターネット側からは１台のパソコン（実体はルータ）にしか見えないようにする仕組みです。
このとき、ルータにつながった複数のパソコンには、プライベートアドレス（Private Address）と呼ばれる番号が振られます。この番号は外部（インターネット側）から知ることができないため、ルータをこれを利用して、ルータ上にファイアーウォールが形成されます。

ルータを境にインターネット側を WAN（Wide Area Network（注：インターネットだけとは限りません））、自分のコンピュータたちのネットワークを LAN（Local Area Network）と呼びます。

つまり、ルータを設置するだけで、

パソコン上でプロバイダに接続する手順をいちいち踏まなくても、すぐにインターネットにアクセスできる。
１つのプロバイダへの接続で、LAN 内に接続された複数のパソコンが、それぞれ別のパソコンとしてインターネットにアクセスできる。
ファイアーウォールが形成されるため、 WAN 側からの攻撃をシャットアウトすることができる。
LAN 内の複数のパソコン間で通信（フォルダの共有など）も可能。

というメリットがあります。

では、ルータという機械でファイアーウォールが形成されるので、パソコンにファイアーウォールソフトは不要か、というとそうではありません。

ルータと言えどもコンピュータ製品であるため、バグが存在します。 WAN 側（インターネット）からルータに攻撃を与えることはできますので、万が一、ルータを乗っ取られたり、設定を変えられてしまった場合には、攻撃が LAN 内部におよぶ可能性もあります。
ルータを介せずに LAN 内に持ち込まれたウイルスの攻撃にはルータは無力です。また、メールやホームページのアクセスによって、パソコンがウイルスやスパイウェアに感染した場合もルータは防御することはできません。
基本的にルータのファイアーウォールは WAN 側からの攻撃をシャットアウトしますが、 LAN 内部からインターネットへの通信は通過させてしまいます。したがって、スパイウェアなどに感染し、そのスパイウェアが搾取した情報を外部に送信しようとしたとき、ルータのファイアーウォールはそれをブロックせずに通過させてしまいます。

このように、ルータは便利な面もありますが、ルータのファイアウォール機能を過信してしまうのは危険です。ルータに接続するパソコン１台１台にも、十分な機能をもったファイアーウォールソフトや、スパイウェア対策ソフトを導入する必要があります。

ルータを導入しても、各パソコンにもファイアウォールソフトは必要。

最近のルータには、複数のネットワークケーブルをつなげるようになっているものが多いです。

筆者が使用しているルータの背面。
４台のパソコンが接続できる。

そして、そこに接続したパソコンには IP アドレスが自動的に振られます。この機能を DHCP（Dynamic Host Configuration Protocol）と呼び、ネットワークに詳しくない人でもインターネットにアクセスできる設定を自動的に行う仕組みです。
Windows ではネットワークの接続の設定で IPアドレスを自動的に取得するという設定が DHCP を利用する設定になります。

この機能は家庭でルータを使用する場合はとても便利なのですが、これが会社のフロアなどでの DHCP の使用は十分な注意が必要です。
会社のネットワークで DHCP が有効になっている場合、パソコンをネットワークに接続して電源を入れるだけで、すぐに使用可能な状態になるため、ノートパソコンなどは接続する場所を選ばずに使用できます。
しかし、一般の会社には多くの人が出入りするため、情報を盗み出そうとする人が、一般のフロアに潜り込んでもすぐには見つかりにくい状況にあります。潜り込んで、ノートパソコンを空いているネットワークの口にネットワークにつないでしまうと、潜り込んだ部外者が、あっという間に社員と同じ正式な接続を取得することができてしまいます。

ですから、会社などのネットワークでは、

DHCP を有効にしない。
パソコン１台１台に個別の IP アドレスを設定し、管理する。
回線を監視し、登録されていない IP アドレスを使用しているパソコンを見つけ出すソフトウェアを導入する。
ルータやハブ（Hub : ネットワークケーブルを分岐させる機器）で、空いている口は封印する。また、パソコンがつながっていないネットワークケーブルは取り除くか、封印などを行う。

などの対策をしておかないと、サッと来て、サッと接続され、サッとなりすまされ、サッと重要な情報を盗み出されてしまいます。

ルータには処理速度があります。たとえば、100Mbps のプロバイダとの接続に FTTH の光回線を用意しても、ルータの処理速度が 20Mbps の場合、インターネットへのアクセスは最大でも 20Mbps になってしまい、せっかくの 100Mbps の回線能力が活かされません。ルータを購入する場合は、回線の速度とルータの処理速度のバランスをとりましょう。