メッシュやWPA3に対応、充実のアクセス制御機能を実現　Synology RT2600acの最新ファーム「SRM 1.2」を試す

　SynologyのWi-FiルーターRT2600ac向けの最新ファームウェア「SRM 1.2-7742」の配信が開始された。注目はメッシュへの対応とWPA3のサポートだ。さらに地味ながらも、アクセス制御機能（旧ペアレンタルコントロール）がかなり使いやすくなっている。SRM 1.2の改善点に迫ってみた。

SynologyのWi-Fiルーター「RT2600ac」で最新ファームウェア「SRM 1.2」が利用可能になった

話題のメッシュと次期セキュリティ機能「WPA3」に対応、半歩先へ

　Google Wifiなどの製品で注目を集めるメッシュにも対応した上、6月にWi-Fi Allianceが発表した次期セキュリティ機能「WPA3」にも対応と、大きなアップデートが盛りだくさんとなった今回の「SRM 1.2-7742」。

　筆者が試した10月4日の時点では、手動でのダウンロードとアップデートが必要とはなるものの、既存のネットワーク設定も引き継ぎつつ、無事にアップデートすることができた。

　パッケージとして提供される各種機能も、手動で改めて追加し直す必要があるので実用環境ならば、もう少し様子を見てからアップデートしても遅くはなさそうだが、前述したように、今回のアップデートは機能が盛りだくさんで、かなり魅力的な内容になっている。

筆者が試した時点では、ダウンロードセンターからのダウンロードとアップデートを手動で行わねばならず、パッケージの一部も手動でインストールし直す必要があった

　アップデート内容の詳細は、こちらのリリースノートを参照してほしいが、注目となりそうなのは次の5つだ。

• UIの変更（Wi-Fiやセキュリティ関連の設定を独立）
• メッシュのサポート
• WPA3-Personal、WPA3-Enterprise、Wi-Fi Enhanced Open（OWE）のサポート
• アクセス制御機能の強化
• ゲスト機能の強化（ポータル、パスワードローテーションの対応）
• Zero-Wait DFSのサポート

　先に触れたように、注目はメッシュとWPA3への対応なのだが、残念ながら、これらの機能は現時点では試すことができない。

　前者のメッシュは、複数台のRT2600acもしくは、同社が今後リリース予定ながら未発表のメッシュ対応製品「MR2200ac」が必要となるため、環境を整えるのが現時点では困難なことがその理由だ。こちらは、機材がそろった時点であらめてレビューしたいと思う。

新たに対応したメッシュを利用するには、複数台のRT2600acか、未発表のMR2200acが必要

　一方、WPA3は、対応クライアントが存在しない。手元にあったWindows 10 Insider PreviewのBuild 18252では、手動で接続先を追加する際に「WPA3 Personal AES」が選択できるので、これで接続できるかも？　と少し期待したのだが、残念ながら「WPA3 Personal AES」を選択した状態で接続先を登録しようとすると、エラーが発生してしまった。

　そのほか、いくつかの機器で実際に接続を試してみたのが次の表だ。RT2600ac側では、「WPA3パーソナル」単独と、「WPA2/WPA3パーソナル」の共存を選択できるが、iOS12はどちらも接続できず、Android 8.0とWindows 10は後者の共存設定ならWPA2で接続可という結果になった。

　ある程度は予想通りの結果であったのだが、現時点では“半歩先の機能”といった状況で、実際に使えるようになるのは、もう少し先になりそうだ。

　なお、WPA3は、現状のWPA2の後継となる無線LANのセキュリティ機能だ。PSK（暗号化パスワード）そのもので接続先を確認するのではなく、PSKを知っているかどうかで接続先を確認する「SAE（Simultaneous Authentication of Equals）」と呼ばれる方式を採用することで、単純なPSKの場合でも一定の安全性を確保できるようにしている。また、QRコードやBluetooth、NFCによる接続をサポートしたり、オプションとはなるが、より強固な192ビットのCNSAに暗号化方式も採用される。

WPA3をサポート。ただし、現状はクライアント側が対応していないため利用不可。WPA2/WPA3の混在モードにも対応するが、iOSは混在モードでも接続不可

完成度の高い「Safe Access」機能、時間帯と割り当て時間を組み合わせて柔軟に制限

　というわけで、目当ての機能が不発に終わり、少々残念に思っていたのだが、実際に使ってみると、そのほかの機能も強化されていて、使い勝手がかなり向上した印象だ。

　中でも完成度が高いのは、これまでペアレンタルコントロールとして搭載されていたアクセス制御の機能だ。SRM 1.2では、「Safe Access」という独立した機能として扱われるようになり、アクセス制御の対象が、従来のMACアドレスからプロファイルベースへと強化された。

