By: Eric E Castro
Macの純正ファイアウォールも有能だけど…
みなさん、Macで外部のネットワークとの接続を制御する「ファイアウォール用ソフト」って使っていますか?
それともMac純正のファイアウォール機能をお使いですか?
そうそう、Macにも純正の(アプリケーション)ファイアウォールの機能が装備されていますよね。
Macのシステム環境設定の「セキュリティとプライバシー」を開き、「ファイアウォール」のタブをクリックすると、こんな設定画面が出てきます。
⬇
ファイアウォール・オプションをクリックするとMac純正のファイアウォールの詳細な設定ができる。
Mac純正のファイアウォール機能はとても優秀です。外からの攻撃に対して適切なブロックを施すことが出来ます。
まさに「火(に対する)壁」。
しかも設定は簡単。
ファイアウォールの開始方法は、(上記画像のように)「ファイアウォールをオンにする」をクリックでOK。
より詳細な設定がしたければ、「ファイアウォール・オプション」をクリック。
すると、アプリごとの通信の「許可・不許可」の設定が可能です。(ちょっと、ややっこしいんですけどね。。)
その設定が面倒なら、「外部からの接続をすべてブロック」で、基本的なインターネットの接続以外をブロックしてしまうこともできる。(これでかなり安全性が増します。)
* ただしこの機能をオンにすると、共有サービスが使えなくなるので注意が必要です。
「外部からの接続をすべてブロック」とは?
「外部からの接続をすべてブロック」オプションを選択すると、ファイル共有や画面共有などのすべての共有サービスで外部からの接続を受け付けなくなります。次のシステムサービスは引き続き、外部からの接続を受け入れ可能です。
- configd (DHCP およびほかのネットワーク構成サービスを実装するシステムサービス)
- mDNSResponder (Bonjour を実装するシステムサービス)
- racoon (IPSec を実装するシステムサービス)
共有サービスを使う場合は「外部からの接続をすべてブロック」オプションを必ずオフに (選択を解除) する必要があります。
もしも共有サービスを使用しているなら、、
Macのアプリケーションファイアウォールの設定で、アプリごとの通信の「許可・不許可」の設定で、共有サービスを使うアプリのみ許可の設定をして行くのがよいでしょう。
それらがよく分からなくて面倒なら、「内蔵ソフトが外部からの接続を受け入れるのを自動的に許可」と「ダウンロードされた署名付きのソフトウェアが…」(*) の2つにチェックを入れておくだけでも何もしないよりはずいぶんマシかと思います。
(*) この2つ項目にチェックを入れると、『有効な認証局によって署名された』内蔵アプリケーションやサービス、またはユーザーによってダウンロードされたアプリケーションやサービスの中で『有効な認証局によって署名された』もののみ、ネットワークへの接続を自動的に許可するようにできます。
詳しくはAppleの解説ページを参考にしてください。
Mac OS Xのアプリケーションファイアウォールについて詳しく知りたい方は、Appleの該当の解説ページをごらんください。分かりにくいAppleマニュアルの中ではかなりちゃんとしている方ですよ。
「OS X:アプリケーションファイアウォールについて」
、、と、Mac OS X純正のアプリケーションファイアウォールの設定はしっかりやっておくのはセキュリティの基本ではあるのですが、この機能は、外からの通信には効果的ですが、Macの内側から外へ向かう通信については制御できません。
外側への通信を制御するにはアプリケーションファイアウォールの導入が不可欠
そのMacの内側から外への通信を監視・制御するには専用のソフトウェアを使用する必要があります。
いわゆる「アプリケーション・ファイアウォール」と呼ばれるものです。
(署名済みの)信頼性のあるアプリのみを使っているなら、そのアプリがMac内の大切なデータを外に持ち出すようなことはないはずなので、セキュリティ的には特に問題のないと思います。
しかし、セキュリティ的に問題がなくてもプライバシー的には、グレーな場合もあるかもしれません。
信頼性のあるアプリと言えども、「ユーザーの特定のデータが、デベロッパーなどのサーバーへ送られることはない」とは言いきれません。
