STBやカメラのセキュリティ対策もお忘れなく　家庭向けネットワークセキュリティ機器「Bitdefender BOX」

　Bitdefenderから、ネットワークの出口でのセキュリティ対策を実現する「Bitdefender BOX」が発売された。ネットワークの通信を監視することで、PCやスマートフォンはもちろんのこと、テレビやゲーム機、STB、Webカメラなど、端末側でのセキュリティ対策ができない機器をも保護できる製品だ。実際の環境で試してみた。

見える化だけでも価値がある

　「自宅のネットワークに、一体何台の機器がつながっているか？」

　この質問に、答えられる人は、もしかすると少なからずいるかもしれない。

　では質問を変えよう。

　「家庭内の機器が危険なサイトにアクセスした形跡があるかどうかを把握しているか？」

　さすがにそこまでは……、という人がほとんどだろう。

　しかし、このような疑問にもきちんと回答できる環境が、今後は手軽に構築できそうだ。セキュリティベンダー、および通信機器ベンダーのいくつかの企業は、ネットワークの通信を監視するセキュリティアプライアンスの提供を家庭向けに開始した。

　本コラムでも以前に取り上げたASUSのRT-ACシリーズ、その技術の提供に加え独自の製品を投入したトレンドマイクロのウイルスバスター for Homenetworkなどがこれに相当する。

　そうした中で今回、新たに登場したのがBitdefenderの「Bitdefender BOX」だ。海外では2015年から発売されていた製品だが、ようやく国内での販売が開始された。

ネットワーク通信を監視してセキュリティを確保する「Bitdefender BOX」

　家庭でネットワークのセキュリティ対策なんて時期尚早。そう思うかもしれない。

　しかし、MiraiのようなIoT機器をターゲットとしたマルウェアが、今や身近な脅威として存在するのも事実だ。いままで放置されてきたテレビやレコーダー、ゲーム機、STB、Webカメラ、NAS、ルーター、無線LANアクセスポイント、プリンターなどが、マルウェアに感染し、外部をDDoS攻撃するBOTと化すことは、もはやひとごとではない。

　脆弱性をかかえた通信機器が無償交換の対象となったことなども考えると、ネットワークに接続される機器の脆弱性がいかに深刻かということも理解できるだろう。

　もちろん、根本的な対策は、発見された脆弱性を修正し、第三者に悪用されないよう機器に複雑なユーザーアカウントとパスワードを設定しておくことだ。

　しかし、冒頭で触れたように、もはや自宅に何が何台つながっているのかも把握しきれない状況がある。

　これらの機器のセキュリティ対策を施すことはもちろん大切だが、取りあえずネットワーク上の機器をすべて見える化してくれるだけでも、いくらかの投資をする価値はあると言えそうだ。

エンドポイント対策とセットでお得

　それでは、実際の製品をチェックしていこう。

　Bitdefender BOXは、手のひらに収まる小型サイズのセキュリティアプライアンスだ。トレンドマイクロのウイルスバスター for Homenetworkに比べても、さらに一回り小型で、設置場所を選ばないサイズとなっている。

　デザインは白を基調にしたシンプルな印象ではあるものの、前面下部が山形に削られ、その内部がLEDで照らされるという演出もなされている。個人的には家庭に設置する機器はなるべくLEDを点灯してほしくないのだが（普段は消灯でエラーなどのみ点灯が理想）、まあ、セキュリティ機器らしいサイバー感はそこそこある。

正面

背面

上部

　インターフェイスは背面に集中しており、電源用のmicroUSB、LANポート、WANポート、そしてリセットスイッチが配置される。

　電源がmicroUSBというのも通信機器では珍しいが、注目はLAN、WANの両ポートが100Mbpsまでの対応という点だ。と言っても、ほとんどのケースでは、本機がルーターとして動作するわけではないので、この影響を受けるのは上りのみと限られる（詳しくは後述）。

