清水理史の「イニシャルB」

ウイルスチェック込みで自宅ネットを丸ごと保護、手軽な家庭用UTM「Untangle at Home」+「u25」アプライアンス

「WannaCry」への対策機能もあり

清水理史

2017年5月22日 06:00

　ウイルスチェックやスパム対策なども含め、本格的なUTM(Unified Threat Management=統合脅威管理)機能をもっと手軽に導入したいというのであれば、Untangleを試してみてはいかがだろうか？　家庭用ライセンスが新たに登場したUntangleのアプライアンス「u25」を試してみた。

自宅ネットを丸ごと保護する「UTM」（統合脅威管理）アプライアンス送料は高いが、使いやすい

　自由度で選べばpfSense搭載の「SG-2220」だが、使いやすさで選ぶなら断然こちらだろう。前回に引き続き、家庭やSOHOでも無理なく導入できそうなセキュリティアプライアンスとして取り上げるのが、今回入手したUntangleの「u25」だ。

　Untangleは、Linuxディストリビューションの「Debian」をベースにしたUTM。ファイアウォールやウェブフィルター、スパム対策、ウイルスチェック、アプリケーションコントロール、各種レポートなど、多彩な機能を備えたセキュリティゲートウェイだ。

　ベースとなるプラットフォーム部分や一部の機能は無料で利用できるようになっており、2系統のネットワークを搭載したPCさえ用意できれば、自分でインストールして利用することも可能だ。より手軽に利用したい場合は、同社が販売しているアプライアンスを購入してもいい。

　今回、筆者が購入したのも、そんな純正アプライアンスの1つで、「u25」と呼ばれる最もスペックの低いモデルだ。同社のウェブサイトから購入可能で、175.12ドルというやたらに高い送料？にさえ納得できれば、日本への発送にも対応している。

Untangleを搭載したアプライアンス「u25」

　なお、1年保証が付属した本体のみ（399ドル）だけでも利用はできるが、以下の表のようにアプリとして提供される機能ごとにライセンス料が発生する仕組みとなっており、プラットフォーム（本体）のみだと、「Virus Blocker」などの機能が無料のLite版しか利用できない。

　Lite版と通常版の機能の違いは、同社ウェブサイトにて個別に参照して欲しいが、例えばVirus Blockerであれば、通常版ではBitDefenderの技術を利用できる上、クラウドを利用したウイルスチェック機能なども提供される。Lite版はこれらに対応していない。

　このため、予算に余裕があれば、プラットフォームだけでなく、「Home」ライセンスの購入をお勧めする。個人ユーザーのみが選択可能なライセンスとなるが、年間50ドルですべてのアプリを利用可能になる。

　2年目以降の更新費用を考えると、トレンドマイクロの「ウイルスバスター for Home Network」の6480円や、Bitdefendrの「Bitdefender Box」の9000円と比べても、決して高くない費用で、企業向けと同等のセキュリティ機能を活用できるのだから、お得感は高いと言えそうだ。

　前述したように、UntangleのHomeライセンスではウイルスチェックにBitdefenderの技術を利用できる。そう考えると、長期間利用するのであれば、BitDefender Boxよりこちらを選ぶ手もありそうだ。

エディションごとの機能

		Complete	Platform
Protect	Virus Blocker	〇	×
	Virus Blocker Lite(FREE)	〇	〇
	Firewall(FREE)	〇	〇
	Intrusion Prevention(FREE)	〇	〇
	Phish Blocker(FREE)	〇	〇
Filter	Web Filter	〇	×
	Web Monitor(FREE)	〇	〇
	SSL Inspector	〇	×
	Spam Blocker	〇	×
	Spam Blocker Lite(FREE)	〇	〇
	Application Control	〇	×
	Application Control Lite(FREE)	〇	〇
	Ad Blocker(FREE)	〇	〇
Perform	Web Cache	〇	×
	Bandwidth Control	〇	×
	WAN Balancer	〇	×
	WAN Failover	〇	×
Connect	IPsec VPN	〇	×
	OpenVPN(FREE)	〇	〇
	Captive Portal(FREE)	〇	〇
Manage	Policy Manager	〇	×
	Directory Connector	〇	×
	Reports(FREE)	〇	〇
Add-Ons	Live Support	〇	〇
Add-Ons	Branding Manager	〇	×

