● Win10にて、セキュリティソフト「ESET」での、パスワードの無いWiFiのFreeSpotに接続するときの設定
※まだ書きかけです。すみません。
※間違ってたらすみません。

目次
 ★ Windowsファイアーウォールの設定
 ★ 外部からの不正侵入アクセスをブロックする設定(侵入防止設定)
 ★ 実際に無線スポットに接続01
 ★ 実際に無線スポットに接続02 + ESETの設定01
 ★ ESETの設定02
※Shift+TABキー、もしくは、Homeキー、Homeキー+TAB数回、を押すと、目次付近に戻れます。

※この記事は、「ワークグループ」LANとしての説明です。ホームグループに関する説明はしていません。

例えば 旅先などで、WiFiのポケットルーターを忘れてしまった際に、ホテルなどで「Free Spot(バッファローの)」やその他の公衆WiFiスポットに接続したい場合の、不正侵入防止対策についてです。

それをセキュリティソフトの「ESET」でやる場合にどうなるか、ということをご紹介したいと思います。

バッファローさんがやっている「Free Spot」の場合は、接続したパソコン間での通信ができないようになっている無線親機の場合もあるそうですが、そうじゃない場合もあるそうです。また、「Free Spot」になりすました公衆WiFi回線も無いとは言えずやはり危険なので、対策はしておいたほうが無難かと思います。
(「パソコン間のセキュリティがちゃんとしている Free Spot の親機 を使っているかどうか?」は、親機の設置店舗のオーナーさんに直接聞いたほうが確実ですので必ず聞くようにします。「わかってない」かもしれないのでもしそうだったら必ず以降のセキュリティ設定を全部やります。)

一般的には、公衆WiFi回線につながったパソコン同士の通信を禁止する機能は無いのが普通だと思いますので・・・、また、悪意を持った人間が データを覗き見したりぬ盗んだりするために、わざと設置した公衆WiFi回線もありますので、かなりの注意が必要です。

では以降、『 Windows10にて、セキュリティソフト「ESET」での Free Spot などの公衆WiFiスポットに接続したい場合の侵入防止対策 』についてお話をさせて頂きます。
  
  

★ Windowsファイアーウォールの設定
一般的には、市販のセキュリティソフトを入れると、Windowsファイアウォールの機能は設定できなくなって、市販ソフトのファイアウォール機能が働きだします。なのでここでは特に何もする必要はありません。

ESETセキュリティでも同じです。

ただ、ESETセキュリティでは、比較的簡単に公衆WiFi対策ができます。
  
  

★ 外部からの不正侵入アクセスをブロックする設定(侵入防止設定)

この設定をしておくと、「たとえ共有フォルダ設定がしてあったとしても、また、他のパソコンから自分のパソコンのアイコンが見えていたとしても」、「アクセスできません」という旨のエラーで自分のパソコンは開けない上に、もちろん共有フォルダ自体も見られない、という状態にできます。

ESETの設定は、公衆WiFi回線接続の瞬間か、失敗すればその後に行いますので、それまでの短い時間はいちおう、ここでの設定でしのぎます。
それまでは、必ずやっておかないといけない設定です。

では、以降、やりかたです。

「コントロールパネル」→「ネットワークと共有センター」→「共有の詳細設定」にて。
まず、「プライベート」、「ゲストまたはパブリック」、「すべてのネットワーク」の現在の設定を全部メモします。(画面キャプチャでのメモでももちろんOKです)
その後、以下の項目にチェックを入れます。

「プライベート」
ネットワーク探索を無効にする
ファイルとプリンタの共有を無効にする

「ゲストまたはパブリック」
同上

「すべてのネットワーク」
パスワード保護共有を有効にする(「無効」だと、基本的にはパスワード無しで共有フォルダが見れてしまうので)

以上の設定項目にすべて丸ポチを入れて、最後に、「変更の保存」ボタンを押します。

以上です。

基本的には、前述のように 探索と共有を無効にすれば、PCアイコンは表示されても中に入ろうとすると「アクセスできません」、とブロックしてくれます。

※ 補足01
本当は、「プライベート」と「ゲストまたはパブリック」のいずれか(現在使っているほうのモード)だけで 探索と共有を無効にすればいいのですが、このあと実際に無線につないだときに、本当にはパブリックにしたいのに間違ってプライベートにしてしまった時のことを考えて、一応、両方とも探索と共有を無効にしておきます。

もし「パスワード保護共有を無効にする」がOFFになってしまっていることに気づけていない場合、探索と共有が有効になっているだけで、パスワード無しでも共有フォルダを他人に全部見られてしまいますので…。

ワークグループ名の設定が違っていても、同じネットワーク上にあるパソコンを調べてそれにアクセスするのはクリック2、3回でできるくらい超簡単なので、かなり危険ですので、探索と共有は「プライベート」も「ゲストまたはパブリック」も無効にしておいてください。

無線スポットから切り離してしばらくは使わないとなったときだけ、探索と共有の設定をもとに戻します。

また、ESETの設定が終わるまでは、ここも元に戻さないほうがいいです。

※ 補足02
試してませんが、ESETのパーソナルファイアウォールの「詳細設定」の、「既知のネットワーク」で、「新しいネットワークの保護タイプ」を「パブリックに設定」にしてOKすると、このときに自動的に「パブリックネットワーク」にしてもらえるかもしれません。そうするとここでの、探索と共有を一時全無効にする設定も必要なくなると思います。未検証なのでご自分で試してみてください。
この設定画面を出すには、ESETの画面→設定→画面右下の「詳細設定」→「パーソナルファイアウォール」→「既知のネットワーク」です。
  
  

