清水理史の「イニシャルB」
通信を監視して外部からの攻撃を遮断 トレンドマイクロ「ウイルスバスター for Home Network」
2016年12月26日 06:00
トレンドマイクロから、ネットワーク接続型のセキュリティアプライアンス「ウイルスバスター for Home Network」が発売された。UTMなどで採用されているIPSを搭載した家庭向けのセキュリティ機器だ。その使い勝手を検証した。
なつかしの「GateLock X200」
「GateLock X200」と聞いて、製品を思い出せる人がいるとしたら、相当のマニアか関係者だろう。
かつて(2002年だからもう14年も前!)、トレンドマイクロは、ADSLユーザー向けにネットワーク上の通信を監視して、メールに添付されいているウイルスを検知することなどができる機器を発売していたが、今回、同社から「ウイルスバスター for Home Network」が発売されたことで、つい、そのGateLock X200を思い出してしまった。
もちろん、今回のウイルスバスター for Home Networkは、時代が異なるので、かつてのGateLock X200とは機能や方向性も異なる。
ウイルスバスター for Home Networkが提供する機能は、不正なデバイスの接続検知、ルーターへの侵入防御、不正サイト経由での脅威からの保護、スマート家電や情報端末の保護、こどもの安全なネット利用の提供となっている。
現状、PCやスマートフォンにセキュリティ対策ソフトを導入している人がほとんどかと思われるが、その一方で、ネットワーク機能を搭載したテレビやゲーム機、監視カメラ、各種家電、IoT機器など、端末側でセキュリティ対策ができない機器も増えてきている。
ウイルスバスター for Home Networkが保護するのは、このような端末側で個別対応ができない機器というわけだ。
LANポートがひとつ?
それでは、実際の製品を見ていこう。
本体は、Apple TVやAmazon Fire TVなどのSTBと同程度のサイズ(幅136.27×奥行110.99×高さ32.2mm)で、非常にコンパクト。上部にトレンドマイクロのロゴが配置され、LEDもフロント側に1つあるだけで、飾りっ気のまったくないシンプルなデザインとなっている。
インターフェイスもシンプルで、背面には電源ポートとリセットスイッチ、そしてネットワークに接続するためのLANポート(1000Mbps)が1つ搭載されているだけとなる。
「LANポートが1つ?」と気になった方はするどい。
ネットワークの通信を監視するのならば、普通は既存のルーターとLANの間に設置する必要がある。その場合、LANポートはWAN側とLAN側の2つ必要になるはずだ。
実は、この製品は、なかなか面白いことをやっている。
以下は、ウイルスバスター for Home Networkの設置前(上)と設置後(下)で比べたPCのARPテーブルの様子だ。
ARPテーブルは、PCなどの通信機器が保持しているMACアドレスとIPアドレスの対応表だ。この表によって、通信先のIPアドレスに対応するMACアドレスを判断し、宛先としてデータを送信する。
ポイントは、赤で囲った部分だ。192.168.1.1は、もともとはルーターのIPアドレスで、デフォルトゲートウェイとしてすべての通信の出先として設定されているものだ。このMACアドレスが、ウイルスバスター for Home Networkの設置前(上)と設置後(下)で変わっているのが確認できるだろう。
これによって、本来、デフォルトゲートウェイとなっているルーター宛の通信が、強制的にウイルスバスター for Home Networkへと向けられるわけだ。
もちろん、そのままではインターネットに接続できないため、ウイルスバスター for Home Networkで通信をチェック後、受け取った通信を本来のルーターへと転送することになる。
このしくみによって、2つのポートを使って、物理的にWANとLANの間に設置する必要がなくなるわけだ。
なかなかの力業で、興味本位で会社のネットワークにつなごうものなら、ちょっとした騒ぎになりかねないが、このおかげで設置や初期設定はとてつもなく楽になっている。
基本的には、箱から出して電源をつないで、空いているケーブルを使ってネットワークにつなぐだけでいい。既存のルーターの設定も変更する必要がなければ、PC側やスマートフォンも特になにもしなくていい。本当につなぐだけでOKだ。
冒頭で触れたかつてのGateLock X200は、LAN側のIPアドレスが強制的に192.168.253.xにされ、固定IPで設定していたプリンターなどがつながらなくなり、困惑したものだが、もはやそんな心配もいらないというわけだ。
IPSで通信を監視
実際の使い方も簡単だ。スマートフォン向けの同名のアプリ「ウイルスバスター for Home Network」をダウンロードし、同梱のマニュアルに記載されているペアリングコードを入力すると、このアプリから機器の管理ができるようになる。