UIは日本語、セットアップもウィザードで簡単

　それでは、実際に製品を見ていこう。本体は幅・奥行ともに約12cmの手のひらサイズで、高さはわずか約2cmほどとなるスリムタイプ。上部のUntangleロゴが若干大きすぎる気もするが、デザイン的にもシンプルで好印象だ。

　インターフェースは、スリムな筐体によくぞここまで！　と思えるほどに詰め込まれており、前面に電源ボタン、USB 2.0×1、HDMI×1、コンソール用のRJ-45×1、電源コネクターを装備。背面側に1000Mbps対応のLANポート×3とUSB3.0×1を搭載する。

　当初は発熱が心配だったが、筆者宅で常用した状態では、今のところさほど気にするレベルにはなさそうだ。ファンレスで本体から放熱するため、触れるとほんのり温かいが、安定動作を危惧するような熱さに達することはない。

　本体底面に換気用のスリットが設けられているので、ここをふさがないようにうまく配置しておけば、極端に負荷をかけない限りは安定性も確保できるだろう。

正面

側面

背面

	Untangle u25	Netgate SG-2220
価格	399ドル（送料175.12ドル）	299ドル（送料48.56ドル）
CPU	Intel Atom Dual core	Atom C2338（デュアルコア、1.7GHz）
メモリ	2GB	2GB
ストレージ	32GB SSD	4GB（eMMC）
LAN	1000Mbps×3	1000Mbps×2
USB	2	1
HDMI	1	－
ファームウェア	Untangle（Debianベース）	pfSense（FreeBSDベース）

　セットアップに関しては、実によくできている。セキュリティアプライアンスとは言え、基本的にLinuxマシンなのだが、HDMIでディスプレイに接続し、USBのキーボードやマウスを接続して電源を入れれば、GUI画面を見ながら手軽にセットアップできる。

　この手の製品の場合、ネットワークカードの割り当てや初期IPアドレスの設定などが最初の関門になることがあるが、ウィザードで簡単に設定できるので、迷うことはないだろう。

　前回のpfSenseの時と異なり、こちらは日本語が問題なく利用できるので、もちろん言葉の壁で悩む必要もない。

HDMI経由で出力した画面を見ながらセットアップ可能

　初期設定でポイントとなりそうなのは、動作モードの選択だろう。文字通り本体をルーターとして動作させる「ルーター」と、既存のルーターの配下に接続する「トランスペアレントブリッジ」の2種類を選択できる。

動作モードを選択可能。ルーターモードがお勧めだ

　無線LANルーターをすでに利用している場合などは、「トランスペアレントブリッジ」としてUntangle側でルーター機能を使わずに使用することもできるが、ソフトウェア処理が増える影響か、実効速度が100Mbps前後と下がり、パフォーマンスがかなり低くなる。このため、ルーターモードでの利用をお勧めしたいところだ。

speedtest.netの結果。左がu25なし（事業者レンタルのルーター）そのままの速度で、右がu25をブリッジモードで接続した場合の速度。回線は「NURO 光」を使用

アプリ活用で機能を強化、「お勧めアプリ」は初期設定時に自動インストール

　Untangleは、プラットフォームだけでは、ルーターと単純なファイアウォール程度しか利用できないため、UTMとして稼働させるにはアプリをインストールする必要がある。

　初期設定時にお勧めのアプリを自動的にインストールできるので、おまかせでセットアップするのが簡単だ。この状態で、「Web Filter」や「Virus Blocker」、「Application Contorl」など、UTMとして必要な機能が一通りインストールされ、すぐに利用可能な状態になる。

　前回取りあげたpfSenseでは、Packageを自分で選んでインストールする必要があった上、似たような機能を提供するPackageが複数存在する場合もあり、ちょっとした慣れが必要だった。Untangleの場合、そうした悩みなく、まさにサクッと稼働させることができる。

