このページの本文へ

スモールビジネス向けUTMの真打ち 「Safe@Office」の実力を探る 第3回

GUIの画面を大公開!これならイチから使える

使って分かったSafe@Office 1000Nの魅力

2011年04月19日 09時50分更新

文● 大谷イビサ/TECH.ASCII.jp 写真●曽根田元
記事協力●チェック・ポイント・ソフトウェア・テクノロジーズ

  • この記事をはてなブックマークに追加
  • 本文印刷

前回はSafe@Office UTMのハードウェアやセキュリティ機能を概観してきた。今回は、Safe@Office UTMの実機を試し、その設定や使い勝手を調べてみたい。

ウィザードを起動し
インターネットにつないでみる

 今回はSafe@Office 1000Nを実際に使い、設定やGUIの使い勝手を徹底的に洗い出してみようと思う。

 まず物理的な配線だが、通常のブロードバンドルーターと大きく変わるところはない。今回は編集部に引かれているBフレッツ回線を用いたが、ブロードバンドサービス用のケーブルをWANポートに、設定用のPCのケーブルをLANポートに挿す。あとは電源ケーブルを差し込めば、前面のLEDが点灯し、起動する。設定用PCに対しては、DHCPによりIPアドレスが割り当てられるので、Webブラウザを起動し、アドレスに「http://my.firewall」を入力する。これで設定・運用ツール「Safe@Office Portal」が開く。初回の管理者アカウントの作成ののち、ログインンを行なう。

Safe@Office Portalログイン後の画面

 まず初回はウィザードが起動し、インターネット接続や環境設定が行なわれる。Bフレッツであれば、PPPoEを選択し、ISPから提供されたアカウント情報を入力。あとは時間設定やサービスセンターへの登録を行なえば、利用可能な状態になる。なお、アンチウイルスやアンチスパム、Webフィルタリングなど各種のサービスを利用するには、サブスクリプションが必要になる。

インターネット接続のウィザード

ウィザードの途中にサブスクリプション状態が確認される

Securityメニューで
ファイアウォールやIPSを動かす

 GUIの右側には「Welcome」「Reports」「Logs」「Security」「Antivirus」「Antispam」「Services」「Network」「Setup」「Users」「VPN」「Help」「Logout」というメニューが並んでいる。このうち「Security」をクリックし、ファイアウォールやSmart Defenseの設定を行なっていこう。

 初期状態ではファイアウォールのみが動作している状態で、セキュリティレベルとしてはBlock ALL、High、Medium、Lowという4段階のうち、Mediumに設定されている。これはLANからインターネットへのアウトバウンド接続は許可、インターネットからLANへのインバウンドトラフィックのみ精査されている状態だ。

Securityメニューでファイアウォールのレベルを設定できる

 アウトバウンドトラフィックまで精査するのであれば、セキュリティレベルをHighにすればよい。ポリシーを手書きする必要はなく、単にMediumからHighにつまみを持ち上げるだけなので、操作は容易だ。手動でポリシーを作成する場合は、「Rules」で「Add Rules」ボタンを押し、ウィザードを起動。ブロックや許可などのルールを追加すればよい。

 さらにこのタブでは、Webフィルタリングも設定できる。ファイアウォールと同じ「Security」メニューの「Web Rules」タブで「Add」を行なうと、ウィザードが起動するので、許可するルールか、遮断するルールかを選択。あとは対象のサイトのURLを登録すれば、固定的にWebサイトの閲覧を禁じることが可能だ。ここでは遮断するサイトを管理者が指定するタイプだが、サブスクリプションを必要とするWebフィルタリングのサービスも別途利用できる。

接続を遮断するURLを手動で登録するWebフィルタリング

 チェック・ポイントのアプリケーション分析サービスをベースにしたIDS・IPSであるSmart Defenseの設定も基本は同じだ。Smart Defenseのタブからウィザードを起動し、Extra Strict、High、Normal、Minimalのうち4段階のレベルを選択すればよい。

Smart Defenseの設定も基本はレベルを選択するだけ

Smart Defenseは保護機能ごとに選択して、遮断やログのみを選択できる

 もちろんSmart Defenseを手動で設定する場合もある。この場合は、Smart Defense保護機能はDDoSやIP・ICMP、PortScanなどがディレクトリ状に分類されているので、必要に応じてブロックやログ収集といった処理を適用すればOKだ。

サービスベースの
アンチウイルスやアンチスパム

 前回説明したとおり、Safe@Office UTMでは、チェック・ポイントの各種クラウドサービスを利用することで、ソフトウェアやシグネチャを自動更新することができる。これにより、最新の攻撃や脅威に対応し、強固なセキュリティを継続的に保つことが可能になる。

 こうしたサービスのサブスクリプション(購読)状況は、「Services」のメニューで確認できる。ファームウェアの自動更新やリモート管理、Webフィルタイングやアンチウイルス、アンチスパム、ダイナミックDNS、ログやレポートサービス、脆弱性スキャンなどのサービスが掲載され、購読状況を調べられる。

サービスのサブスクリプション状況を一望できる

 アンチウイルスやアンチスパムに関しては、前回紹介したとおり、最新のシグネチャを用いてアプライアンス側でスキャンを行なうVStreamサービスが用意されている。基本的にはローカルスキャンを行なうVStreamサービスをオンにして用いるとよい。VStreamのアンチウイルスは「Antivirus」メニューでオンか、オフかをチェックするだけ。アンチスパムのほうは、「Antispam」メニューでIPレピュテーション、ブラックリスト、コンテンツスキャンの3つの設定が必要で、それぞれオン(遮断)か、オフか、あるいはモニタのみかを選択する。