アプリを起動して、しばらく待つとネットワークに接続された端末の一覧が表示される。この状態で、基本的な保護機能が利用可能となっており、外部からの不正な通信を監視して遮断したり、不正なアドレスにアクセスしそうになるとアクセスが禁止されるようになる。
セキュリティ対策機能は大きく分けて2つの機能によって実現される。1つはアクセス先のURLやIPアドレスのチェックだ。機能としてはWindowsのSmart Screenを思い浮かべるとわかりやすいが、トレンドマイクロのクラウド上のサービスと連携してアクセス先を判断する。例えば、ユーザーがマルウェアを配信するサイトなどに誘導されそうになると、危険なサイトであるという警告を表示してアクセスを遮断してくれる機能となる。
PCの場合、先にSmart Screenで遮断されることもあるので二重の備えといった使い方になりそうだが、どちらかというとPC以外の機器をきちんと保護できるのがメリットだ。テレビ、ゲーム機、家電など、端末側に保護機能を持たない機器からのアクセスでも、この機能が危険を回避してくれることになる。
もう1つは、いわゆるIPSによる通信チェックだ。企業向けのUTMなどを使ったことがある人にはなじみがあるかもしれないが、IPS(Intrusion Prevention System)は、ネットワークを流れるデータの中身をチェックして、攻撃パターン(例えばWebサーバーに対して特定の文字列を送信するなど)を検知し、その通信を自動的に遮断する機能だ。
企業向けのIPSは、機器にそのエンジンやシグネチャが内蔵されているが、本製品ではクラウドサービスと組み合わせた機能となる。
脆弱性を利用する攻撃などのパターンをシグネチャファイルとして保持することで、さまざまな攻撃に対応可能となっており、PCやスマートフォンはもちろんのこと、ネットワーク上に無防備なまま配置されている家電などをターゲットとした攻撃も防御してくれる。
現状は、まださかんなわけではないが、家電などをターゲットとした攻撃の例もあるため、今後、ネットワークにつながる機器が増えてきたときに、より需要がありそうな機能だ。ランサムウェア、標的型攻撃、遠隔操作、ゼロデイ攻撃などにも効果があるとされている。
なお、IPSは、シグネチャによってはマルウェアなども検知できるが、例えばメールに添付ファイルなどのチェックはできない。あくまでもできるのは通信内容から判断できる範囲となり、ファイルの検出はPCやスマートフォンにインストールするタイプのセキュリティ対策ソフトが必要になる。
また、VPNやプロキシ経由での通信、SSLによる暗号化通信(HTTPS)も、データが暗号化されている以上、機器側でチェックできないため、保護の対象外となる。
セキュリティ対策ソフトの代わりになるものではなく、それを補完する製品であることは理解しておくべきだろう。
子どものネット利用も制限可能
一方、フィルタリングや時間制限などの機能を利用する場合は、端末をユーザーに割り当てる作業が必要だ。
家族それぞれのユーザーを作成後、自動的に検出されたネットワーク上の端末をユーザーに割り当てる。その後、ユーザーに対して以下の各機能のオン・オフを設定できる。
・URLフィルタリング
指定したカテゴリ(アダルト/成人向け、出会い、違法と思われる行為、違法と思われる薬物)のサイトへのアクセスを禁止。当該ユーザーが禁止カテゴリのwebサイトにアクセスしたことをアプリにプッシュ通知することもできる
・特定アプリの利用通知
ゲーム、アダルト、ソーシャルネットワーク/チャット、ショッピング/広告、メディア/ストリーミング、出会いの各カテゴリで、監視を有効にしたアプリの利用を検知した場合に管理アプリにプッシュ通知する
・インターネット利用時間制限
指定した時間(標準は午後10時~午前5時)のインターネット接続を禁止し、違反した場合にプッシュ通知する
・帰宅通知
午後0時から午後10時までの間にユーザーに関連付けされた端末がインターネットに接続した場合に管理アプリにプッシュ通知を送信する
ポイントは、端末ごとではなくユーザー単位で設定できる点だろう。PCにインストールするセキュリティ対策ソフトや一般的なルーターに搭載されるフィルタリング機能は、端末ごとに利用を制限するが、本製品ではユーザーに端末を関連付けし、ユーザー単位で制限するという方式になる。
端末ごとに個別設定するにはユーザーも複数作成する必要があるのが欠点だが、1人が複数の端末を使い分ける時代であることを考えると、この方式は理にかなっているとも言える。
一方、残念なのは時間制限の設定だろう。時間をカスタマイズすることはできるが、1パターンしか登録することができない。このため、曜日によって時間を変更するなどの柔軟な設定ができない。ここは改善の余地がありそうだ。
ライバルはASUSのルーター
