清水理史の「イニシャルB」
Synologyらしさ全開の無線LANルーター「RT2600ac」 はフツーじゃない! コレ1台でファイル共有やセキュリティ対策もOK
2017年7月18日 06:00
NASベンダーとして知られるSynologyから、その技術を応用した無線LANルーター「RT2600ac」が発売された。特筆すべきは、NASゆずりの拡張性を備えている点、無線LANルーターながら実用的なファイル共有/同期やメディア共有が可能な点、IPS/IDSによるセキュリティ機能や独自のVPNサーバー機能を備えている点だ。その実力を検証してみた。
一台何役なのか?
実にNASベンダーらしい発想だ。
これまでの無線LANルーターにも、簡易的なファイル共有やメディア共有、セキュリティ機能など、「簡易」と名の付くものはあまた存在しているが、Synology RT2600acに搭載されているのは、どれも同社のNAS(Diskstationシリーズ)譲りの本格派。
もちろん、NASとまったく同じ機能が使えるわけではないが、家庭やSOHO、小規模オフィスなら、従来の無線LANルーター+NASという構成をコレ1台でまかなうことも不可能ではないほどの実力となっている。
最近流行のネットワークセキュリティも、これまた本格的なIDS/IPS機能によって実現可能となっている上、独自のこれまた非常に簡単なVPNサーバー機能を搭載していたり、ビジネスシーンで役立つRADIUSサーバーやDNSサーバー機能も搭載可能となっており、「いったいぜんたい1台何役なのか?」と思えるほど多機能な製品となっている。
従来の無線LANルーターは、あくまでも無線LANルーター機能がメインで、ほかの機能はサブ的な位置付けとなっているが、本製品の場合、あまりこのようなメイン/サブという感覚がない。まるでどんな用途にも使える汎用的なサーバーを使っているような感覚さえある。
いくつか脇の甘い点も見受けられる上、我々ウェブ媒体の関係者にとってはかなりショッキングな機能も搭載されているが、それらも含めて、これまでの無線LANルーターの概念を覆す画期的な製品であることは間違いない。
デュアルWANにも対応
それでは、製品をチェックしていこう。外観は、今となっては珍しい横置きタイプとなっており、背面奥側の大きめの足によって若干手前に斜めに傾くような筐体となっている。
デザインはSynologyのNASに似た印象で、「Synology」のロゴが目立つように配置されているほかは、さほど飾り気はない。サイズも幅×奥行き×高さが280×169×77mmとそこそこ大きく、アンテナも比較的長め(約16.5cm)なので、設置場所は余裕を持って確保する必要がある。
インターフェースは、背面にLANポート×4、WANポート×1、USB 2.0が搭載されている。有線ポートはいずれも1000Mbps対応だが、LAN1のポートはWANポートとしても構成可能となっており、2系統のインターネット接続を構成できる。「スマートWAN」を有効にすることで、フェイルオーバーやロードバランスの構成もできる。
試しに、WANポートをPPPoEのフレッツ光、LAN1のポートをIP自動取得のNURO光に設定してみた。標準ではスマートWANで「フェイルオーバー」が構成されており、両方の回線に問題がなければWANポート側がアクティブな回線として利用されるようだ。
その後、有線LAN接続のPCでYouTubeの4K動画を再生しながら、WANポートのケーブルを抜いてみたところ、即座にというわけにはさすがにいかないが、6~7秒くらい動画が途切れてから、自動的にLAN1側回線へと切り替わり、通信が再開された。
この状態から、先ほど抜いたWAN側のケーブルを復帰させると、LAN1側から自動的にWAN側へと接続が戻ったが、こちらはYouTubeの動画がほんの一瞬(1秒前後)途切れただけで、非常にシームレスに接続が復帰した。復帰のタイミングは環境に依存しそうだが、これなら回線トラブルが発生しても、ユーザーはほとんど違和感を感じないはずだ。
一方、ロードバランスは、その割合を%で設定可能となっており、標準では50%、50%で構成されるようになっている。
筆者が試したときは、ロードバランス構成後は、PCやスマートフォンなどネットワーク内の主な機器の接続先が、今までアクティブだったWAN側(PPPoEのフレッツ)ではなく、主にLAN1側のNURO経由へと切り替わった。
PCで負荷をかければ、ほかの端末がWAN側から通信するようになるかと、いろいろテストしてみたが、中途半端な負荷では接続先が切り替わることなく、基本的には接続が維持されるようだ。
ロードバランスの場合、利用する機器によっては、頻繁に接続先が切り替わるアルゴリズムになっており、普通に使っているだけでもストリーミングが途切れたりすることがまれにあるが、本製品をテストした限りでは、そのような傾向は見られず、基本的には接続を維持する傾向が強いようだ。