アプリをインストールすることで、ウイルス対策やウェブフィルタリングなどの各種機能を利用可能となる。お勧めアプリをインストールするのが楽

　ただ、アプリのライセンスには注意が必要だ。セットアップ直後はライセンスが登録されていないため、有料アプリが体験版扱いとなっており、14日間しか利用できない。

　Homeライセンスを購入している場合は、Untangleのウェブサイトにサインインした後、検出されたデバイスに対してライセンスを割り当てる必要がある。忘れずにライセンスを割り当てておこう。

　なお、Homeライセンスを購入せず、本体のみ購入した場合は14日の試用期間後、有料アプリは使用不可になる。アイコンに「FREE」と記載されたアプリのみの利用となるが、「Virus Blocker Lite」などは利用できるので、ウイルスチェック機能を備えたルーターとして使うことは可能だ。

インストール直後は有料版のアプリが14日間の試用版となる

Untangleのサイトから機器に対してライセンスを割り当てると、有料アプリが試用版から通常版になる

　ただし、すべてのアプリをインストールすることは可能だが、アプリによっては負荷が高くなる場合があるので注意が必要だ。「Untangle wiki」に、アプリごとの負荷の目安を記載したパフォーマンスガイド（英語）が公開されているので、これを参考に利用するアプリを選択するといいだろう。

　例えば、標準ではインストールされない「Intrusion Prevention」は、「Snort」を利用したIDS/IPS機能で、メモリーを大きく消費する。

　筆者が試した限り、一般的に必要な機能をインストールした状態でも、家族2～3人程度の利用であれば、CPU使用率はほぼ1％未満であり、メモリ使用率も50％前後で済んでいるので、無理なく利用できると考えられる。利用人数が多い場合などには、リソースを確認しながらアプリを追加するといいだろう。

　筆者宅でのパフォーマンスは以下の通りだ。1Gbpsのフレッツ光ネクスト回線での計測では、実効速度で上下ともに300Mbpsを超えているので、日常的な利用ではほとんど気になることはないだろう。

「Intrusion Prevention」など、主な機能をインストールした状態で、メモリ使用量は44.2％。状態を見ながらアプリを有効化していくといいだろう

インストールしたアプリは個別にオン／オフできる

IDSでWannaCry（MS17-010）向けルールも搭載

　ちなみに、本稿執筆時の2017年5月15日は、ちょうどランサムウェア「WannaCry」による大規模なセキュリティ被害が発生したタイミング。気になってUntangleのIntrusion Preventionのルールをチェックしてみたところ、Intrusion Preventionにきちんと「MS17-010（「SMB v1」の脆弱性）」に対するルールが登録されていた。

　ただし、WannaCryに関して言えば、感染の防止という観点では、Windows Updateによるセキュリティ更新プログラムの適用、ウェブフィルターによるC&Cサーバーへの通信遮断などの対策が有効だと考えられ、ネットワーク上で攻撃を検知するIDS/IPSは、SMB v1の脆弱性を直接突く攻撃や、感染PCによる内部から外部への感染拡大を検知する役割となる。

　このため、「Intrusion Preventionsを有効にしておけば、家庭内のPCがWannaCryに感染しない」わけではない点には注意が必要だ。

　また、ほかのセキュリティアプライアンスと同様に、本製品も標準ではIDSモードで動作し、検知した危険を記録するのみの動作となる。IPSとして危険な通信を自動的にブロックするには、設定でルールごとにブロックにチェックマークを付ける必要があるので、設定を見直しておくといいだろう。

Intrusion Preventionで「MS17-010」を検索。WannaCryが悪用するSMB v1の脆弱性に対応するルールも登録されている。内部に感染したPCがあれば、外部に対して通信する可能性があるので、家庭内の感染PCをチェックできる

筆者宅で過去24時間に検知されたIDSの状況

ほとんどは内部からのポートスキャン。アプリが外部に通信しようとしているのを検知している様子

すべてのイベントの詳細も確認できる

とにかく分かりやすい

　このほか、実際にUntangleを使っていて感心するのは、とにかくあらゆる点が分かりやすいことだ。

　グラフを多用したダッシュボードやレポートで、ネットワークの状況を把握しやすいのも大きなメリットだが、例えばOpenVPNのクライアント設定なども楽にできるように工夫されている。

