『見て分かるセキュリティ』が今後のファイアウォールの条件!?
現在、中小企業・SOHOにとってもセキュリティ対策は不可欠になりつつある。対策は多岐に渡るが、インターネットからの脅威に備えファイアウォールの導入は有効な手段だ。 |
|
設定 |
分かりやすいフィルタリング設定画面 |
「SRT100」の最大の特長、わかりやすい設定画面とは、Webブラウザを用いた日本語GUIとウィザード形式の入力方式。操作が直感的に行えるので、ネットワークを熟知した管理者以外でも設定しやすい点が魅力だ。
「SRT100」では、初期設定、セキュリティ機能、ルーター機能、設定管理機能などが日本語GUIから設定できる。
特に、フィルタリング画面では、各種設定や状態が一覧表示され、見て分かりやすい構成になっている。フィルターの設定項目も分かりやすく整理されているので、コマンドベースの設定ができない人でも容易に扱えるだろう。
ここでしっかりとつくり込むことで、ユーザの規模やニーズに応じた、きめ細やかなセキュリティ対策が可能となるわけだ。
▲上画面はクリックで拡大 |
診断・監視 |
「セキュリティアドバイス機能」で設定した状態をチェック |
「SRT100」は設定・運用が正しく行われているかチェックできるセキュリティアドバイス機能を搭載。この機能には、診断機能、監視機能、レポート機能の3つがあり、構成したフィルタリング設定などが、それぞれどのように動作しているか分かるようになっている。
例えば、セキュリティ診断の1つ、ワンクリック診断を行えば、ボタンを順にクリックしていくだけで、「ポートの開閉状態」が診断できるというわけだ。設定と状況が「見て分かる」ので、設定の安全性を確かめる上でも重要な機能だ。
▲上画面はクリックで拡大 |
統計・分析 |
「統計機能」で導入効果を把握→設定にフィードバック |
「SRT100」は、内部リソース情報、トラフィック情報、IDS情報などを「統計情報」として保存・参照できる機能を搭載。過去から現在に至るまでの記録を用いて、利用状況分析や傾向分析に利用可能だ。言わばファイアウォールの導入効果をきちんと把握することができ、運用状況が「見える」機能なのだ。
参照できる統計は、リソース統計、トラフィック統計、IDS統計(不正アクセス検知の統計)。難しい操作を行うことなく、統計情報の表示が行える。
統計情報をもとに導入効果を把握・分析した後、再度フィルターの設定に活用――これを一連の流れとし、サイクルとして定着させることが、オフィスに安全な環境をもたらすことにつながる。このサイクルに貢献するのがここで紹介した「見て分かるセキュリティ」であり、「SRT100」なのである。
▲上画面はクリックで拡大 |
◆「SRT100」のファイアウォールとしての位置づけ◆
「SRT100」は中小企業・SOHO向けのセキュリティ対策製品だ。「ファイアウォールルーター」の名のとおり、「ルーター」としても「ファイアウォール」としても使用可能。さらに、すでにルーターが導入されているオフィスに「ファイアウォールアプライアンス」としてアドオンする、という使い方も可能なのだ。
その多機能ぶりから、“新ジャンル”といった感もある「ファイアウォールルーター」。その概念は、中小企業・SOHOのセキュリティ装置への切実な不安感から産まれたものともいえる。その不安感とは次のようなものだ。
●小型UTM:高コスト、投資に見合うか心配、スループット低下も懸念される
●ファイアウォール:管理者不在で使いこなせるか心配、状況把握できるか不安
●ルーター:設定が難しい
こうした実情を考えると、「SRT100」の守備範囲が下図の緑色部分になった理由もうなずける。
|
一方、守備を固めても、安全への脅威は時々刻々変化し、「完璧なセキュリティ」は存在し得ない。だからこそ、ユーザに必要な範囲の「セキュリティの可視化」を行い、適切に対策することが安全への近道となる。これが、「新しいファイアウォール」の姿を示唆しているといってもいいだろう。
また、中小企業・SOHOレベルだとコスト面がネックとなる場合も多い。そこで「SRT100」は、8万1900円(税込)で、ファームウェアアップデート無料という低コストを実現した。そのため、「アンチウイルス機能を搭載しない」製品であるのもまた事実だ。
だが、今一度考えてみよう。アンチウイルスを搭載することで、スループット低下を招くのは得策だろうか。また、現在、アンチウイルスを導入していなオフィスはあるのだろうか――つまり、重複投資になる危険性が高い。こうしたシビアな取捨選択の結果が上図のエリアであり、現在の「SRT100」だ。
ケース1 |
ファイアウォールの設定は難しいのでは? |
●ファイアウォールの設定を行いたい場合
難易度が高いと思われがちのファイアウォールの設定。その点、「SRT100」のセキュリティ設定は、おおまかなルールを決めて次第に詳細化するというシンプルさ。そのため、設定意図も理解しやすく管理も容易で、“ファイアウォールは難しい”というイメージを覆すものだ。 また、階層型にポリシーを記述できるので、感覚的にも理解しやすいといえる。なお、代表的なフィルターの役割は以下の通り。
入力遮断フィルター
受信した不要なパケットを、早期に破棄するために利用するフィルター。
IPアドレス、プロトコル、ポート番号から通過・破棄を判別。
ポリシーフィルター
Stateful Inspection方式で、コネクションを単位とするアクセス制御が可能。
※ポリシーの階層は、最大4階層まで定義可能。
ケース2 |
設定したとおりに運用できているか、分かるだろうか? |
●ファイアウォールの運用状況を把握したい場合
「設定が正しく動くだろうか」「状況把握が難しそう」という悩みはファイアウォールの運用に対する不安の1つだ。その点、「SRT100」は「セキュリティアドバイス機能」を搭載することで、運用状況が「見て分かる」ようにサポートする。