なお、これは豆知識だが、インターネット接続にPPPoEを利用する場合は注意が必要だ。海外製のルーターでは“あるある”だが、MTUが「1492」になっているため、そのままではいくつかのウェブページを正しく表示できない。PPPoEで接続する場合は、詳細設定で「1454」に変更しておこう。
SDカードでNAS化
USBポートは、背面のUSB 2.0に加えて、側面にもUSB 3.0が搭載されており、HDDやSSDを接続することでファイルの共有や同期、メディア共有などに利用できる。デュアルコア1.7GHzのCPU「Qualcomm IPQ8065」と512MBメモリという余裕のパワーによって、アクセス性能も非常に高く、以下のように書き込みは若干遅いが、シーケンシャルリードで100MB/s越えと、低価格NASと同等のアクセス性能も実現できる。
RAIDによる冗長性が必要な場合は、外付けドライブを工夫する必要があるが、バックアップや同期が目的なら、256~512GBほどのSSDで十分だろう。
個人的に高く評価したいのは、本体前面にSDカードスロットが搭載されている点だ。NASの代わりとして本格的に使うなら、前述したUSB 3.0ポート+外付けドライブという構成がいいが、家庭などの利用で、そこまで容量やスピードは必要はないと割り切れるなら、64GB前後のSDXCカードを装着して、これをストレージとして活用できる。
これらのストレージは、WindowsやMacからファイル共有に使えるほか、「CloudStation Server」によってPCのバックアップ先に利用したり、PCやスマートフォンなどのマルチデバイス間で特定のフォルダーを同期する用途にも利用可能となっているため、クラウドストレージ的な活用も可能だ。保存されたデータは自動的に履歴が保持されるため、バックアップとしての利便性も高く、通常はWindowsのみに感染するランサムウェアに対しての防御策にもなる。
ユーザーのグループを作成できない点がNASとの違いとなるが、LDAPやActive Directoryに参加することが可能なため、環境次第では複雑な権限設定を行うことも可能だ。個人的には、この機能だけを目的に本製品を購入しても、損はないと言えるほど完成度の高いソリューションだ。
長距離での通信速度は過去最高
無線LANのスペックとしては、4ストリームMIMOで、5GHz帯が最大1733Mbps、2.4GHz帯が最大800Mbps。規格としてはIEEE 802.11ac wave 2に対応しているほか、MU-MIMOやビームフォーミングにも対応している。
SSIDやパスワードは、初期設定で変更する仕様となっており、背面に記載された暗号キーでセットアップ用のSSID「synologyrouter」に接続後、ウィザードを使って自分の好きな値を設定する仕組みとなっている。
2.4GHzと5GHzのSSIDを共通化し、接続環境の良好ないずれかに自動接続する「スマート接続」もサポートされるなど、機能的にも充実している。もちろん、ゲスト用のSSIDを別途作成することも可能だ。
パフォーマンスは非常に優秀だ。もしかすると、過去に筆者がテストした無線LANルーターの中では、最強と言ってよいかもしれないほど性能が高い。
以下は、木造3階建ての筆者宅の1階にRT2600acを設置し、各階で速度を測定した結果だ。テスト機材の関係でクライアント側の上限速度が867Mbpsとなっており、RT2600acの実力をフルに発揮し切れていないが、とにかく3階での通信速度が非常に高速だ。
1階、つまり同一フロアで500Mbps前後は一般的な無線LANルーターと同等だが、3階で275Mbpsと軽く200Mbpsを超えてくるのは驚異的で、筆者宅でアクセスポイントから最も遠い位置となる3階端で、単体の無線LANルーターとして100Mbpsを超えたのは初めてだ。
3階端は、これまでのテストでは、廉価版の無線LANルーターで20Mbps前後、ハイエンドの無線LANルーターでも40~60Mbpsといったところだったが、一気に100Mbpsを超えてきた。もちろん、無線の性能は環境や時間帯に左右されるため、その実力を発揮できない場合もあるが、正直、これなら後から中継機を足すことなど考えなくても済みそうだ。
RT2600ac | |
1階 | 538 |
2階 | 348 |
3階 | 275 |
3階端 | 112 |
※検証環境 サーバー:Intel NUC DC3217IYE(Core i3-3217U:1.3GHz)、OS:Windows Server 2012 R2 クライアント:Macbook Air MD711J/A(Core i5 4250U:1.3GHz)
