Perl/ActivePerl For UNIX/Linux/Windows
 
TryThe Homepage
初めてのCGI
CGI 研究室
ダイナミックCGI
ダウンロード
サービス
サーバ構築(Windows)
データベースアクセス
有料サービス
FAQ
お問い合わせ
このページを印刷
セキュリティ
個人でサーバを立ち上げるうえで最も注意すべき点がこのセキュリティです。 常時接続で24時間繋ぎっぱなし、さらにサーバとなれば24時間電源を切る事ができないだけでなく、 外部からのアクセスを許可しているのですからハッカーにとってはお客様が増えたような物です。
現在では、毎日ハッカー、クラッカーの被害が報告されています。あなたのサーバを破壊するだけでなく、 サーバに進入しあなたのIPアドレスから他のサイトにメール攻撃(SPAM Mail)したり、 IPアドレスを使って目的のサイトをハッキングするなど、その手口は多彩で止めようがありません。

もう1つがウィルス対策です。インターネットに接続されている時間が長くなれば長くなるほど感染する可能性も高くなります。 さらに、サーバは情報を発信しているのですから、知らないうちに訪問者に広げてしまうという事も考えられます。
これらの問題は、なかなかタダと言うわけには行きませんが出来るだけ安価に実現する方法を紹介しましょう。 とは言っても、これらのセキュリティに関する問題は、ソフトを購入したから絶対に安心だという物ではありません。 あくまでもサーバ管理者の手助けを行う物で、 すべての責任はサーバを立ち上げた「管理者」の責任です。
もちろん、本ページをご覧いただきサーバを立ち上げ、このような被害にあわれたとしても当サイトは一切の責任を追う事ができません。 苦情も一切お受けできません。ご自分の責任でご使用ください。
  パーソナルファイアウォール
ファイアウォールとは、文字どおり「火の壁」で、外部からの不正なアクセスを止める壁と言う意味です。
プロバイダや、大手企業、官庁などは、本格的なファイアウォール専用機を設置して外部からの進入に対応していますが、 この機械は安い物でも50万から60万円はしてしまいます。もっとも、 サーバは一般家庭には必要のない物ですから生産台数が少なく、当然単価が高くなるのもうなずけます。
そこで今回はフリーソフトを使用してソフト的に防御(パーソナルファイアウォール)しようと言うものです。
ルータ設定の章でも少し触れましたが、不正なパケットやポートはある程度ルータで阻止していますが、 何もかも止めてしまえばサーバとしての機能が果たせません。 ルータを通ってしまった通信をチェックするのがパーソナルファイアウォールソフトです。
※Windows Xpには標準でパーソナルファイアウォールが装備されています。 市販のファイアウォールソフトを使用する場合はもちろん、フリーのファイアウォールでも、 他のファイアウォールソフトを使用する場合は、Windows Xp標準のファイアウォールを無効にする必要があります。

ローカルエリア接続のプロパティーを表示します。

デフォルトでは無効になっていると思いますが確認しておいてください。
  1. パーソナルファイアウォールのダウンロード
    今回ご紹介する 「ZoneAlarm」は、家庭または、非商用での利用に限り無料でダウンロードする事が可能なフリーソフトです。 商用や、法人で使用する場合は、パッケージソフトを購入していただくことになります。
    ZoneAlarmのダウンロードページからzaSetup_1001.exeをダウンロードします。
    ダウンロードするフォルダは、一応サーバソフト一式の中のC:\SERVER\firewallにでもしておきましょう。
  2. インストール
    ダウンロードしたファイルは自己解凍型セットアッププログラムですのでダブルクリックします。

    インストールするフォルダは、サーバソフトですのでルートディレクトリにしましょう。

    管理者のアカウントと、メールアドレスを記入して[ Next > ]ボタンを押します。

    最後に著作権の再確認のウィンドウが表示されますので[Install]ボタンでインストールが開始されます。

    インストールが完了すると、基本設定が表示されますので、上記のように設定しておいてください。
    [Finish]でインストールは完了です。
    インストールが完了すると、チュートリアルが開始されますので、[Next]で最後まで進んでください。
  3. ローカルのアクセス許可
    Firewallは、ローカルで接続されたコンピュータからのアクセスも遮断します。
    家庭や、会社内のコンピュータからのアクセスは許可しなければプリンターを共有することもできません。
    ローカルのコンピュータのIPアドレスを許可するには、[Firewall]タブの[Zones]を選択します。

    [Add]ボタンを押します。

    許可するコンピュータのIPアドレスと名前を入力して[OK]を押します。
    複数台有る場合はこの処理を繰り返し登録します。
    登録が修理用すると、[Main]タブを押します。