先述した「ワンクリック診断」のように簡単に状況が把握できるほか、状態をメールで通知したり、レポート出力といったようなユーザが求める情報が得やすいように設計されている。
では、どのような場合にその機能が適しているのかを下で紹介しよう。
◆運用前に脆弱な設定がされていないかをチェックしたい→診断機能
◆運用中に攻撃者による侵入行為や攻撃行為をモニタリングしたい→監視機能
◆トラフィックや異常発生状況を表示し、直感的にネットワーク状況を判断したい→レポート機能(レポート出力)
▲上画面はクリックで拡大 |
ケース3 |
運用状況報告に統計情報が欲しい。管理ツールが別途必要? |
●運用状況の報告書を作りたい場合 |
|
製品名 | ファイアウォールルーター SRT100 |
---|---|
メーカー | ヤマハ |
寸法 | 220(幅)×141.5(奥行)×42.6(高さ)mm (外形寸法、ケーブル・端子類は含まず) |
質量 | 700g |
電源 | AC100V 50/60Hz |
筐体タイプ | ラックマウント(1U) |
プロセッサ | 非公開 |
メモリ容量 | Flash ROM:8MB RAM:32MB |
対応プロトコル | IPv4、IPv6(ブリッジとIPXは除く) <IPv4ルーティングプロトコル> RIP、RIP2、OSPF、BGP4 <IPv6ルーティングプロトコル> RIPng <WANプロトコル> PPPoE(同時5セッション) |
スループット | 最大200Mbit/s *SmartBitsによる測定値 (NAT(Network Address Translation)なし・フィルターなし、双方向) ○VPNスループット:最大80Mbit/s *AES+SHA1利用時のSmartBitsによる測定値(双方向) |
ルーティング機能 | DHCPサーバ、DHCPクライアント、DHCPリレーエージェント、 DNSリカーシブサーバ、DNSサーバ選択機能、CIDR、PROXY ARP、 NTPクライアント、LANセカンダリアドレス設定 (下記「その他特記事項」に詳細) |
VPN機能 | IPsec(VPN機能)+AES(Advanced Encryption Standard) 3DES(Data Encryption Standard)/DES (暗号機能:ハードウェア処理)+IKE(メインモード/アグレッシブモード) |
QoS機能 | 制御方式: 優先制御(帯域制限可能)、帯域制御(Dynamic Traffic Control、帯域分割)、 Dynamic Class Control、VPN QoS、帯域検出機能、負荷通知機能 分類方式: IPアドレス、プロトコル、ポート番号、ToSフィールド |
セキュリティ機能 | ポリシーフィルター ・ポリシー最大数 128 ・セッション最大数 4096 入力遮断フィルター 不正アクセス検知 32種類 URLフィルター ※1 Winnyフィルター DHCP端末認証機能 フィルター設定検証 VPN設定検証 パスワード強度チェック |
その他機能 | コンフィグ多重(履歴機能) DOWNLOADボタンによるリビジョンアップ USBメモリからのリビジョンアップ WEBブラウザ(GUI)でのリビジョンアップ TFTPによるアップデート |
LANインターフェース | 1ポート(LAN1ポート使用) (10BASE-T/100BASE-TX、ストレート/クロス自動判別機能) ※LAN1ポートは4ポートスイッチングハブ |
認証機能 | PAP/CHAP |
WANインターフェース | 1ポート(LAN2ポート使用) (10BASE-T/100BASE-TX、ストレート/クロス自動判別機能) |
その他特記事項 | フィルター型ルーティング、マルチホーミング、スケジューリング機能、 UPnP対応(※2)、SIP-NAT対応(※3)、ネットボランチDNSサービス対応、LOOPBACK/NULLインターフェース、DHCPサーバ、DHCPクライアント、DHCPリレーエージェント、DNSリカーシブサーバ ※1 URLフィルタリングサービスをご利用いただくには、 別途サービス提供会社との契約が必要。 ※2 Windows Messenger4.7及びMSN Messenger6.1が搭載されたPC同士の双方向コミュニケーションを併用できる(すべてのUPnPデバイス接続を保証するものではない) 。 ※3 IP電話サービスが併用できる。SRT100配下にヤマハVoIPゲートウェイRT58i・RT57i・RTV700(いずれか1台あるいはカスケード1構成のみ)を設置できる。なお、SRT100のWAN側に固定のグローバルIPアドレス(LAN側にはプライベートIPアドレスを利用)が必要。 |
製品サイトURL:http://netvolante.jp/products/srt100/ |
価格情報 8万1900円(税込) 補足説明 |
サポートエリア 全国 補足説明 |
|
製品・サービスの取扱い企業
ヤマハ株式会社
部署名:ヤマハルーターお客様ご相談センター
TEL:053-478-2806 (受付時間:9〜12時、13〜17時 ※)
URL:http://www.yamaha.co.jp/router/
備考: | ※土・日・祝日、ヤマハ社所定の定休日、年末年始は休業 |
掲載企業
ヤマハ株式会社
部署名:ヤマハルーターお客様ご相談センター
TEL:053-478-2806 (受付時間:9〜12時、13〜17時 ※)
URL:http://www.yamaha.co.jp/router/
備考: | ※土・日・祝日、ヤマハ社所定の定休日、年末年始は休業 |