清水理史の「イニシャルB」
実際の行動で示す中小への「本気」 Cisco Startブランドのルーター「Cisco 841M J」再び
(2015/11/16 06:00)
鳴り物入りで登場したものの、翻訳の不手際などで思わぬつまずきに見舞われたCiscoの中小企業向け戦略ソリューション「Cisco Start」。その雪辱を果たすべく、さまざまな改善が導入され始めた。本気で使える製品になったのか? 中小企業向けルーター「Cisco 841M J」の実力を検証してみた。
日本語対応改善+サポートも身近に
本気で変わろうとしている――。
矢継ぎ早に投入された対策は、Ciscoが中小向けの「Cisco Start」に本気で取り組んでいる証しと言って良さそうだ。
以前、本コラムで中小企業向けルーター「Cisco 841M-4X-JSEC」を取り上げた際、その翻訳の不手際などを指摘したが、同コラムが掲載されたわずか4日後には、GUI画面(CCPE:Cisco Configuration Professional Express)の日本語表記の改善を実施。
同社への取材によると、当初は海外で翻訳されていた日本語をそのままリリースしていたが、社内の体制を変更し、海外での翻訳を国内でチェックする体制を整えたとのことで、「とにかくできることはすべてやる」という方針でCisco Startの普及へと取り組んでいる様子がうかがえる。
11月1日には、同社のサポートページに設けられたCisco Start製品向けのディスカッションコーナーで、シスコのエンジニアが利用者からの質問に答える「エキスパートに質問」を実施。
本稿執筆時点の11月6日は、まだ開始されたばかりということもあり質問数は少ないが、IPv6で接続できない状況の解決方法、他社製品との機能の違いなどへの質問に対して、同社のエキスパートが的確な回答を提示している。
この手のディスカッションフォーラムは、一般的にユーザー同士での問題解決を目指した方向性のものが多く、エンジニアと直接やり取りできる機会は少なく、問題解決までに何度も質問が繰り返されたり、異なる複数の解決方法の提示などで、かえって質問者がとまどってしまうケースが多いが、少ないやり取りで的確に問題解決されている様子に感心させられた。
「とにかくできることはすべてやる」という同社の言葉の本気度がうかがえる取り組みだ。
「エキスパートに質問」の取り組みは11月30日までと、本稿が掲載されるタイミングでは残りわずかになっている可能性があるが、こういった機会が与えられたことは、実際に導入を検討している企業担当者、勉強目的でCisco製品に興味を持っているにとっては、絶好のチャンスと言えるだろう。1回だけの取り組みに終わらず、ぜひ定期的に実施されることを期待したいところだ。
Ciscoのルーターを導入する意義
それでは、実際の製品の実力をチェックしていこう。前回のレビューでは、セキュリティ関連の機能にはあまり触れなかったので、今回はそのあたりを掘り下げていく。
恐らく中小の現場で、本製品を導入するかどうかの判断基準は、このセキュリティ機能にどれくらい魅力を感じられるかが重要なポイントになるだろう。
具体的に何ができるのかというと、以下の項目になる。
・拠点間を暗号化通信で結ぶVPN接続を構築可能
・ゾーンベースファイアウォールによる用途ごとのセキュリティを適用可能
・ドメインフィルタリングによる特定サイトへのアクセスを制限可能
・クラウドベースのセキュリティ機能でWebベースの脅威から端末を保護
・接続機器や通信状況を見える化可能
こういった機能は、プロバイダーなどからレンタルされるルーターはもちろんのこと、コンシューマー向けの市販ルーターなどでは対応できない法人向けのルーターならではの機能となる。
社内のセキュリティをどのような方法で確保しように迷っていたり、社員が業務に関係のないサイトにアクセスするのを防止する方法を探していたり、社員がどのような目的でどれくらいインターネットに接続しているのかを確認したいといったケースでは非常に有用なソリューションとなる。
もちろん、こういった機能を提供する専用の機器に比べれば簡易的な部分も存在するが、通常のインターネット接続やVLANなどの社内ネットワークの構成が可能なオールインワンの機器で、GUIによる比較的簡単な設定でこれらを実現できる点にこそメリットがある。
実際の現場への導入だけでなく、導入前のテストや学習目的での利用にも適している。GUIで設定可能なため、ある程度の設定をした状態でコンフィグを確認してCLIでの設定に役立てるといった使い方もできる。実用環境で直面する社内のニーズや実際のトラブルなどから、設定方法を学んでいけるのは、シミュレーターとは違う実機ならではの特徴と言えるだろう。
それでは、いくつかの機能を実際に見ていこう。
ゾーンベースファイアウォールの設定
ゾーンベースファイアウォールは、LANやDMZなど、用途ごとに設定したゾーンごとにセキュリティポリシーを設定しておき、そこにインターフェイスを割り当てることで柔軟な構成を可能にするセキュリティ機能だ。
