スモールビジネス向けUTMの真打ち 「Safe@Office」の実力を探る 第3回

GUIの画面を大公開！これならイチから使える

使って分かったSafe@Office 1000Nの魅力

前回はSafe@Office UTMのハードウェアやセキュリティ機能を概観してきた。今回は、Safe@Office UTMの実機を試し、その設定や使い勝手を調べてみたい。

ウィザードを起動し
インターネットにつないでみる

　今回はSafe@Office 1000Nを実際に使い、設定やGUIの使い勝手を徹底的に洗い出してみようと思う。

　まず物理的な配線だが、通常のブロードバンドルーターと大きく変わるところはない。今回は編集部に引かれているBフレッツ回線を用いたが、ブロードバンドサービス用のケーブルをWANポートに、設定用のPCのケーブルをLANポートに挿す。あとは電源ケーブルを差し込めば、前面のLEDが点灯し、起動する。設定用PCに対しては、DHCPによりIPアドレスが割り当てられるので、Webブラウザを起動し、アドレスに「http://my.firewall」を入力する。これで設定・運用ツール「Safe@Office Portal」が開く。初回の管理者アカウントの作成ののち、ログインンを行なう。

Safe@Office Portalログイン後の画面

　まず初回はウィザードが起動し、インターネット接続や環境設定が行なわれる。Bフレッツであれば、PPPoEを選択し、ISPから提供されたアカウント情報を入力。あとは時間設定やサービスセンターへの登録を行なえば、利用可能な状態になる。なお、アンチウイルスやアンチスパム、Webフィルタリングなど各種のサービスを利用するには、サブスクリプションが必要になる。

インターネット接続のウィザード

ウィザードの途中にサブスクリプション状態が確認される

Securityメニューで
ファイアウォールやIPSを動かす

　GUIの右側には「Welcome」「Reports」「Logs」「Security」「Antivirus」「Antispam」「Services」「Network」「Setup」「Users」「VPN」「Help」「Logout」というメニューが並んでいる。このうち「Security」をクリックし、ファイアウォールやSmart Defenseの設定を行なっていこう。

　初期状態ではファイアウォールのみが動作している状態で、セキュリティレベルとしてはBlock ALL、High、Medium、Lowという4段階のうち、Mediumに設定されている。これはLANからインターネットへのアウトバウンド接続は許可、インターネットからLANへのインバウンドトラフィックのみ精査されている状態だ。

Securityメニューでファイアウォールのレベルを設定できる

　アウトバウンドトラフィックまで精査するのであれば、セキュリティレベルをHighにすればよい。ポリシーを手書きする必要はなく、単にMediumからHighにつまみを持ち上げるだけなので、操作は容易だ。手動でポリシーを作成する場合は、「Rules」で「Add Rules」ボタンを押し、ウィザードを起動。ブロックや許可などのルールを追加すればよい。

　さらにこのタブでは、Webフィルタリングも設定できる。ファイアウォールと同じ「Security」メニューの「Web Rules」タブで「Add」を行なうと、ウィザードが起動するので、許可するルールか、遮断するルールかを選択。あとは対象のサイトのURLを登録すれば、固定的にWebサイトの閲覧を禁じることが可能だ。ここでは遮断するサイトを管理者が指定するタイプだが、サブスクリプションを必要とするWebフィルタリングのサービスも別途利用できる。

接続を遮断するURLを手動で登録するWebフィルタリング

　チェック・ポイントのアプリケーション分析サービスをベースにしたIDS・IPSであるSmart Defenseの設定も基本は同じだ。Smart Defenseのタブからウィザードを起動し、Extra Strict、High、Normal、Minimalのうち4段階のレベルを選択すればよい。

Smart Defenseの設定も基本はレベルを選択するだけ

Smart Defenseは保護機能ごとに選択して、遮断やログのみを選択できる

　もちろんSmart Defenseを手動で設定する場合もある。この場合は、Smart Defense保護機能はDDoSやIP・ICMP、PortScanなどがディレクトリ状に分類されているので、必要に応じてブロックやログ収集といった処理を適用すればOKだ。

サービスベースの
アンチウイルスやアンチスパム

　前回説明したとおり、Safe@Office UTMでは、チェック・ポイントの各種クラウドサービスを利用することで、ソフトウェアやシグネチャを自動更新することができる。これにより、最新の攻撃や脅威に対応し、強固なセキュリティを継続的に保つことが可能になる。

　こうしたサービスのサブスクリプション（購読）状況は、「Services」のメニューで確認できる。ファームウェアの自動更新やリモート管理、Webフィルタイングやアンチウイルス、アンチスパム、ダイナミックDNS、ログやレポートサービス、脆弱性スキャンなどのサービスが掲載され、購読状況を調べられる。

サービスのサブスクリプション状況を一望できる

　アンチウイルスやアンチスパムに関しては、前回紹介したとおり、最新のシグネチャを用いてアプライアンス側でスキャンを行なうVStreamサービスが用意されている。基本的にはローカルスキャンを行なうVStreamサービスをオンにして用いるとよい。VStreamのアンチウイルスは「Antivirus」メニューでオンか、オフかをチェックするだけ。アンチスパムのほうは、「Antispam」メニューでIPレピュテーション、ブラックリスト、コンテンツスキャンの3つの設定が必要で、それぞれオン（遮断）か、オフか、あるいはモニタのみかを選択する。

アンチウイルスはオンか、オフかのシンプルな設定

アンチスパムのほうは、どのフィルタを使うか選択する必要がある

　もう1つ、Webフィルタリングもサブスクリプションベースのサービスだ。これも「Services」の「Web Filtering」タブで、まずはサービス自体をオンにし、下部のリストからアクセスを許可するカテゴリを選択すればよい。

