今回は締めくくりとして、ヤマハ「FWX120」のURLフィルタ機能、不正アクセス検知機能、統計情報の表示機能などについてまとめてみた。特にURLフィルタは、SRT100から引き継いだ、セキュリティ対策面で重要な機能といえる。

二本立てのURLフィルターと不正アクセス検知機能

FWX120はファイアウォール機能に加えて、特定のWebサイトに対するアクセスを遮断する、URLフィルターの機能を備えている。遮断の要否を判断するためのデータベースが「内部データベース」「外部データベース」の二本立てになっているのが特徴的だ。

内部データベースとは、キーワードやアドレスの情報を手作業で登録するもので、これは分かりやすい。フィルター番号(識別のために使う任意の番号)、フィルタータイプ(passとreject、それぞれログの有無を指定可能)、キーワード、送信元IPアドレスを指定して登録する。HTTP(Hypertext Transfer Protocol)とHTTPSについて、別個に指定可能だ。

内部データベースは、外部データベースでカバーしていない特定のWebサイトへのアクセスを遮断するとか、標的型攻撃を受けた際に攻撃者がデータ収集元として使用している疑いがあるWebサーバへのアクセスを遮断するとかいった使い方が考えられる。

キーワードやアドレスの指定によって任意のフィルターを内部データベースに追加できる

外部データベースとは、デジタルアーツとネットスターのいずれかが提供するデータベースを利用して、通過の可否を判断するものだ。一般的に「これはアクセスを止める方が良い」と認識されているWebサイトのリストを、手間をかけずにアップデートできるのがメリットといえる。

URLフィルターのうち外部データベース参照型については、デジタルアーツ、あるいはネットスターのサービスを利用する

このほか、ヤマハルータでもおなじみの不正アクセス検知機能も、当然ながら利用可能である。WinnyやShareといったP2P(Peer to Peer)ファイル共有ソフトを遮断する機能も、ここから設定する。手元で使用した際にはすべての検知機能を有効にしたのだが、残念ながら(幸運にも?)ほとんど攻撃の記録が残っていない。そのため、攻撃の記録をお見せできないのが残念だ。

不正アクセス検知機能はヤマハルータでお馴染みの機能。WinnyフィルタやShareフィルタも、ここで有効にする

統計機能はグラフ表示が可能

ネットワークセキュリティを実現しようとすると、個別のセキュリティ機能の有無や内容もさることながら、状況認識が重要になる。つまり、「泥棒が入ってから縄をなう」のでは対応が後手に回るので、平素から状況を把握しておく方が良いという話である。

また、セキュリティ機能を利用することでネットワークのパフォーマンスに影響が生じると、ユーザーからクレームが出てくる。だから、機器の付加状況やトラフィックの状況を把握することも重要である。

FWX120で動作状況を確認するための機能としては、従来からあるログ(syslog)機能に加えて、リソース統計、トラフィック統計、QoS(Quality of Service)統計といった機能がある。これらは既定値では無効になっているので、利用しようと思った場合には、最初に有効化する必要がある。

以下に、統計情報の表示例を示す。折れ線グラフとして表示してくれるので、特定の曜日や時間帯に負荷が急増する傾向があれば、容易に把握できるのではないだろうか。

統計情報の表示例(ファストパスとNAT)。ルータが過負荷になっていないかどうかをグラフで確認できる

統計情報の表示例(トラフィック)。あいにくと個人の自宅のことなので、それほど多くのトラフィックが発生していないのが残念

活用したいのがセキュリティー診断機能だ。これはポートの開閉状態を診断する機能で、阻止しているつもりのポートが設定ミスによって「うっかり空いていた」といった類の戸締まりミスを防ぐ際に役に立ちそうである。

まず、「セキュリティー診断の基本設定」で通過パケットの最大検出数と診断結果の履歴数を指定する。続いて「ワンクリック診断」を実行すると、クリックひとつでポートの開閉状態の診断を行うという仕組みである。ネットワークに関する知識が十分にあれば、さらに「カスタム診断」を利用することもできるが、そこまで利用するかどうかは場合による。ユーザー自身がこの機能を使わなくても、たとえば外部の専門家に診断を依頼する際に利用する、という使い方も「あり」だろう。

おわりに

一般的なNATルータと比較すると、FWX120のようなセキュリティアプライアンスは機能が増えているため、「何をしたい」というときに「どの機能を使えばよいか」を把握するのが、ちょっとノウハウが要るところである。

その点、ヤマハ製品はユーザーの層が厚い上にサポート体制も充実していることでは定評があるので、設定例を充実させたり、configを配布したりすることで資産を増やすことができると、ユーザーにとっての有用性が高くなりそうだ。