例えば、ゾーンLANの機器はWebアクセスやメールの送受信など最低限の通信のみを許可し、外部に公開するサーバーはすべての通信を許可するゾーンDMZに設置するといったようにしておき、それぞれのゾーンにVLANやインターフェイスのポートを割り当てるといった方法になる。
冒頭で触れた最新CCP express(GUI)を使ってクイックセットアップウィザードを実行すると、ウィザードの途中で「ファイアウォール機能を有効化」という項目が表示されるので、これを有効にすると標準でWAN側インターフェイスがゾーンWANに、Vlan1がゾーンLANに登録され、LAN→WANの方向でHTTPやHTTPS、IMAP、pop3、smtpなどを許可するポリシーが適用される。
逆に言うと、ここで許可されている通信以外は、LANゾーン(LANゾーンに登録されたVlan1に接続されている端末)には許可されないことになる。
例えば、TCP8140などを使うインターネットラジオなどを再生しようと思っても、標準の設定のままでは通信が遮断される。
コンシューマー向けのルーターなら、つながらずにパニックになるところだが、余計なアプリの利用を禁止したり、業務に関係のない通信を遮断したい企業の現場では役立つ機能だ。
もちろん、業務に必要なことがわかっていれば、そのポートの通信を許可しておけばいい。ポリシーを追加し、送信元ゾーンと宛先ゾーンを設定、動作で許可を選択し、ポート番号で指定したければポートタブを選択し、送信元や宛先ポートに番号を指定すれば完了だ。逆に遮断したければ動作でブロックを選択する。
ドメインフィルタリングで、TwitterやFacebookを選択してブロックすることができるが、環境によってはGUIでは想定通りの動作で設定できない場合がある。
なお、ゾーンベースファイアウォールを有効にすると、スループットは低下する。以下は、NATなし、NATあり、ZBFありの各状況で、LAN側に接続したPCとWAN側に接続したPCの間でiPerfを実行した際の値だ。
NATなしでは900Mbpsを実現できるが、NAT有効で600Mbps前後に、ZBFありでは133Mbpsにまで低下してしまう。ZBFはCPU負荷が高くなるので致し方ないところだが、セキュリティを重視するのであれば、ある程度のスループット低下は覚悟するしかないだろう。
通信速度(Mbps) | ||
NATなし | ZBFなし | 927 |
NATあり | ZBFなし | 594 |
NATあり | ZBFあり | 133 |
通信状況をチェックする
続いて、ネットワークの見える化を試してみよう。
Cisco 841M Jシリーズでは、GUIのダッシュボードから、CPU温度、CPU使用率、メモリ使用状況、システム稼働時間、インターフェイスのアップダウンなどの情報を表示することができるが、これに加えて「セキュリティ」からネットワークの通信状況をチェックすることができる。
トップ10のアプリケーション、トップユーザ、ファイアウォールドロップなどの状況をグラフで表示できるようになっているため、今まで把握できなかったネットワークの利用状況を簡単に確認可能だ。
例えば、ネットワーク上でどのようなアプリケーションが使われているのかを確認すれば、業務と関係のない通信が行われているかどうかを判断できる。また、だれがどれくらい通信しているのかを確認することで、ネットワークに無用な負荷を与えているユーザーを探し出すことができる。
トップユーザの項目は、標準ではIPアドレスで表示されるが、ユーザーを登録し、アイデンティティの設定でユーザー認証(Webベース)を有効にしておけば、インターネット接続の際にユーザー名とパスワードでの認証が必要となり、端末とユーザーを関連付けすることができる。
認証機能は、社員以外のネットワーク利用を防ぐためにも役立つが、これによりダッシュボードのトップユーザの項目をユーザー名で確認できるようになる。これはなかなか便利な機能だ。
クラウドベースのセキュリティ機能を利用する
クラウドベースのセキュリティ機能は、Ciscoが提供しているCisco Cloud Web Security(CWS)をベースにしたセキュリティサービスだ。利用するには、CWSの契約が必要だが、Cisco 841M Jに接続先のサーバー情報などを登録することで、通信内容をクラウド上でチェックし、Webベースの脅威などから社内の端末を保護できる。
PC上のセキュリティ対策と異なり、ネットワーク上に存在するすべての端末が対象となっており、PCだけでなくスマートフォンなども保護できるのが特徴だ(クラウド上のサービスとなるため外出先での利用も可能)。
利用は簡単で、契約時に発行されるサーバー名やライセンスキー(ポータルからCorporate用キーを発行)を設定画面に登録するだけでいい。これで、Cisco 841M J経由でインターネットに接続するすべての機器が保護対象となり、インターネット上の脅威から保護されることになる。
試しに、インターネット上でフィッシングサイトとして報告されていたURLにアクセスしてみたところ、無事にCWSによってアクセスが遮断されることを確認できた。
