前回は、UTM(Unified Threat Management)製品の概要と、UTM製品に求められる条件について取り上げた。そこで今回は、前回の最後に言及したネットギアのUTM製品「NETGEAR ProSecure UTM」シリーズを例にとり、UTMの導入・運用の実際について見ていくことにしよう。
試用したのは、ネットギア製UTMのラインナップでは上から2番目に位置する、「ProSecure UTM50」(以下「UTM50」)である。これを、常用しているルータの代わりに設置した。
レビューでは、WANポート×2ポートのうち1ポートのみを使用、LANポート×6ポートのうち1ポートを既存のスイッチに接続する形としている。
初期設定はウィザードで
UTMを開梱して設置する前に、まず、UTM50のLAN側IPアドレスの既定値「192.168.1.1」に合わせ、自宅LANのIPアドレスの設定を変更した。UTMのように多機能な製品になると、TCP/IP設定以外にも、設置の際に設定しなければならない項目が存在する。
とはいうものの、「セキュリティ確保に必要な機能がワンセットになっていて、誰でも容易に使い始められる」のがUTMの真髄である。初期設定が面倒になってしまったのでは意味がない。もっともUTM50の場合、後述するように、そうした心配はない。
UTM50では、初期状態でDHCPサーバを動作させるとともに、ウィザード形式で初期設定を行えるようにしている。そこでまず、LANで稼働しているPCを、UTM50のLANポートに接続した(この時点ではUTM50はLANに接続していない)。
そして、そのPCでWebブラウザを起動して、アドレスバーに「http://192.168.1.1/」と入力、続いて表示するログイン画面でユーザー名とパスワードを入力すると、UTM50の設定画面にアクセスできる。最初に表示する画面は、システムの動作状況を示すものだが、これについては後述する。
UTM50の設定画面は、三段構えのメニュー構成になっており、最上段から順番に階層が深くなる。最上段(背景がオレンジ色)に並んでいる項目は以下の通りだ。
・Network Config
・Network Security
・Application Security
・VPN
・Users
・Administration
・Monitoring
・Support
・Wizards
これらのいずれかをクリックすると、その下に二階層目のメニュー一覧が現れる(背景が水色)。三階層目は、その下にタブダイアログのような体裁で現れる。すべてのメニュー項目を紹介すると数が多すぎるので割愛するが、そもそも使いやすさを重視した製品であり、日常的に利用しなければならない項目はそれほど多くない。
その中から最初に使用するのが、右端の「Wizards」である。これをクリックすると、システム初期設定、IPsec VPN設定、SSL-VPN設定のいずれかを、ウィザード形式で行えるようになっている。このうちシステム初期設定(Setup Wizard)では、以下の設定を行うようになっている。
- TCP/IP設定(LAN側IPアドレス、サブネットマスク)、DHCPスコープ、DNSプロキシ、VLAN間ルーティング
- TCP/IP設定(WAN側IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバアドレス)、PPTPやPPPoEによるユーザー認証
- タイムゾーンとNTPサーバ
- Webと電子メールで使用するプロトコルごとの、スキャンするポート番号の設定
- 電子メールのスキャンで危険を検出した際の挙動の設定。送信の阻止や添付ファイルの削除と、ログするだけのいずれか
- Webのスキャンで危険を検出した際の挙動の設定。ファイルの削除と、ログするだけのいずれか
- Webサイトのアクセス拒否設定。カテゴリー別に、チェックボックスのオン/オフで指定する
- 電子メール通知の設定。まずいことが起きた際に、管理者に電子メールで急を知らせたいときに使用する。送信元アドレス、使用するSMTPサーバ、ユーザー認証情報を指定する
- シグネチャやエンジンの更新に関する設定。更新対象、更新頻度、使用するプロキシサーバの設定が可能
- 設定の適用と再起動