アンチウイルスはオンか、オフかのシンプルな設定

アンチスパムのほうは、どのフィルタを使うか選択する必要がある

 もう1つ、Webフィルタリングもサブスクリプションベースのサービスだ。これも「Services」の「Web Filtering」タブで、まずはサービス自体をオンにし、下部のリストからアクセスを許可するカテゴリを選択すればよい。

Webフィルタリングは遮断するカテゴリを選択する

 このようにほとんどのセキュリティ設定は、つまみを動かすだけで済むので、初心者でもお手軽。もちろん、ファイアウォールなり、IPSなり、Webフィルタリングなり、手動で細かく設定していく方法も選択できるので、ユーザーのニーズに細かく対応できる

強固なセキュリティを実現する
VPNの設定

 VPNの設定は「VPN」というメニューで行なう。ここではリモートアクセスVPNの設定を見ていこう。

 まずは「VPN Server」で、リモートアクセスVPNにおいてNATやファイアウォールプロキシのバイパスを許可するかをチェックしておく。リモートアクセスVPNを行なう場合は、右上にある「Download」のリンクからリモートアクセス用のVPNクライアントをダウンロードし、インストールを行なう。

 設定としては、リモートアクセスVPNを許可するユーザーを「Users」のメニュー「New User」ボタンから追加する。あとはVPNクライアントから登録しておいたサイトのIPアドレス等に対して接続し、ユーザー認証を経て、トンネルが構築される。これにより、Safe@Office UTM側のホストにアクセスできる。

PCにVPNクライアントを入れて、VPNに接続

 さらにリモートアクセス後のWindowsのリモートデスクトップをアクセス制御するメニューもある。「Setup」から「Remote Desktop」というタブで「Allow remote desktop」をチェックすると、どの共有リソースまでアクセスを許可するかを設定できる。

 ちなみに筐体の前面にはVPN専用のLEDがあり、トンネル構築時は緑色に点灯する。ハードウェアと一体化したこうした工夫も使いやすさにつながっている。

運用管理のための
レポートやログ収集

 設定が完了したら、あとは日々の運用だ。基本的には、「Reports」メニューにある「Status」「Traffic」「My Computers」「Connections」「Networks」「Tunnels」「Routing」などでネットワークやマシンの状況をチェックできる。たとえば、Status Monitorにあるリソースの利用率や接続状況、イベントの一覧を調べられる。また、Traffic Monitorでは、あわせてインバウンドとアウトバウンドのトラフィックの遷移が見られる。

 セキュリティに関しては、「Logs」の「Security Logs」をチェックする。日付順に送信元や宛先、ポート、インターフェイスなどが表示されており、どのようなポリシーで接続が拒否されたのか、パケットをドロップしたのかなどもわかる。編集部でも数週間使ってみたが、「Logs」-「Security Log」タブでログを見ると、数多くの攻撃が検出された。やはりファイアウォールは必須と感じられる。

数多くの攻撃が記録されているファイアウォールのセキュリティログ

 こうしたログを見ながらポリシーを見直したり、サブスクリプションサービスを利用するなどして、セキュリティ強度を維持していくとよいだろう。

 ちなみにサービスプロバイダ向けの運用管理ツールとして「Security Management Portal」も用意されている。これは複数のSafe@Office UTMやUTM-1 Applianceを統合管理するための製品で、最大で数万台規模の管理まで対応する。

多数のアプライアンスを統合管理するSMP

多彩な機能を簡単に操作できる
スモールビジネスの切り札

 実際にSafe@Office UTMの設定や運用をやってみたが、インターネット接続やファイアウォール設定、そしてアンチウイルスやアンチスパム、Webフィルタリングなど、多くの設定はかなり容易に行なえた。これはイチからポリシーを作成するのではなく、あらかじめ推奨設定が作成してあり、ユーザーはそれを選択するだけという仕様になっているためだと思われる。また、最新の脅威に対抗するためのクラウドサービスとの連携も、最新セキュリティアプライアンスならではの魅力だ。

 GUIメニューの動作も軽快で、メニューやタブが瞬時に切り替わるため、設定もスムースだ。複数のセキュリティ機能を統合しているが故、数多くの設定項目になるが、よくまとめられていると感じられた。

 想定される案件としては、ブロードバンドの普及期にファイアウォール・VPNアプライアンスを導入したユーザーのリプレースが筆頭に挙がる。また、ADSLから光ファイバー回線への移行を検討しているユーザーにもお勧めだ。ハードウェア面での性能も高いので、パフォーマンスという観点でも満足が得られるだろう。

 本稿ではSafe@Office UTMの機能や使い勝手を端から見てきた。スモールビジネスに最適なこのオレンジ色のUTMを、次は自身で試用してもらいたい。

この連載の記事

週刊アスキー最新号

編集部のお勧め

ASCII倶楽部

ASCII.jp Focus

MITテクノロジーレビュー

  • 電撃オンライン - 電撃の総合ゲーム情報&雑誌情報サイト!
  • 電撃ホビーWEB - 電撃のホビー雑誌・書籍&ホビーニュースサイト
  • 電撃文庫 - 電撃文庫&電撃文庫MAGAZINEの公式サイト
  • 電撃屋.com - 電撃のアイテムを集めた公式ショッピングサイト!
  • アスキー・メディアワークス
  • 角川アスキー総合研究所
  • アスキーカード
  • アスキーの本と雑誌

不正商品にご注意ください!

プレミアム実機レビュー

ピックアップ

電撃モバイルNEO バナー

デジタル用語辞典

ASCII.jp RSS2.0 配信中

今月のピックアップ動画