Webフィルタリングは遮断するカテゴリを選択する

　このようにほとんどのセキュリティ設定は、つまみを動かすだけで済むので、初心者でもお手軽。もちろん、ファイアウォールなり、IPSなり、Webフィルタリングなり、手動で細かく設定していく方法も選択できるので、ユーザーのニーズに細かく対応できる

強固なセキュリティを実現する
VPNの設定

　VPNの設定は「VPN」というメニューで行なう。ここではリモートアクセスVPNの設定を見ていこう。

　まずは「VPN Server」で、リモートアクセスVPNにおいてNATやファイアウォールプロキシのバイパスを許可するかをチェックしておく。リモートアクセスVPNを行なう場合は、右上にある「Download」のリンクからリモートアクセス用のVPNクライアントをダウンロードし、インストールを行なう。

　設定としては、リモートアクセスVPNを許可するユーザーを「Users」のメニュー「New User」ボタンから追加する。あとはVPNクライアントから登録しておいたサイトのIPアドレス等に対して接続し、ユーザー認証を経て、トンネルが構築される。これにより、Safe@Office UTM側のホストにアクセスできる。

PCにVPNクライアントを入れて、VPNに接続

　さらにリモートアクセス後のWindowsのリモートデスクトップをアクセス制御するメニューもある。「Setup」から「Remote Desktop」というタブで「Allow remote desktop」をチェックすると、どの共有リソースまでアクセスを許可するかを設定できる。

　ちなみに筐体の前面にはVPN専用のLEDがあり、トンネル構築時は緑色に点灯する。ハードウェアと一体化したこうした工夫も使いやすさにつながっている。

運用管理のための
レポートやログ収集

　設定が完了したら、あとは日々の運用だ。基本的には、「Reports」メニューにある「Status」「Traffic」「My Computers」「Connections」「Networks」「Tunnels」「Routing」などでネットワークやマシンの状況をチェックできる。たとえば、Status Monitorにあるリソースの利用率や接続状況、イベントの一覧を調べられる。また、Traffic Monitorでは、あわせてインバウンドとアウトバウンドのトラフィックの遷移が見られる。

　セキュリティに関しては、「Logs」の「Security Logs」をチェックする。日付順に送信元や宛先、ポート、インターフェイスなどが表示されており、どのようなポリシーで接続が拒否されたのか、パケットをドロップしたのかなどもわかる。編集部でも数週間使ってみたが、「Logs」－「Security Log」タブでログを見ると、数多くの攻撃が検出された。やはりファイアウォールは必須と感じられる。

数多くの攻撃が記録されているファイアウォールのセキュリティログ

　こうしたログを見ながらポリシーを見直したり、サブスクリプションサービスを利用するなどして、セキュリティ強度を維持していくとよいだろう。

　ちなみにサービスプロバイダ向けの運用管理ツールとして「Security Management Portal」も用意されている。これは複数のSafe@Office UTMやUTM-1 Applianceを統合管理するための製品で、最大で数万台規模の管理まで対応する。

多数のアプライアンスを統合管理するSMP

多彩な機能を簡単に操作できる
スモールビジネスの切り札

　実際にSafe@Office UTMの設定や運用をやってみたが、インターネット接続やファイアウォール設定、そしてアンチウイルスやアンチスパム、Webフィルタリングなど、多くの設定はかなり容易に行なえた。これはイチからポリシーを作成するのではなく、あらかじめ推奨設定が作成してあり、ユーザーはそれを選択するだけという仕様になっているためだと思われる。また、最新の脅威に対抗するためのクラウドサービスとの連携も、最新セキュリティアプライアンスならではの魅力だ。

　GUIメニューの動作も軽快で、メニューやタブが瞬時に切り替わるため、設定もスムースだ。複数のセキュリティ機能を統合しているが故、数多くの設定項目になるが、よくまとめられていると感じられた。

　想定される案件としては、ブロードバンドの普及期にファイアウォール・VPNアプライアンスを導入したユーザーのリプレースが筆頭に挙がる。また、ADSLから光ファイバー回線への移行を検討しているユーザーにもお勧めだ。ハードウェア面での性能も高いので、パフォーマンスという観点でも満足が得られるだろう。

　本稿ではSafe@Office UTMの機能や使い勝手を端から見てきた。スモールビジネスに最適なこのオレンジ色のUTMを、次は自身で試用してもらいたい。

アクセスランキング

1. 

   トピックス

   ポイント10倍！「楽天ペイ」最強のキャンペーン始まる。楽天モバイル登録でさらにお得に

2. 

   トピックス

   なぜソフトバンクやKDDIのネットワークは強いのか　「2.5GHz帯のTD-LTE」最強説

3. 

   スマホ

   やっぱり出てきた「折りたたみスマホ」風の折りたたみケータイ

4. 

   デジタル

   人気スマートウォッチ「HUAWEI WATCH 4」「HUAWEI WATCH GT 4」違いはココ、オススメはこっち!

5. 

   デジタル

   容積8Lの小型PCでRyzen 5 8600G＆GeForce RTX 4060を運用、温度と性能は大丈夫？

6. 

   トピックス

   「枕元に数ドル」は昔の話　チップもキャッシュレス時代です

7. 

   トピックス

   JR東日本のネット銀行「JRE BANK」特典ガチ解説　お得な使い方、おすすめカード教えます！

8. 

   スマホ

   シャープ、新型AQUOSスマホを5月8日発表　ハイエンド「AQUOS R」の新モデル!?

9. 

   そこまで有名なわけでもないのに飛騨の戦国武将・金森長近の生涯がマンガになったワケ

10. 

    Apple

    【レビュー】これ以上待つ理由がない完成形 M3搭載MacBook Air

集計期間：

2024年04月20日~2024年04月26日