通常、このようなインターネット上の脅威は、セキュリティ対策ソフト、OSやブラウザのセキュリティ機能によって遮断されるが、企業によっては必ずしもすべてのPCに最新のOSやブラウザが搭載されているとは限らないうえ、セキュリティ対策ソフトも確実に稼働しているとは限らない。
しかし、インターネットへの通信を束ねるルーター側で対策をしておけば、こういったセキュリティレベルの異なる複数のデバイスもまとめて対策できるというわけだ。IoTのように、今後、インターネット接続が必要な各種デバイスが登場した場合、このしくみはさらに重要になってくることだろう。
インターネット上のサーバーを経由するため、時間帯によっては通信速度がかなり低下する場合もあるが、フィルタリングサービスを利用してアダルトサイトやゲームサイトなど、業務に関係のないサイトへのアクセスを禁止することも可能なうえ、そのレポートも詳細に確認することができる。
今後、こういったセキュリティ機能の良しあしが、通信機器を選ぶ際の重要な基準になることは間違いなさそうだ。
ほかのCisco機器とも連携
このように単体でもかなり多機能なCisco 841M Jだが、ほかのCisco製品との連携も可能になっている。
具体的には、スイッチの自動設定だ。同社のSG300シリーズなど、対応するスイッチを利用した場合、ネットワーク上のCisco 841Mから自動的に設定情報を取得することで、つなぐだけでスイッチの構成を実行できるようになっている。
詳細な設定方法は、同社のサポートページで公開されているスライド資料を参照してほしいが、この機能はコマンドでの設定が必要になる。具体的なコマンドは紹介しきれないので、大まかな手順を紹介しておこう。
1.Cisco 841M Jでスイッチ向けのVLANを作成
2.作成したVLAN用のDHCPプールを作成
3.スイッチを接続するLANインターフェイスを指定しVLANを割り当て
4.TFTPサーバーを構成し配布する設定ファイルを指定
5.スイッチ用設定ファイルをテキストファイルで作成
6.USBメモリなどを利用して設定ファイルをCisco 841M Jにコピー
これで、SG300をCisco 841M J側で構成したポートに接続すれば、設定ファイルの内容が自動的にスイッチに適用され、構成が完了するというわけだ。
ベンチャー企業などでは企業規模の拡大とともにフロアの拡大やネットワーク環境の整備を頻繁に実施するケースがあるが、このようにあらかじめスイッチの設定を準備しておけば、工事の当日などに機器を接続するだけで、すぐに構成することができるため、柔軟なネットワークの拡張が可能というわけだ。
使いこなせるようになれば大きな武器に
以上、Ciscoが中小企業向けに提供を開始した「Cisco Start」シリーズの中核をなすルーター「Cisco 841M Jシリーズ」を取り上げたが、セキュリティ機能の一部をピックアップしただけでも、かなり高度なことができることが理解できただろう。
十数名や数名規模の小規模な環境では、ルーターというと、インターネットに接続するための機器としてしか認識されず、その機能に注目して積極的に製品を選ぶ企業はあまりない。
今回のCisco Startシリーズも、本来のターゲットは、もう少し上の規模の企業だと考えられるが、現代の企業活動は規模の大小だけで考えられるような状況ではない。小さな規模の企業でも、セキュリティ対策に求められる内容は何ら変わることはない。また、会社の規模自体は小さくても、地方や海外に拠点を設けているようなケースも見られる。こういった企業ではVPNを構築できる安価かつ高い信頼性を持ったルーターが必要とされる。
このような企業にとっては、本製品はとても魅力的な製品だ。低価格でありながら、大企業が使っているのと基本的には同じCiscoルーターの機能をそのまま利用できるうえ、GUIによって、初めてでもある程度の機能を手軽に利用できる。
実際、今回取り上げたゾーンベースファイヤウォールなどは、コマンドで設定しようとするとなかなか複雑で、しくみを理解するだけでも時間がかかる。それが手軽に設定できるだけでも、大きなメリットと言えるだろう。
もちろん、コマンドを利用すれば、さらに詳細な設定が可能な点も、従来のCisco製品と同様だ。最初はコマンドにとまどうかもしれないが、GUIで設定後、何が追加されたのかどの値が変わったのかをチェックしていくことで、コマンドの勉強をすることもできる。シミュレーターと違って、ゲームが通信できないとか、実際のトラブルを解決しながら勉強できるのも魅力だ。個人の学習用としても有効だ。
使いこなせるようになれば、企業にとっても、個人にとっても、間違いなく大きな武器になることは間違いない。
当初は誤訳やセキュリティ機能が表示されないなどのトラブルをかかえ、その門出が心配されたが、リカバリーショットのスピードとバリエーションの豊かさは、さすがCiscoといったところだ。Ciscoが本気になったこのタイミングに乗るのも1つの選択と言えそうだ。