安全性を優先して発売日を延期に
なお、話は逸れるが、本製品は当初7月14日(金)の出荷が予定されていたが、諸般の事情により7月21日(金)に延期された。
本製品を実際に購入するユーザーには、修正版のファームウェアが搭載された製品が手元に届くはずとなるため、もはや関係のない話となるので、興味がなければ読み飛ばしていただいて構わないが、これにはちょっとした経緯がある。
本製品は、正式出荷前に報道関係者向けに評価機が提供されたのだが、そのときのバージョンのファームウェアは、初期設定のウィザード、および設定後のコントロールパネルの設定から、利用する国が選択可能になっていた(もちろん技適は取得済み)。
これは、かつて本コラムでTP-Linkの「Archer C7」を取り上げたときにも触れたが、かなり「グレー」な方式だ。
TP-Linkは、その後、日本以外を選択しない旨をウェブページなどで告知し、国選択ができないようにファームウェアのバージョンアップを進める改善策を実施したが、ここで再び同じものを目にするとは思わなかった。
ただ、TP-Linkの経緯から「グレー」だと思われるものの、それが本当に法的に問題があるかどうかは、はっきりとは分からない。このため、関係各所に取材をしてみた。その結果は以下の通りだ。
関東総合通信局
マニュアルや警告メッセージなどを含めて総合的に認可の判断されているはずだが、実際の認定は認証機関によって行われるため、具体的な判断基準はこちらでは答えられない。技適マークがあるということは、認証機関によって認定された機器である、ということだけは間違いないが、それ以上は回答できない。
JATE
難しい判断になるかと思うが、個人的な見解としては、仮に海外の周波数帯の電波を出せる製品だとしても、それを作ることや販売することは法律では禁止されていない。あくまでも違法な電波を出すことが禁止。国選択が可能な点が違法かどうかの判断は総務省の見解に依る。
なお、今回レビューに用いたRT2600acの技適番号は「R201-170698」で、オランダの認証機関TELEFICATION B.Vにて取得されている。筆者はこの先頭3文字をR021と見間違え、JATEによって認証されたものであると勘違いして問い合わせをしてしまったが、担当者の方があくまでも参考意見ということで丁寧に回答してくださった。あらためて感謝したい。
総務省
Synology RT2600acについては、まだこちらに認定の情報が上がってきていない。詳細も把握できないので、総務省としても調査してみないと回答はできない。基本的な判断基準としては、認定機器に「工事」が発生した場合は、その機器に対しての既存の認定は無効になる。設定画面で国を変更する操作が「工事」に当たるかどうかは、個別の判断となるため調査してみないと分からない。ただし、「簡単に切り替えられる」ことは好ましくはない。
最終的に総務省がどう判断したのかは、当事者ではない筆者には分からないが、結果的には、国選択ができないようにファームウェアが変更され、それが発売日の延期につながったことになる。
個人的には、これはモラルの問題だと思っている。ただ、万が一でも設定を間違えればユーザーが法的な責任に問われることを、選択画面の警告メッセージのみで済ませるのは、さすがに配慮が足りないと言える。そう言った意味では、今回、安全性を配慮して、出荷を遅らせてでもファームウェアを更新したSynologyの判断は高く評価したいところだ。
それにしても、驚かされるのはSynologyの対応の早さだ。ファームウェアの改善が伴う対応を、たった1週間出荷を伸ばすだけで完了させてくるのだから恐れ入る。さすがソフトウェアの技術力に定評のあるベンダーと言えそうだ。
これはやりすぎ? ウェブフィルターで「広告」も標準ブロック
続いて、セキュリティ関連の機能について掘り下げていこう。
本製品には、一般的なルーターに搭載されているファイアウォール機能(ポートベースのフィルタリング)やIPアドレスベースでのホワイトリスト/ブロックリスト、DoS保護機能などが搭載されているほか、さらにいくつかのセキュリティ機能を利用できる。
標準で利用可能なのは、ウェブフィルターとセーフ検索だ。「パレンタルコントロール」の機能として搭載されているため、子どもを持つ保護者向けの機能と思われがちだが、実質的にはフィッシングサイトやマルウェアサイトなど、危険なサイトへのアクセスを禁止するセキュリティ機能となっている。
RT2600acは、ネットワーク内のデバイスを自動的にリストアップするように構成されており、このリストからデバイスを選択してウェブフィルター(DNSルックアップ段階でチェック)やセーフ検索(Google SafeSearchインテグレーション)を個別に有効化することで、その端末を悪質なサイトから保護できるようになる。