★ 実際に無線スポットに接続01

接続直後に「このネットワーク上の他のPCやデバイスが、このPCを検出できるようにしますか?」と聞かれたら、「いいえ」を選びます。
これでセキュリティが若干だけ厳しめの「パブリックネットワーク」のモードになります。

※もし「このネットワーク上の他のPCやデバイスが、このPCを検出できるようにしますか?」と出なかったら次項へ。
※「この無線WiFiはセキュリティがちゃんとしてない」的なメッセージがESET(タスクトレイ)からバルーン表示されますが、とりあえずスルーします。
  
  

★ 実際に無線スポットに接続02 + ESETの設定01
(ESETのバージョン10の場合)。以前のバージョンとは少し異なります。)
同時に、もし、ESETから、「パブリックネットワーク」と「自宅/職場ネットワーク」を選ぶ画面が発せられたら、そこでは必ず「パブリックネットワーク」を選びます。
「パブリックネットワーク」はOS側で共有フォルダが作ってあっても、それを使えないようにしてくれます。
逆に、「自宅/職場ネットワーク」を選ぶと、共有フォルダが使えるようになります。

公衆WiFi回線を使うときは、共有フォルダが使えたりセキュリティホール(脆弱性)を突く通信がなされると困るので(=ほぼインターネット閲覧の利用だけにしたいので)、必ず「パブリックネットワーク」を選びます。
  
  

★ ESETの設定02
(ESETのバージョン10の場合)。以前のバージョンとは少し異なります。)

前項の「実際に無線スポットに接続02 ESETの設定01」のような画面が出てこなかったとき、慣れてなくて「自宅/職場ネットワーク」を選んでしまったときなどは以下の手順で「パブリックネットワーク」の設定に変えます。

ESETでは、「パブリックネットワーク」にすると、ファイル共有設定がしてあっても、それを変更することなく、外部からのブロックができます。
ですので手間いらずで使いやすいです。(設定画面の用語が少し勉強しないといけないのですが・・・)

ESETサポートのお姉さんに教えてもらい、LANでアクセステストしてOKでしたので(アクセス拒否されたので)、多分これでダイジョブだとおもいます。

では、公衆WiFiにつないだときのESETの設定です。

(a)ESETの画面を開きます。
(b)「設定」→「ネットワーク保護」→「接続されたネットワーク」の右側の「>」アイコンを押します。
(c)接続している公衆WiFi回線の名前が出てきます。
(d)その名前の右端の「ギヤ(歯車)」のアイコンを押します。
(e)「保護タイプ」で「パブリックネットワーク」にします。
(f)もし「追加の信頼できるアドレス」に何か入っていたら消します。
(ここにIPが入っていると「パブリックネットワーク」でもそのIPのマシンだけは共有フォルダが使えてしまうので)
(g)OKして設定完了です。UACが出ますのでOKします。

※「IDS」関連の設定の中に、管理共有を無効にしたりの色んな設定項目がありますが、それもやらなくてよくなります。

これができたら、これ以前に設定した、「外部からの不正侵入アクセスをブロックする設定(侵入防止設定)」での共有に関する設定はもとに戻してもOKです。

なお、この(a)~(f)は、自分の職場の場合でも同じです。
ファイル共有させたくないなとか、そういうことなら、「パブリックネットワーク」に変えれば、IDS関連の設定を変えることなく、外部からの共有などに関する通信を遮断します。(インターネットやメール、FTPなど以外の通信を遮断します。)

「自宅/職場ネットワーク」に変えると、フォルダの共有ができるようになります。
※「パブリックネットワーク」にしたとき、特定のIPアドレスのマシンだけ、共有できるようにすることも可能です。(f)のところで「追加の信頼できるアドレス」に対象のマシンのIPを入れます。でも危険度が上がるのでできたらやめたほうがいいと思います。

ESETの「パブリックネットワーク」の場合は、共有フォルダの設定やらなんやらは、基本、そのままでいいので、少しラクチンです。

ESETのサポートの方は特に女性がレベルが知識も接客態度も高いような気がしてます。
今回の方も特に迷うことなくファイアウォールの設定と用語の意味、位置づけなどを説明してくれたので、すごいなあ、と感心してしまいました。
もちろん、どのメーカーさんでも、サポート要員の方の良しあしはありますが、でもESETさんはいつも親切丁寧なので満足しています。

【用語】

(a)ゾーン
サポートの方は、「ルーターの内側のネットワークのことです」、みないな感じのことをおっしゃっていました。

(b)信頼ゾーン
サポートの方によると・・・。同じネットワーク上に複数のルーターによって2つのゾーンがあるとき、信頼できるゾーンとそうでないゾーンができると、そうでないほうのネットワークには、通信ができない。もしそうでないほうに、共有プリンタがあると、それでは印刷ができないことになってしまうので、それを可能にするにはそうでないゾーンを信頼ゾーンに追加すればOK・・・だそうです。まだ意味がよくわかっていませんが、雰囲気としてはこんな感じです。

(c)IDS設定について
ESETのセキュリティは「パブリックか職場か」の選定がトップレベルの設定で、その下に、IDSなどの設定が次レベル(次階層)として含まれているので、遮断・通過の設定は「パブリックか職場か」でやればOK・・・・ということでした。
なので、IDSの設定は主に「信頼ゾーン」つまり、「自宅/職場ネットワーク」の設定にしたときに設定するものだそうです。
そのネットワークの中で、IDSの各項目を有効にするか無効にするかという意味になるそうです。
となると、当然ですが、公衆WiFi回線からブロックするにも、関係のない設定箇所・・・ということになります。公衆WiFi回線では「自宅/職場ネットワーク」にはしませんので。

★関連記事
● Windows10にて、セキュリティソフトが無く、Windowsファイアーウォール のみで「Free Spot」などの公衆WiFiスポットに接続したい場合の侵入防止対策
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/free-spot-security