　価格は、本体価格が税込で1万5984円（2017年3月17日現在Amazon.co.jp調べ）。1年間のライセンス使用料が含まれており、2年目以降は年額9720円（税込）の更新料金が必要になる。

　競合となるウイルスバスター for Homenetworkは、本体価格が1万9224円と少し高い一方で、2年目以降の更新料が6480円と若干安く設定されている。このため、3年以上使うと差額が余計に発生することになるが、トータルのお得感はBitdefender BOXの方が高い。

　というのも、本製品にはWindows/Mac/Android向けの「Bitdefender Total Security 2017」を台数無制限で利用できる権利も含まれているからだ。

　iOS版が提供されない点が日本では残念だが、PCやスマートフォンのマルウェア対策をエンドポイントで実施しながら、さらにネットワーク上で、IoT機器も含めたトータルな対策ができることを考えると、この価格はお得感がある設定と言えそうだ。

Bitdefender BOXで何ができるのか？

　ネットワーク機器のセキュリティ対策と言っても、具体的に何ができるのかというと、「脆弱性診断」「URLブラックリスト」「ネットワーク管理」の3つの機能が提供される。

脆弱性診断

　脆弱性診断は、ネットワーク上の機器に存在する潜在的な脆弱性を検出する機能だ。例えば、IDやパスワードが初期設定のままの機器や暗号化されていない通信が使われていることなどを検知し、その危険性を表示する。

　パスワードの脆弱性に関しては、オンラインの脆弱性データベースを参照するように設計されており、「password」や「1234」などよくある簡単なパスワードが設定されている場合にも警告されるようになっている。うっかり簡単なパスワードが設定されたまま放置されている機器を探し出せるのはありがたいところだ。

　ただ、検出できるかどうかは機器側にも依存する部分がありそうだ。試しに、QNAPのNASでIDをadmin、パスワードもadminに設定してみたが、パスワードに関する警告は表示されなかった。

　なお、最近の無線LANルーターやNASは、admin/adminといった組み合わせを標準で設定できないようにしている機種も少なくない。どちらかというと、こういった対策から取り残された古いルーターやWebカメラなどの対策と言えそうだ。

パスコードの設定されていない端末で警告が表示される

URLブラックリスト

　URLブラックリストは、いわゆる出口対策ができる機能だ。ネットワーク上の機器が、フィッシングサイトや標的型攻撃のC＆Cサーバーなどと通信しようとするのを検知し、その通信を遮断することができる。

　同様の機能は、PCであればWindowsのSmart ScreenやChromeの機能などでも提供されいるが、Bitdefender BOXの機能はこれらよりも精度が高い。

　試しに、Phishtankに登録されたばかりのフィッシングサイトのURLにアクセスしてみたところ、Smart ScreenもChromeもスルーしたサイトをいくつか検出して遮断してくれた。

　危険なサイトのURLに関しては、各社がデータベースに登録して初めて効果を発揮する。Googleなどは、このタイミングが結構早いため、Phishtankに登録されているサイトの多くが先にChromeによって遮断されるが、それでもいくつか検出できないサイトがある。そんなサイトでも、Bitdefender BOXで検出できる場合があるわけだ。これは非常に心強い。

　ポイントは、このような高精度のデータベースをIoT機器でも使えることだ。試しに、Amazon Fire TVからアプリを使って同様にPhishtankに掲載されているサイトにいくつかアクセスしてみたが、Bitdefenderによってアクセスが遮断されることを確認できた。

　今回の例ではフィッシングサイトを利用したが、IoT機器の場合はDDoS攻撃のために外部のC＆Cサーバーと通信する例があるので、このような不正な外部通信をまとめて遮断できることになる。

危険なサイトにアクセスしようとすると通信が遮断される

アプリ側にアクセス状況が通知されるため、WebカメラなどのUIを持たない機器の遮断状況も確認できる

Phishtankに登録されたばかりにサイトの中には、Googleのエンジンなどでも取り逃がすものがあるが、それも検知可能だった

ネットワーク管理

　ネットワーク管理は、見える化とアラートと言い換えてもいい。スマートフォン向けのアプリを利用することで、ネットワークに接続されている機器をすべてリストアップすることができる。