    更新を促すダイアログが表示されますので、[Yes]を押して保存してください。
    これで、基本的な設定は終了です。
  4. アクセスチェック
    使い方は簡単です。常駐しているFirewallが動作するソフトを監視し、 初めてアクセスされたプログラムには警告ウィンドウを表示します。

    ファイル名や、IPアドレス、ポートに見覚えが有れば
    [Remember this answer the next time I use this program]をチェックし、[Yes]ボタンを押します。 これで同じソフトで警告を出さなくなります。見覚えの無い物は[No]をクリックすれば遮断します。
    このサンプルは、グローバルIPを固定するためにインストールした桜時計が インターネットにアクセスしようとしていますので許可しています。
    何度も繰り返すうちに学習されますので使い込めば不正アクセスを発見できます。
  ウィルス対策
ウィルス対策はタダと言う訳にはいきません。フリーソフトが全く存在しないことは無いのですが、 新種のウィルスが毎月のように発見されている現在、フリーの物では対応できないのが現実です。
ソフトを購入するといっても\3,000〜\5,000程度ですので必ずご用意ください。
常時接続が一般的になりつつある現在では、ウィルス監視ソフトとファイアウォールソフトがセットになった商品もよく見かけます。
Norton Interner Securityパーソナルファイアウォール同梱\7,800
Virus Buster 2002パーソナルファイアウォール内蔵\5,400
Virus Scanパーソナルファイアウォール内蔵\5,800
※価格は実売価格
これからご購入をお考えの場合は、 これらの市販ソフトを購入していただけば前項のパーソナルファイアウォールソフトをインストールする必要もありません。
筆者のテストした範囲では、Virus Buster2002は、 メールサーバが使用するpop3のポートをVirus Busterがメールチェックの為使用しますので機能しませんでした。 Virus Busterのメールチェック機能を解除していただくか、メールサーバが使用するポート番号を変更していただく必要があります。
初心者の方にメールサーバのポート番号を変更したり、 メールを受信するメーラーのポート番号を変更することは難しいかと思われますのでこれもお薦めは出来ません。
すでにお持ちの方はVirus Busterのメールチェック機能を無効にしてください。
この3種類の中では、Norton Interner Securityだけがデフォルトのインストールだけで問題なくファイアウォール機能も、 ウィルスチェック機能も動作しています。もちろん、メールサーバが送受信するデータもウィルスチェックされます。 ファイアウォール機能もずば抜けています。(結局いいものは高くなる)
  1. セキュリティリスクの検査
    Noton UtilityでおなじみのSymantec社には、無料で皆さんのコンピュータの セキュリティリスクを検査するサービスが有ります。

    無料ですので現在のあなたのサーバのセキュリティ状態を知っておきましょう。
    その他にもこのサイトには、ネットワーク管理者の為の役立つ情報が「てんこ盛り」です。
    海外にも似たようなサービスは有りますが当然英語版です。 Symantec社なら日本語でわかりやすく解説されています。
  2. Noton Internet Securityのインストール
    私は仕事柄複数のコンピュータを使用していますが、テストをかねて、 できる限り毎回違ったソフトウェアを購入するよう心がけています。
    いろいろテストした結果サーバ機にはNoton Internet Security、クライアント機には安価なVirus Busterを使用しています。
    Symantec社のサイトには学習の為お世話になっていますので、心ばかりの恩返しです。
    ただ、Noton Internet Securityはメモリ常駐量が大きい為、メインメモリが128Mbでも少なすぎます。 最低でも256Mbは搭載しておいてください。
    実行中のソフトや常駐しているソフトが有ればすべて終了させCD-ROMをセットします。
    Windows Xpの場合は、標準のファイアウォールを無効にしてください。
    CD-ROMをセットすると日本語のセットアップウィザードが起動しますので指示に従って進むだけで、 基本的な設定も自動でセットアップされます。
    再起動すればインストールは完了です。
  3. セキュリティアシスタント
    再起動後は自動的にセキュリティアシスタントが起動します。セキュリティアシスタントは、 Noton Internet Securityの初期設定です。

    基本的には、あなたのコンピュータ環境を自動解析して最適な環境に設定されていますので変更する必要はありません。 [次へ(N) >]ボタンを押して確認してください。 
    アクセスチェック
    Noton Internet Securityは、インターネットへのアクセス、 インターネットからのアクセスを検出するとダイヤログを表示して知らせます。

