ヤマハは9月20日、中小規模ネットワーク・SOHO向けセキュリティアプライアンスとして、「FWX120」をリリースした。この製品は、同社がこれまで販売していた「SRT100」の後継として、さまざまな分野で性能・機能の強化を図った製品だ。そこで、今回は「FWX120」を使ったセキュリティーゲートウェイ構築について3回にわたり紹介する。

筆者の自宅もそうだが、LANを構築して、そこからインターネットに接続可能な環境を整備する場合、LANとインターネットの境界にはNAT(Network Address Translation)機能を備えたルータを設置するのが一般的である。

そうしたルータ製品は、パケットフィルタをはじめとする各種の不正侵入防止機能を備えているのが通例なので、「LANとインターネットの間の中継」「プライベートIPアドレスを用いるLANの構築」「インターネット側からの不正侵入防止」と、一台三役を兼ねることができて合理的だ。

しかし、脅威の種類が多様化している昨今、外部からの不正侵入の企てに対して受動的に対応するだけのファイアウォール機能で大丈夫なのか、という点については検討の余地があると思われる。

実際、2011年の秋に大手防衛関連企業が狙われた標的型攻撃の事案では、最初に情報盗み出しのための不正プログラムを送り込み、それがインターネット経由で、攻撃者が運用するサーバに情報を送り出す形をとっていた。こうなると、「入口」だけでなく「出口」を押さえる対策も必要になる。これは、筆者が件の標的型攻撃事件に際して、あるニュース番組に出演した際に力説したことでもある。

それだけでなく、SNS(Social Networking Service)や電子掲示板などを通じた情報漏洩や、業務効率の低下・通信帯域の圧迫という問題もある。そのため、特定のWebサイト、あるいは特定のキーワードを含むWebサイトの利用を強制的に禁止したいこともあるだろう。

こうなってくると、一般的なルータのファイアウォール機能では対応しきれない。各種のセキュリティ上の脅威に対処することに重点を置いた、別のデバイスが必要である。しかも、セキュリティ対策のために十分なリソースを投入できない中小企業やSOHOワーカーでも導入できるように、安価かつ手軽なデバイスであって欲しい。

FWX120の概要

そこで、ヤマハがSRT100(2007年4月発売)に続くセキュリティ製品として送り出したのが、ファイアウォール製品の「FWX120」だ。主な機能は、以下の通りである。価格は8万1,900円だ。

・ポリシーベースのファイアウォール
・Webフィルタリング
・セキュリティ診断
・ルーティングとNAT
・VPNゲートウェイ

FWX120は、LANとインターネットの境界に設置して、NATルータと同様にして使うのが一般的な運用形態だ。ところがFWX120で面白いのは、ルーティング機能は使用しないで、単なるファイアウォールとしても使用できる点だ。

ヤマハでは、これを「透過型ファイアウォール」と呼んでいる。ISPからルータの貸し出しを受けている場合でも、レイヤー2でファイアウォール機能だけを利用できるFWX120なら対応可能というわけだ。

初期設定作業はヤマハルータと同じ要領

FWX120は、4ポートのスイッチングハブを備えたLAN1ポートと、インターネット側で使用するLAN2ポートを備えている。そこで、常用しているヤマハ製のルータ「RT58i」と入れ替える形で設置した。

FWX120の前面

FWX120の背面

ただし筆者の自宅では、ルータでDHCP(Dynamic Host Configuration Protocol)サーバ機能を動作させており、かつ、その設定がヤマハ製品の既定値とは異なっているため、DHCPサーバ機能を有効化するとともに、スコープの設定を変更する作業を追加で実施した。

また、パスワードも既定値のままではなく、独自のものに変更した。FWX120では、パスワードを変更すると、入力した新パスワードの強度を診断して改善策を勧告するという気が利いた機能がある。これは便利だ。

FWX120では、管理者パスワードを変更すると自動的に「強度診断」機能が動作して、必要に応じて勧告を提示するようになっている

FWX120もの設定は、「NetVolante」シリーズと同様、Webブラウザで「かんたん設定ページ」にアクセスして行う。最初に必要となるのはISPへの接続設定だが、これも「NetVolante」シリーズと同じ要領で、質問に順番に答えていけば設定できる。そして、ISP(Internet Service Provider)への接続設定を行う際に最適なファイアウォール設定を自動的に行うようになっている。

だから、まずは既定の状態で運用を開始すればよいだろう。そして、その後の運用経験やセキュリティ面の要求に合わせて、順次、設定を見直したり付け加えたりすればよい。

なお、すでにSRT100を使用していて、セキュリティ対策強化のためにFWX120に乗り換えたい、という場面もあるだろう。そうなると、SRT100で使用していた設定を引き継ぎたいのではないだろうか。

FWX120の設定に使用するコマンドは、一部でSRT100とは仕様が異なっている部分がある。そこで円滑な移行を可能にするため、ヤマハでは「FWX-ConfigConverter」を用意するとのことだ。これは、SRT100で使用していたconfigファイルをFWX120用に変換するコンバータだ。

これを利用すれば、SRT100で使用していた設定を引き継ぎつつ、さらに強力かつ高性能なFWX120を活用できる。既存のユーザーの資産を大切にしてくれるのは、ありがたい限りである。

次回からは、具体的な設定方法について解説する。