清水理史の「イニシャルB」
見えなかったものが見えるようになることの意味 プラネックスのWiFiセキュリティユニット「SAKOKU」
2016年6月6日 06:00
プラネックスから登場した「SAKOKU(MZK-1200DHP-SK)」は、日本や米国など、宛先の国を指定して通信を通過/遮断できる無線LANルーターだ。中国、オランダ、ブラジル、韓国など、あなたの家からどの国につながっているのかを見える化できる。
わかりにくいセキュリティをわかりやすく
今後、家庭用の無線LANルーターは、どう進化していくべきか?
その方向性の1つとして、「セキュリティ」という点に着目したことは、個人的にも正しい方向性だと思う。
ちょっと奇抜なネーミングセンスは賛否両論あるかもしれないが、わかりにくいセキュリティの世界に興味を持ってもらう意味では、「鎖国」という表現はあながち的外れではないし、直観的にもわかりやすい。
もともと、企業向けのファイアウォールやUTMなどでは、国を対象として通信をブロックする機能というのは一般的だっただけに、それと同様の機能を1万円台で購入できる家庭用の無線LANルーターに搭載してきたことは、素直に評価すべきだろう。
機能としてはシンプルで、本製品に有線や無線で接続された端末が通信する際に、その宛先をチェックし、あらかじめ指定された国以外が宛先だった場合に、その通信を遮断する。
「海外のWebページなんて見ないよ」と言われそうだが、そうではなく、“意図せず”海外とつながることを防止するのが目的だ。
代表的な例では、いわゆる標的型攻撃への出口対策が挙げられる。
巧妙なメールで、狙った企業にマルウェアを侵入させ、外部から情報を盗み出す標的型攻撃では、マルウェアの仕込みや外部からの遠隔操作をC&C(Command and Control)サーバーと呼ばれる外部のサーバーから実行する。
このC&Cサーバーは、(最近では国内設置のC&Cの例もあるが……)、海外に設置されることが多い。
「知り合いもいないし、取引もないはずのアフリカのよく知らない国との通信ログがあると思ったら、内部にマルウェアに感染した端末があった」などという話もある。要するに、内部から必要のない国に向けた通信を遮断してしまえば、そういった危険も少なくなるというのが、本製品の意図するところだ。
標的型攻撃に限らず、スマートフォンにインストールされた不正なアプリが勝手に情報を送信するなど、セキュリティ関連のトラブルの多くは、海外のサーバー経由で実施されることが多いことを考えると、その通信を遮断してしまおうというのは、一見、乱暴なようにも思えるが、そんなに突飛な考え方というものでもない。
866Mbps対応の無線LANルーター
それでは、製品をチェックしていこう。本製品は、同社が従来から販売していたIEEE 802.11ac対応の無線LANルーター「MZK-1200DHP」の改良版だ。
IEEE 802.11ac/n/a/g/bに対応しており、5GHz帯が2ストリームMIMOの最大866Mbps、2.4GHz帯がIEEE 802.11n(2ストリームMIMO)の300Mbpsに対応している。幅約115×高さ175×奥行32mmのお弁当箱のようなコンパクトなサイズで、アンテナも内蔵しているシンプルな無線LANルーターだ。
正直、MZK-1200DHPのときは、さほど魅力を感じる製品ではなかったが、「鎖国」という特徴を得て、生まれ変わったと言ったところだ。
実際にセットアップしてみると、今時の無線LANルーターらしく、設定画面はグラフィカルだし、難しい設定は意識しなくて済むし、手軽さという点では、かなり工夫されている。
ただ、セキュリティを売りにしている製品にしては、未だに「admin/password」の標準設定運用になっているあたりは疑問に思える。
また、標準では「かんたん設定」モードの画面で、設定できる項目が無線LANのSSIDとパスワード、インターネット接続の設定、管理者パスワードの設定など、限られた項目のみとなっている。
これはこれで便利なのだが、LAN側のIPアドレスやDHCPなどの詳細設定に切り替えるための操作がわかりにくく(ステータス詳細を表示してから詳細設定で切り替え)、さらに詳細設定はサポート対象外と表示されるなど、カスタマイズして使いたい人にとっては若干煩雑なUIになっている。
ちなみに、SAKOKUシリーズには、「SAKOKU 500(VR500)」という法人向けの製品(無線なしの有線機能のみで実売5万円前後)もラインナップする。個人向けのSAKOKUの最大NAT数が4096(5台前後の端末環境向け)なのに対して、SAKOKU 500は3万となっており、50台程度の同時接続が可能となっている。
こちらも標準「admin/password」運用な点は極めて残念だが、設定画面もクラシカルな左メニュータイプとなっており、”いじりやすい”印象だ。
思った以上にある海外との通信
実際に使ってみると、なかなか面白い。
鎖国と言っても、江戸時代のそれと同じように、海外との通信がすべて遮断されるわけではない。
NICTが公開している「nicterWeb Top 10 List」をベースに、標準では中国、コスタリカ、韓国、インド、ロシア、パキスタン、台湾、ブラジル、フィリピン、オランダ、ベトナムへの通信を遮断する設定になっている。
ちなみに、標準設定の国は、製品開発時点のランキングがベースになっており、必ずしも今の状況を反映するものではない。
また、例えば「台湾のパーツメーカーの本国Webページをよく見る」といった場合のように、標準で禁止されている国への通信を許可したい場合がある。