　これだけでも便利だが、さらにリストアップされた端末の所有者の名前を設定するなどして区別できるようにしたり、ゲスト端末とファミリー端末という区別に分類することで、より詳細な管理が可能になる。

ネットワーク上の端末がリストアップされる

トラフィックのサマリーも表示可能

ファミリー端末として登録すると詳細な管理が可能

　最初に、リストアップされた機器を1つずつ確認しながらファミリー端末に登録していくのが若干手間がかかるが、一度設定してしまえば管理が楽になる。この状態で運用し、万が一、見知らぬ端末がゲスト端末として表示されれば、不正アクセスの可能性があるので、その通信をアプリ上から遮断することができる。

　一方、ファミリー端末として登録した機器は、基本機能として脆弱性の検知が可能となるが、これに加えてWindowsとMac、Android端末はエージェントをインストールすることで、システムの更新状況やパスコードの安全性、HDDの空き容量などの情報も管理できる。

　家庭内からだけでなく、外出先からもアプリを使って管理ができるため、出勤後に家庭内に不審な端末がつながったことを確認できたり、家庭内の端末が不正なURLにアクセスしたことをアラートで確認できたりと、さまざまな管理を行える。

　セキュリティという切り口で考えると、「通信をチェックして……」という機能がメインに思われがちだが、実際に使ってみると、このようにネットワーク上の機器を管理できることのメリットが意外に大きい印象だ。

WindowsやMac、Android端末はファミリー端末として登録するとエージェントがインストールされ、これにより詳細な管理が可能

Windowsのエージェント

セットアップはアプリで

　セットアップに関しては、既存のルーターの設定に若干手間がかかる可能性がある。

　Bitdefender BOXは、複数の動作モードが用意されており、通常はDCHPサーバーとして動作させるモードで利用することになる。

　DHCPサーバーとしてネットワーク上の機器にIPアドレスを配布すると同時に、デフォルトゲートウェイとして自身のアドレスを配布することで、外部に向けた通信がBitdefender BOXを経由するようにし、そこでURLのチェックなどを実施する。このため、設置後は、既存のルーターのDHCPサーバー機能をオフにする必要があるわけだ。

　Bitdefender BOXのLAN側のポートを利用して既存のルーターに接続し（DHCPサーバーがオフにできない場合以外は通常WAN側ポートは使わない）、電源をオンにする。

　その後、家庭内ネットワークに接続したスマートフォンで「Bitdefender BOX」アプリを起動すると、設定方法のガイドが実行されるので、この設定を進めていく。DHCPサーバーとして動作されるモードであれば、途中でルーターのDHCPサーバーをオフにするようにメッセージが表示されるので、指示に従ってオフにすれば設定は完了となる（DHCPの再配布をしばらく待つ必要がある）。

　海外では、ルーター側のDCHPサーバー機能のオフをBitdefender BOX側から実行できるようになっているが、国内メーカーの製品にはまだ対応していないため、基本的に手動での設定となる。このあたりも今後の対応に期待したいところだ。

　接続さえ済めば、後は特に設定は必要ない。前述したように、ネットワーク上の機器が自動的にリストアップされ、自動的に通信が保護される。ファミリー端末として登録することで、端末のより詳細な管理が可能だが、不正なURLへのアクセス遮断などの機能は初期設定完了直後から有効だ。

　なお、Softbank光の光BBユニットなど、DHCPサーバー機能がオフにできない場合の設定方法はサポートページから参照可能となっている。

設定でのポイントは、ルーターのDHCPサーバー機能をオフにすること。現状は手動設定での対応となる

ASUSのルーターであれば自動設定できるかと期待したが、失敗したため手動でDHCPサーバー機能をオフにした

DHCPサーバー機能をオフにできない場合の対処方法

スループットは上りが影響を受ける

　気になるスループットだが、以下の通りだ。Bitdefender BOXを設置後、DHCPで動作させた場合（デフォルトゲートウェイがBitdefender BOX）の場合と、PCのデフォルトゲートウェイを手動で元のルーターに変更した場合でSpeedtest.netによる速度を計測した。