Windowsの「SmartScreen」などと同様の機能なので、個人的には有効にしておくことをお勧めするが、困ったことにウェブフィルターにあらかじめ用意されている「ベーシック」設定では、「広告」カテゴリが標準でフィルター対象として選択されている。
このため、ウェブフィルターを有効化すると、本誌INTERNET Watchからバナーがすっかり消えて、やたらと白いスペースが目立つサイトになってしまう。広告で成り立っている媒体に寄稿している身からすると、この機能はちょっと勘弁して欲しい。
ルーターやセキュリティゲートウェイなど、ウェブフィルタリング機能を搭載する機器は数多く存在するが、もっとも低いレベルのフィルターで「広告」をブロックする製品は初体験だ。
最近ではGoogleやAppleなどがウェブブラウザーでも広告フィルター機能の導入を検討する動きがある上、広告ネットワークを悪用するマルウェアも存在するため、方針は理解できなくもないが、やはりもっとも低レベルの「ベーシック」フィルターで広告もブロックしてしまうのは、少々、やり過ぎではないかと思える。
通信内容を検査して不正な通信を遮断するIntrusion Prevention
セキュリティ機能で、もう1つ見逃せないのはパッケージとして導入可能な「Intrusion Prevention」だ。
UTM(統合セキュリティ装置)などに搭載されているIPS/IDSの機能で、本製品を通過する通信データを検査し、外部からの攻撃やマルウェアによる外部への不正な通信などを検出して、警告を表示したり(IDS)、自動的に遮断したりする(IPS)。RT2600acのIntrusion Preventionは、IDS(検出モード)、IPS(防止モード)のどちらでも利用可能となっている。
自動的に通信を遮断できるIPSモードで運用したいところではあるが、利用するシグネチャによっては、ウェブサービスやアプリの通信が遮断されることもある。
例えば、最近ではアプリのインストーラーをダウンロード後、そのダウンローダーがアプリ本体をダウンロードしてくるという方式が採用されることがあるが、こうした動作はランチャーアプリに偽装したマルウェアが外部サーバーからウイルス本体や別の攻撃ツールをダウンロードする行動によく似ている。このため、アプリによっては、ダウンローダーからの通信がマルウェアに類するとIntrusion Preventionによって判断され、その通信が遮断されてしまうことがままある。例えば、有名どころでは「Minecraft」のPC版(Java Edition)がこれに相当し、実際、防止モードで利用するとインストールに失敗する。
もちろん、遮断された後、設定画面からイベントを確認し、Dropされた通信を次回以降「Do Nothing」や「Alart」に変更しておけば正常に通信可能になるが、それが面倒な場合は最初はIDSモードで利用することを推奨したい。ログを確認し、不正な通信を確認した場合は自分で対処しなければならないが、日常的な使い勝手を損なう可能性は低い。
実際、筆者宅で利用してみたところ、1日でも数々のイベントがログに記録されていた。Javaのバージョンが古い、ターミナルサーバーの偽装トラフィックが届いた、特定の端末がimageファイルを外部に投げているというものなど、さまざまだ。
検出後は、ソースIPやディスティネーションIPから該当する端末を探し当て原因を探ることになる。例えば、筆者宅の最後の例(imageファイルを投げている)の原因は、「Amazon Fire TV」にインストールしてあるアプリ「ESファイルエクスプローラー」だった。特定のバージョンではよく知られている現象で、今回はIDS/IPSの動作を検証するために意図的に使ったのだが、こうした“あやしい”通信も、きちんと検出できることがよく分かった。
このように、Intrusion Preventionでは、ネットワーク内部の端末があやしい動きをしているとか、そういった疑わしい通信を可視化し、必要なアクションを実行することが可能となっているため、PCやスマートフォンだけでなく、ウェブカメラやSTBなど、さまざまな機器のセキュリティ対策として活用できる。
ただし、通信の中身をチェックするという仕組み上、SSLなどで暗号化された通信はチェックできない(HTTPS接続など)。このあたりは、ネットワーク設置型のセキュリティアプライアンス共通の課題で、対応しようとするとすべての端末に証明書のインストールが必要になるので、致し方ないところだ。
ちなみに、Intrution Preventionはシグネチャを利用して通信を監視するが、このシグネチャにはProofpointが配布している「ET Open」が使われている。有料(ET Pro)のシグネチャを利用することも可能なようだが、家庭での利用なら、無料のものでも十分だろう。