そういった場合は、設定ページの「ブラックリスト」画面で、禁止したい国にチェックを付けたり、許可したい国のチェックを外したりすればいい。
言わばオレ幕府といったところで、鎖国中でも、自分の意向次第で交流を許可することは自由にできることになる。
面白いのは、その動作状況だ。設定ページから「遮断ログ」を確認すると、結構な数の通信がブロックされている。
PCやスマホ、家電など合わせて10台前後が接続されている筆者の環境では、1日あたり300件前後といったところだろうか。思った以上に、海外との通信が発生していて、その多くがブロックされていることがわかる。
主なものを抽出してみよう。
DST=14.0.35.157,HOST=dl.sega-pc.com,COUNTRY=韓国,PROTO=TCP,DPT=80
DST=61.110.218.47,HOST=livedoor.4.blogimg.jp,COUNTRY=韓国,PROTO=TCP,DPT=80
DST=14.0.34.202,HOST=cdn2.natalie.mu,COUNTRY=韓国,PROTO=TCP,DPT=80
DST=191.236.88.160,HOST=nexus.officeapps.live.com,COUNTRY=ブラジル,PROTO=TCP,DPT=443
DST=191.234.72.186,HOST=fe2.update.microsoft.com,COUNTRY=ブラジル,PROTO=TCP,DPT=443
DST=61.110.217.50,HOST=cache.send.microad.jp,COUNTRY=韓国,PROTO=TCP,DPT=80
DST=191.234.20.241,HOST=a.config.skype.com,COUNTRY=ブラジル,PROTO=TCP,DPT=443
DST=94.228.136.12,HOST=um.adscience.nl,COUNTRY=オランダ,PROTO=TCP,DPT=443
DST=203.81.17.130,HOST=www.amazon.cn,COUNTRY=中国,PROTO=TCP,DPT=443
見やすくするために、日付や送信元の情報を省いているが、ざっとこんなところがブロックされた。
トータルで見ると、筆者宅で多いのは圧倒的に多いのがブラジルだ。
しかし、これは実際にはブロックされたら困る通信だ。ログを見てもわかる通り、ブラジルへの通信は、「nexus.officeapps.live.com」と「fe2.update.microsoft.com」。つまり、Office 365とWindows Updateの通信となる。
livedoorブログの韓国とか、ad系のオランダなどは別に遮断されても困ることはないが、Windows Updateなどはちょっと困る。
また、Webページによっては、特定のページが表示されなかったり、CSSなど一部の情報が海外サーバーにあるせいか、レイアウトが崩れるてしまう場合もある。たとえば、「http://asahi.com」などが代表的だ。
このため、常用に困らない状態で運用するには、こういった宛先をホワイトリストに登録してやる必要がある。
基本的には、ログを確認しながら自分で登録していくことになるが、同社ではWindows Updateや各種オンラインサービスなど、よく知られた宛先については、リストとして公開する予定としている。
現状は、少々不便だが、リストが提供されるようになれば、実用性はずいぶん変わるだろう。
わかりやすいけどわかりにくい
さて、このように国ごとに通信の可否を手軽に設定できる「SAKOKU」だが、誰にでもオススメできる製品かというと、ちょっと難しい。
確かに、標的型攻撃などの対策として出口対策は重要だし、スマートフォンの悪質なアプリなどの対策にも有効だ。
しかしながら、Webページのように「遮断」されたことがメッセージで確認できる場合はいいのだが、前述のWindows UpdateやOffice 365のように、裏側で通信が遮断されることも多く、こういった場合、ログをきちんとチェックしないと、遮断されたこともわからないし、その解除もできない。
セキュリティ対策は、使う技術が何であれ、最終的に重要なのは運用なのだが、その運用のハードルがまだ高い状況だ。
リストを提供するのも重要だが、たとえば、遮断したことがメールで通知されるとか、遮断された宛先がリストアップされ、よく知られたものなら説明が表示されるとか、遮断された宛先リストにチェックを付ければホワイトリストに登録できるとか、機能面ではそういった工夫があるとありがたい。
また、運用が重要になるのであれば、それをエンドユーザーが理解したり、学習できるコンテンツも必要だ。こういった手法は、ぜひYAMAHAを見習ってほしいのだが、ログの見方、よく知られた安全な宛先についての解説など、実際に運用する人に役立つ情報を提供してくれるとありがたい。
ちなみに、理想としては、宛先を自動判別して許可と遮断を機器側がコントロールしてくれることだが、そうなるともっと上のレイヤーに対応したアプリケーションファイアウォールなどの世界になってくるので、そこまでは過度な期待と言える。
同社からの情報では、工場など特定の宛先とのみ通信したい環境で、ホワイトリストのみを使う例もあるそうで、そういった環境での利用には最適だが、家庭で使うとなると、もう少し、手取り足取り丁寧に教えてくれるガイドがないと、常用は難しいといえそうだ。