そのアプリをインストールしたときに「それら諸々の契約」(ユーザーの個人情報の取り扱いに関する契約)にユーザーがOKを出さないとインストールできないアプリもあるのです。
ほとんどのユーザーはインストール時に表示される、あの長ったらしい注意文など読んではいないですよね。。
このようなユーザーが認識していないアプリの「Macから外側への通信」を「PhoneHome」(*)と言い、プライバシー関連に敏感な人の間では、それらに対する対策方法も模索されています。
そのなかでも一番効果的と言われているのが、「アプリケーション・ファイアウォール」の導入です。
(*)「Phone Home」とは、
ユーザーがインターネットに接続した時に、コンピューターにインストールされているソフトウェアが、(ユーザーの認識していないところで)そのメーカーや製作者などのサーバと(秘密裏に)通信する行為。
加えて、信頼性の乏しいいわゆる野良アプリをインストールしてる場合は、「アプリケーション・ファイアウォール」の導入は必須ではないかと思います。
「アプリケーション・ファイアウォール」は、アプリごとの外側方面へ(ネットワークへ)の通信の監視・制御を行ってくれます。
Windowsの場合は、無料のアプリケーション・ファイアウォールがいくつかあるのですが、Macの場合は有料のモノしかないようです。
現在、そのアプリケーション・ファイアウォールで定番と言われているのが、
Little Snitch(45ユーロ)と、HandsOff!(3980円)の二つ。
定価が4千円〜6千円と、ともに若干高額なソフトです。
Vallumは他の競合アプリよりもかなり安い(15ドル)
イタリア製 アプリケーション・ファイアウォールソフト「Vallum」。
競合のLittle Snitchより安くておすすめ。しかも後発なだけに使いやすい。
私は、ここ数年の間、HandsOff!を使用してきました。
HandsOff!は、ライバルのLittle Snitchにはない「アプリごとのファイルの書き込みの許可・不許可」の設定もできる高性能なアプリなのですが、MacのOSがSierraになった頃から安定性が損なわれるようになってしまいました。(フリーズの発生やキーボードショートカットの不具合など。。)
そろそろLittle Snitchに移行しようかなと考えていたところ、以前から使っているPF(パケットフィルタ)制御用ソフトのMurusが、新たにアプリケーション・ファイアウォールの「Vallum」をリリースしているのを知りました。
しかも上記の二つのアプリと比べるとかなりのお得プライス。
試しに導入してみることにしました。
Vallumは15ドルなので約1600円くらい。(安い。)
Vallumは、Murus Firewallで有名なイタリアのhanyさんが開発している新進気鋭のアプリケーション・ファイアウォール。
Murusについては過去に詳しい記事をいくつか書いています。良かったら参考にしてください。こちらも高機能で使いやすい良いソフトです。価格も手ごろ。おすすめです。
Murusの記事一覧 :
いつものように、使用を始めてから一ヶ月過ぎたので紹介したいと思います。
最初に言っておくと、このVallum、超おすすめです。
私は、HandsOff!からこのVallumに完全に移行済みです。HandsOff!よりシンプルで初心者にも使いやすいソフトだと思います。
また、開発者のhanyさんは、フォーラムやサポートのレスポンスが非常に良いです。フォーラムに行けば開発者の人柄に触れることができますよ。それもあり、安心して使うことが出来ています。
2018年9月20日追記:
すでに現在、VallumはV3にアップグレードされていますが、V2のユーザーさんは無償でアップグレードできます。
しかし、(私の環境ですと)まだバグが多い印象です。
スリープ復帰後、vallumがオフになってしまったり。なので、従来のステイブルなv2.3.2に戻しました。今のところ、Vallumのホームページで、従来のv2.3.2もダウンロードできます。個人的にはまだV2の方が安定していていいのではないかと思っています。
とはいえ、Vallumの開発者さんはかなり精力的に開発されていますので、待っていればV3も安定してくると思います。
こちらが、v2.3.2の直リンクになります。