グラフィカルで分かりやすいダッシュボード。ネットワークの状況がひと目で分かる

ウェブフィルタリングのレポート

各種レポートを豊富に用意

　外出先からのリモートアクセス用にOpenVPNを利用する場合、クライアント側に設定ファイルや証明書などをインストールする必要があるが、そのファイルもワンクリックで簡単に生成してダウンロードできるようになっている。

　また、「SSL inspector」を構成することで、HTTPSによる暗号化された通信の検査も可能となっている。

　この機能は、アプライアンス側でHTTPSにより暗号化された通信をいったん解読し、検査後に再び自署の証明書で通信を暗号化してクライアントに届けるというもの。通常は、証明書の設定などに結構な手間がかかる上、復号化／暗号化処理の負荷もかかる。

　「Bitdefender Box」などの家庭向け製品が、現状、HTTPS暗号化された通信に対応しない(*1)としているのは、この機能が搭載されていないためだ。

　しかし、Untangleは機能的には企業向けと変わらないため、こうしたHTTPSの処理も可能となっているばかりか、その設定が非常に簡単にできる。具体的には、機能を有効にした後、設定画面で「ルート証明書のインストーラをダウンロードしてください」ボタンをクリックして、証明書をインストールするだけでいい（インストーラーがSmart Screenに遮断される場合があるが強制インストールできる）。

　これでHTTPSによる暗号化通信もVirus Blockerなどの対象となる。

*1 （6/1 追記）なお、やはり家庭向け製品である「ウイルスバスター for Home Network」については、4月13日付のアップデートで「安全でないHTTPSドメインとIPアドレスのブロック機能」が追加されている。これは、HTTPS通信の開始時、パケットに含まれるアクセス先のドメイン名を読み取り、安全性を確認することができるというもの。ただし、アドレス部分以外のデータ部分については復号化されない。これに対して、Untangle at HomeのSSL Inspectorは、HTTPSのデータ部分まで復号化して検査する機能となるため、ドメイン名の検査だけでなく、データ部分までVirus BlockerやIntrusion Preventionで検査することが可能となっている。

　ネットワーク内のすべてのクライアントに証明書のインストールが必要になる上（証明書がないとHTTPS通信は不可になるためIoT機器やゲーム機などは要注意）、ブラウザーによっては、いったんすべてのCookieをクリアしないと一部のサイトへのアクセスができない場合があるので、運用にはかなり気を配る必要があるが、この機能をこれほど手軽に使えることには感心した。

　Application Controlによるアプリごとの通信が手軽に確認できることも含め、難しい機能が、どれもシンプルで、とても扱いやすいことは高く評価したいところだ。

OpenVPN用クライアントを自動生成してダウンロード可能

面倒なHTTPS関連（SSL Inspector）の設定も簡単。証明書の生成やインストールも手軽にできる

Application Controlの画面。どの端末がどのアプリを使って、いつ、どこに通信したのかを確認できる。アプリの指定、ルールの設定により通信を遮断することも可能だ

国内で取り扱ってほしい

　以上、Untangleを同社製アプライアンス「u25」で利用してみたが、既存の家庭向けセキュリティアプライアンスに満足できないユーザーに、非常にお勧めしたい製品と言える。

　機能的にも十分だし、とにかく分かりやすいため、設定や運用後の状態把握などが手軽にできる。前回のpfSenseを搭載する「SG-2220」がマニア向けとすれば、こちらははるかに幅広いユーザーにお勧めできる製品と言える。

　ただし、ネックとなるのは価格だ。特に送料が高いため、600ドルを超える初期費用がかかってしまう。以前は、国内代理店もあったようだが、家庭向けのライセンスも新設されたことだし、どこか国内の代理店が扱ってくれることを期待したいところだ。

清水理史

製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できる Windows 10 活用編」ほか多数の著書がある。