ちょっと待って、確か同じようなことがASUSのルーターでもできたような……。
ここで、そう思った方はするどい。現状、ASUSから発売されているルーターの一部機種(RT-AC68U、RT-AC87U、RT-AC88Uなど。RT-AC85Uは非搭載なので注意)には、同様にトレンドマイクロの技術(Trend Micro Smart Home Network)が採用されており、「AiProtection」という名称で、同様の機能が搭載されている。
両者の機能の違いを比べたのが以下の表だ。
| ASUS | Trendmicro | |
| AiProtection | ウイルスバスター for homenetwork | |
| 価格 | 2万7943円(RT-AC88U) | 1万9224円(更新6480円) |
| セキュリティチェック | ○ | ◎(全端末対象) |
| 悪質サイトブロック | ○ | ○ |
| 脆弱性保護 | ○ | ○ |
| 感染デバイス検出/ブロック | ○ | ○ |
| ペアレンタルコントロール | ○ | ◎(ユーザーごと) |
| アプリの通知 | × | ○ |
| インターネット利用時間設定 | ○ | ○ |
| 帰宅通知 | × | ○ |
| 家庭内機器の可視化 | ○ | ◎(アプリ) |
機能的には、ウイルスバスター for Home Networkの方が豊富だが、ベースとなる技術(悪質サイトチェックやIPS)はほぼ同等で、おそらく利用するデータベースも大きな違いはないだろう。
違いがある点をピックアップすると、ASUSのルーターではルーター自身のみ検査対象となるセキュリティチェック機能が、ウイルスバスター for Home Networkではネットワーク上の全端末に対して実行できる。
アプリから「安全性を確認する」を実行すると、端末ごとにポートスキャンやadmin/passwordなどよくある組み合わせでのログインチェックなどが実行され、不備がある機器が見つかれば警告が表示されるようになっている。
また、ウイルスバスター for Home Networkは、前述したようにペアレンタルコントロールがユーザーごとに可能なうえ、アプリの通知が可能、帰宅通知の機能も利用できる。
端末の可視化については、ASUSのルーターはルーター画面で端末を参照できるのみだが、ウイルスバスター for Home Networkは未知の端末が接続されれば、アプリ上ですぐに確認できるようになっている。
継続利用に2年目以降6480円が必要なウイルスバスター for Home Networkと異なり、ASUSのルーターは買い切りで永続的に利用できのがメリットだが、上記機能を利用したい場合は、ウイルスバスター for Home Networkを購入するメリットがあると言えるだろう。
パフォーマンスの低下は気にならない
この手の製品で気になるパフォーマンスへの影響だが、ほとんど問題なさそうだ。Webの閲覧やメールの送受信、ファイルのダウンロードなど、一般的な使い方をしてみたが、ストレスを感じることはまったくなかった。
一応、speedtest.netによる速度測定も実施してみたが、以下のように速度にほとんど違いはなかった。
URLや通信のチェックは実施されているので、まったく影響がないわけではないが、日常的な利用シーンで、この存在を意識することはほとんどなさそうだ。
保護機能より制限機能が魅力的
以上、トレンドマイクロのウイルスバスター for Home Networkを実際に使ってみたが、なかなかよくできた製品だ。
方法はユニークだが、とにかく接続設置が簡単なうえ、アプリで簡単に管理できるのもいい。
PCがメインだと悪質サイトブロックは微妙なうえ、IPSも暗号化通信は非対応なのでHTTPS経由の通信に対応できないが、ペアレンタルコントロール機能は手軽なわりになかなか使いやすいので利用する価値は十分にあるだろう。アプリの利用通知や帰宅通知といった機能によって、スマートフォンやPCの利用状況を把握できるのも、家庭によってはありがたいだろう。これで、インターネット利用時間の設定がもう少し細かく制御できれば、文句なしと言ったところだ。
ただし、価格はもう少し考慮する余地がありそうだ。ASUSのルーターに比べて高機能ではあるものの、さすがに2年目の利用料を含めて4ストリームのハイエンド製品と同等というのは高すぎる。機器の価格で1万円台前半、年間利用料は5000円以下、できれば3000円台だと、相当にうれしい。
低価格化が難しいなら、どうだろう? この価格に、同社のセキュリティ対策ソフトのライセンスでも含めてみてはいかがだろうか。そうなってくれれば、個人的にも来年以降ライセンスを更新してもいいかと思える。
清水 理史
製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できる Windows 10 活用編」ほか多数の著書がある。