　下りに関しては計測結果は100Mbps近い差が出ているものの、測定時の誤差によるものと考えられるため、ほとんど影響がないと言っていい。どちらも500Mbps以上出ているので、実際に使い比べてもまったく差は体感できない。

　一方、上りに関しては、残念ながらBitdefender BOXの影響が出てしまう。URLチェック程度なら大きな影響は受けそうにないが、やはりLANポートが100Mbpsという点がボトルネックになっていると考えられる。

Bitdefender BOX経由の通信（左）では経由しない場合（右）と比べて上りの速度が低下する

　海外サイトの情報によると、スペック的には400MHz MIPSで64MBのRAMということなので、もしかするとこのあたりの処理能力も影響している可能性もある。

　ただし、上りなので、Webの閲覧やファイルのダウンロードなどでは、まったく影響を感じない。OneDriveの同期なども上りで実行されるが、もともとクラウドストレージの同期も帯域を調整しながら通信することが多いため、あまり影響を感じることはない。

　ギガクラスの回線がもったいない、という感覚的な問題はあるものの、実用性としては100Mbpsでも大きな問題はなさそうだ。

　なお、前述した光BBユニットなどのようにDHCPサーバー機能が利用できない場合は、本製品をルーターとして利用することになる（IEEE 802.11n/g/bの無線LANアクセスポイントとして利用するモードもある）。この場合、上りだけでなく、下りも100Mbpsの制約を受けるので、構成によってはさらに制約が大きくなる場合もある。

モードは初期設定時に選択可能。推奨はDCHPサーバーとして動作するモード

導入アリ/ナシの差が出たときは遅い可能性も

　以上、Bitdefenderから登場したBitdefender BOXを実際に使ってみたが、ルーターの設定さえクリアできれば、手軽にネットワーク機器を管理できるうえ、不正なURLへのアクセスを遮断できるいいソリューションと言えそうだ。

　Bitdefender BOXでできることをまとめておくと、以下のようになる。

　なお、冒頭でも触れたが本製品には、Bitdefender Total Securityのライセンスが付属している（台数無制限）。Windows/Mac/Android（残念ながらiOS向けは提供されない）では、このアプリをインストールしておくことで、さらに盗難防止用のリモートロックや子ども向けのアクセス制限／時間制限も可能になる。

エンドポイント用ソフトウェアはBitdefender Central経由、もしくはPlayストアからインストール後、Bitdefender CentralのIDでサインインすることで利用できる。インストールすると端末管理やWebフィルタ、時間制限など多彩な管理が可能

　Bitdefender BOXの機能だけで比べると、子ども向けのアクセス制限機能が弱いように見えるが、実際にはエンドポイントの対策と組み合わせることで、非常に豊富な管理機能を利用できる。トータルで考えると、非常に多彩なセキュリティ対策、ネットワーク管理ができるソリューションと言えるだろう。

　個人的には、今年のCESで参考出品されたバージョン2の動向を見たい気もするが、機能と価格のバランスを考えると、本製品のお買い得度は高いと言える。

　この手のソリューションは、この1～2年で登場したばかりとなるため、まだ効果が見えてこないが、おそらく効果が見えるタイミングというのは、数多くの家庭のネットワーク機器がBOTに乗っ取られるという大規模なセキュリティ事件が発生したタイミングになるはずだ。

　そのときに何らかのソリューションを導入していた場合としていなかった場合で大きな差が現れるのは明らかだ。単なる予防としてだけでなく、ネットワーク機器を管理できるというメリットもあるのだから、導入を検討する価値は十二分にあると言えそうだ。