独自のSSL VPN/ウェブVPNに加えSite-to Site VPNにも対応
VPNサーバー機能は、海外製の無線LANルーターでは一般的な機能となりつつあるが、本製品は、さらにその先を行く。
パッケージセンターから「VPN Plus Server」をインストールすると、標準VPNとして「SSTP」「Open VPN」「L2TP」「PPTP」によるVPN接続が可能になることに加え、Synology独自のVPNとして「SSL VPN」と「ウェブVPN」も利用可能になる。
SSL VPNの特徴は、ほかのVPNソリューションに比べて高速で、セットアップや接続が簡単な点だ。「VPN Plus Server」で機能を有効化した後、接続を許可するユーザーを選択し、PCから表示されたURL(https://login.[QuickConnectID].synology.me:443)にアクセス後、専用のクライアントソフトをインストールすれば、そのクライアント経由で接続できる。
スマートフォンの場合はGoogle PlayやApp Storeから「VPN Plus」アプリをインストール後、Quick Connect IDを宛先として接続すれば、VPN接続が確立される。サーバーもアプリもすべてSynologyのソリューションで完結するため、非常にシンプルだ。
もう1つのウェブVPNは、クライアント不要のVPNソリューションだ。VPNというよりは、HTTPSによるSSL通信を中継(転送)する仕組みといった方が分かりやすいかもしれない。
この機能を利用するには、あらかじめ「Synology DDNS」を有効にしておく必要があるが(自社ドメインが使えるならそれを使ってもOK)、機能を有効化後、こちらも表示されたURL(https://login.[QuickConnectID].synology.me:8443など。ポートはSSL VPNと同じ443は使えないので変更する必要あり)にアクセスする。
すると、「内部URLを入力します」というボックスが表示されるので、例えば家庭内のNASのアドレス(http://192.168.1.10)などを入力すると、SSLで暗号化された状態で指定したページへとアクセスできる。
暗号化されていない公衆無線LANを利用するときに、HTTPS以外のサイトにアクセスしないといったことがよく言われるが、ウェブVPNを利用すれば、HTTP接続のサイトとの通信もHTTPS化できるため、安全に利用できることになる。
ただし、標準では1接続用のライセンスのみが提供され、それ以上の接続が必要な場合は、別途、ライセンスを購入する必要がある。どちらも手軽で便利な機能だが、オフィスなどで利用する場合は、ライセンスの追加を検討しよう。
このほか、企業向けに使える機能として、Site to Site VPNの構成も可能となっている。これにより、本社と拠点など、離れた地点のオフィスをVPNで接続することが簡単にできる。
試しに、Azureで仮想ネットワーク接続を構成し、そこに接続してみたが、Azure上に構築した仮想マシンのローカルアドレスに問題なく接続することができた。クラウドサービスに安全に接続したい場合にも活用できるだろう。価格を考えると、一部の法人向けルーター市場のパイを奪う可能性もありそうだ。
お値段以上の価値はある
以上、Synologyの無線LANルーター「RT2600ac」を実際に試してみたが、ちょっと今までの無線LANルーターとは、ステージが違うという印象だ。
ちょっと分かりにくいかもしれないが、NAS的でもあり、UTM的でもあり、VPNルーター的でもあり、これらすべて、今まで別々のジャンルとして扱われていた機器をうまく融合させ、それをさらに使いやすさを考慮したフィルターによってふるいにかけ、ブラッシュアップしたというイメージだ。
なので、家庭で使ってもNAS的な機能やバックアップで満足できるし、小規模オフィスで使ってもセキュリティ機能に満足できるし、大企業でも拠点を結ぶためのVPN用として満足できるしと、構成や使い方次第で、どのような用途やユーザーにも満足できる製品となっている。
とは言え、実売価格が2万9800円と高価な上、設定自体は簡単ではあるものの、機能を理解するのに時間はかかるので、初心者向けというよりは、ハイエンドユーザーからSOHOといったあたりがターゲットになりそうだ。
このユーザー層であれば、間違いなく、本製品の性能と機能は満足できるし、場合によっては「いじって遊べる」という製品になっている。
Synologyの製品は、NASを初めて使ったときも衝撃的だったが、本製品もまったく期待を裏切らない非常に完成度の高い製品と言って良いだろう。