    アクセスされたソフトウェア名と危険度が表示されますので
    ・このアプリケーションによるインターネットのアクセスの許可(P)
    ・このアプリケーションによるインターネットのアクセスの遮断(B)
    ・このアプリケーションのインターネットアクセスのカスタマイズ(C)
    から選択します。
    [このアプリケーションに常にこの処理を使う]をチェックしておけば、 無条件に許可する事も、遮断することもできます。カスタマイズは、一時的に許可したり、 毎回確認するよう設定する事ができます。

    Noton Internet Securityには、この他にも青少年に有害なサイトをブロックする保護者機能、 プライバシー保護機能、ページから広告を削除する機能など、インターネットを快適に利用する為の機能が搭載されています。
  外部からアクセスの問題点
これでローカルエリアネットワーク(LAN)からでも外部からもドメイン名でサーバにアクセスできるようになりました。
ただ、外部からメールサーバにアクセスしてメールを送信したり、 受信する為にはメールサーバを外部からのアクセスでも利用できるよう設定する必要があります。
メールサーバが外部からのアクセスを許可すると言うことは、 第三者が無断でメールサーバを使用してダイレクトメールを送信するSPAMメールの標的とされ、 ひどい時にはサーバがダウンしてしまいます。
現在、サーバ管理者はハッカーより、ウィルスよりSPAMメールを警戒しているくらいです。
今回ご紹介したメールサーバ(ArGoMail)では、このSPAM対策が未対応の為、実質的に使用できません。
どのような問題点が有るのかあげておきましょう。
  1. 苦情や問い合わせ
    踏み台にされて送信されたメールは、このメールサーバから送信された事になっています。 迷惑メールを受信した方々からの苦情はこのサーバ管理者に届くことになり、 この対応だけでも大変です。
  2. ブラックリスト
    次項MDaemonでも説明しますが、インターネットにはSPAM対策の為のブラックリストが存在します。 踏み台とはいえ、このような迷惑メールを続けているとブラックリストにリストアップされてしまいます。 リストアップされたドメイン、IPアドレスは永久にメールを送信する事ができなくなります。
  3. パフォーマンスの低下
    SPAMメールは1通や2通ではありません。数千、数万という単位で送信されています。 これを処理する為にメールサーバは「てんてこ舞い」状態で、他のWebサーバや、FTPサーバにまで影響し、 通常の処理が出来なくなってしまいます。ひどい時にはサーバをダウンさせてしまいます。
  4. 強制脱会処分
    メールサーバは自社で管理しているのですから「プロバイダに文句を言われる筋合いではない」と考えるかもしれませんが、 そうはいきません。数千、数万というメールはプロバイダ経由で届いています。 一部のプロバイダでは、たとえ踏み台であっても迷惑メールを送信したサーバを管理する会員を 強制脱会処分にしている所もあります。
それでは、どのような対処法が有るのか考えてみましょう。
  1. ブラックリスト
    1つ目は既にブラックリストに有るサーバからのメールは中継しない事。 これは採用するメールサーバがブラックリストのデータベースに対応している事が必須です。
  2. メンバー以外の使用を禁止
    メールサーバに登録していないアドレスには中継しない。 つまり、メンバー宛てまたは、メンバーから送信されたメール以外は中継しないようにします。
  3. 指定したドメインの禁止
    ブラックリストは何度も繰り返し迷惑メールを送信したサーバがリストアップされていますので、 今日から始めた代行業者のサーバを止める事はできません。 1度でも自社サーバにアクセスした不正メールサーバは登録できて遮断します。
    また、この逆で、自社アカウントと登録したドメインだけに許可する機能が有ればベストですね。
いろいろと探してはみたのですが、現在のところ、これらの機能を持ったフリーウェアを見つける事ができませんでした。 ほとんど対応しているシェアウェアにはSPA Mailが有ります。 レジスト料も\8,000-と機能にしては安価だと思いますが、私は使ったことがありません。

当サイトはアスキーが発売している「MDaemon」を採用しています。
MDaemonは、アカウントの数で価格が異なります。2002/01月現在では、
ユーザ数Standard版Pro版
629,800円44,800円
1244,800円60,000円
2553,000円75,000円
5068,000円90,000円
100-120,000円
250-150,000円
無制限-225,000円
Mデーモンなら悪質なメールを送信するメールサーバのデータベースを参照してブロックするSPAMブロッカー、 データベースに存在しないドメインやIPを追加してブロックする事も、メンバー以外は使用できない設定、 メールを送信する前にPOPしてパスワードをチェックする「POP ビフォア SMTP」も装備し、セキュリティは万全です。
DNSまで装備した本格的なサーバならメールサーバは多少高価ですが、思い切って導入をご検討ください。
※アスキーにはUNIXでおなじみのsendmailのWindowsNT版も販売しています。
Copyright 2004 Terra. All rights reserved. No reproduction or republication without written