実のところ、ユーザー環境に依存する度合が高い「1.」と「2.」以外の設定は、既定値のままで進めてしまって問題ない。特に「7.」のような項目は最初から決め打ちにはできず、運用を開始してから実情に合わせて調整することになる。
なお、シグネチャのライセンスを有効にするためのアクティベーション作業も必要になるが、これはUTM50をインターネットに接続して通信可能にした段階で行う。その際に必要となるライセンスキーの情報を書いた紙が同梱されているので、なくさないように注意したい。また、ライセンスキーには期限があるから、いつアクティベートしたかをラベルライターに印刷してスイッチ本体に貼っておくと、更新忘れの防止に役立つ。
実際に使ってみた結果
ここまでの作業でUTM50は稼働可能な状態になるので、既存のルータと入れ替える形で設置して運用を開始した。もちろん、Webサイトへのアクセスや電子メールのやりとりは、交換前と変わらず、とくに問題なく使えた。
まずは、この状態で何日か運用してみて、様子を見ることにした。しばらく使用してみないと、(もしもあれば)外部からの攻撃を検出することはないだろうし、Webアクセスや電子メール送受信のスキャンについても、実際にトラフィックを発生させてみないと始まらない。無論、UTMを使用しているからといって、Webサイトへのアクセスなどに手加減することはなく、普段と同じように利用している。
そして、しばらく使ってみたところで、状況を確認することにした。設定画面にアクセスしたら、最上段の「Monitoring」をクリックする。続いて、その下にある項目一覧で「Dashboard」をクリックする。すると、Webやメールなどといったカテゴリーごとに脅威の検出状況を表示するほか、その下には日付ごとの脅威検出状況やトラフィックの状況をグラフ化したものが現れる仕組みだ。
そして、これらのグラフの下には、「直近の検出5件」と「検出のトップ5」を、機能別に表示している。平素は、この画面で脅威の検出状況に目を光らせていればよい。もしも見落としたり見忘れたりする心配があれば、電子メールで警告を通知するように設定しておけば確実性が高まる。
なお、ログの検索を行うには、「Monitoring」-「Logs&Reports」以下の「Log Query」を使用する。検索対象となるログの種類(Traffic、Malware、Email Filters、Content Filtersなど)をリストボックスで選択するのだが、その際に対象期間やキーワードなども併せて指定できる(指定できる内容は分野ごとに異なる)。検索結果は、「Search」で画面に表示することも、「Download」で手元のコンピュータにダウンロードすることもできる。なお、ログを確実に保全できるように、Syslogサーバの設置をお薦めしたい。
このほか、「Reports」画面で個々の項目ごとにある「view」をクリックすると、脅威の検出やシステム負荷などの情報をグラフで表示できるようになっている。時系列を追って傾向を把握する際に有用だ。
脅威の検出状況だけでなく、システムの負荷状況を「Monitoring」-「System Status」以下の「System Status」タブで確認できる。ときどき、過負荷になっていないかどうかを確認しておくと良い。
「Monitoring」-「System Status」以下の「System Status」タブで負荷状況を確認した際の画面例。CPUやメモリの負荷はパフォーマンスに大きく響きそうだから、要チェックだ |
ところで、「Monitoring」-「Diagnostics」は、UTM50の自己診断機能… ではなくて、ネットワーク診断に必要な機能を集めた画面である。pingやtracerouteといったTCP/IPツールの機能をGUI画面から利用できるので、コマンド操作に不慣れなユーザーは助かる。
ウィルス検出の場合、常に脅威は進化していることから、単に機械的なロジックを設けるだけで対処するのは難しい。だから、UTM50が行っているように、常に最新のシグネチャを入手して照合できるようにすることで、信頼性や安全性を向上させる必要がある。しかも、それをできるだけ少ない手間で実現することにUTMのような機器の真髄があり、その点でUTM50はハードルの低い製品だと考える。
また、送信元のメールアドレス、あるいはドメインをホワイトリストに追加といった対応が、GUI画面で容易にできる点は評価したい。