　プロファイルベースのアクセス制御機能は、法人向けのセキュリティ機器で使われてきたもので、最近では、他社のメッシュ製品などでも採用が進んできている。

　従来型のMACアドレスベースのアクセス制御では、時間や「ウェブフィルタ」の設定を端末ごとに行う必要があったが、プロファイルベースでは、こうした設定を複数端末に対してまとめて行うことができる。

ペアレンタルコントロールが「Safe Access」へと進化。保護者向けとしてだけでなく、オフィスなどでの利用も想定されるようになった

プロファイルベースでの管理に対応。複数端末を割り当てたユーザーや部署などのグループ単位で、「ウェブフィルタ」や時間制限などを設定可能になった

　例えば、家庭での利用を想定した場合であれば、「お父さん」というプロファイルにPCとスマートフォンを割り当て、「子ども」のプロファイルに子ども用のスマートフォンやリビングにある共有PCなどを割り当てる。そして、それぞれに利用時間やウェブフィルタを別々の設定にできるわけだ。

　利用時間の制限は、インターネットスケジュールにより曜日と時間を指定した制限と、持ち時間制による制限を柔軟に組み合わせて指定できる。欲を言えば、インターネットスケジュールでは通常時、試験前、夏休み中などいくつかのパターンを作成して切り替えられるようになると、より使いやすくなるはずだ。

1つのプロファイルに複数の端末を割り当てられる

時間設定では、スケジュールとトータルの利用時間を組み合わせて設定可能。スケジュールはドラッグして15分単位で指定できる

コンテンツとセキュリティの分類を一新、オフィス利用も想定した「ウェブフィルタ」

　一方、ウェブフィルタでは、コンテンツとセキュリティの分類を分けて考えられるようになった。

　従来のファームウェアは、フィルタリング対象のカテゴリに「マルウェア」や「フィッシング」といったセキュリティ関連の項目と、「アダルト」や「ゲーム」といったコンテンツ関連の項目が混在していた。

　SRM 1.2では、このうちセキュリティ関連が「ネットワーク保護」という機能として独立し、プロファイルやフィルタリングの年齢などに関わらず、すべての端末に対して一括でオン／オフができるようになった。

セキュリティ関連のフィルタが「セキュリティ」として独立。全ユーザーに一発で適用できる

　従来のウェブフィルタでは、どのプロファイルでも結局「フィッシング」や「マルウェア」の項目はオンにすることになるので、その手間を省けるようにした格好だ。

　フィルタ自体の操作でも、従来は年齢での選択のみが用意されていたが、今回は「従業員」という項目が増え、オフィスでの利用も想定されるようになった。危険なサイトへのアクセスだけでなく、ゲームやSNSなど、社員の生産性を低下させるようなコンテンツへのアクセスを禁止したい場合に有効だ。前述したプロファイルを活用すれば、フィルタレベルなどを部門単位で使い分けることもできる。

カテゴリごとのフィルタはプロファイル別に設定可能。子ども用にフィルタの時間も設定できる

フィルタの内容は各カテゴリごとに個別に設定もできる

申請ベースのアクセス許可も可能

　なお、フィルタリングのエンジンには、「Google Safe Browsing」を利用している。Chromeでお馴染みのエンジンだが、PC以外にルーターなどのデバイスでも、このエンジンを利用したフィルタリングが可能だ。

　ただ、これが万全かというと、なかなか難しいところではある。

　試しに、フィッシングサイトを収集しているサイトの情報を参考に、いくつかのサイトへのアクセスをテストしてみたところ、報告されたばかりの新しいフィッシングサイトに関しては、あっさりアクセスが許可されてしまう例もあった。

エンジンには「Google Safe Browsing」を利用。ただし、できたてのフィッシングサイトなどは通過してしまうことも。この例では、サイトのデザインもよくできており、SSLも使われている

危険なサイトにアクセスしようとすると、このような画面で禁止される

　それにしても、最近のフィッシングサイトはよくできていて、無料のLet's Encryptが使えるのだから当たり前なのだが、ほとんどがHTTPSに対応している。日本語のサイトも結構多く、デザインも本家サイトにそっくり。それでいて、サイトの作成直後にはGoogle Safe Browsingのエンジンでも見逃すのだから、タチが悪い。

　「こりゃダマされても仕方ない」とすら思えるサイトも多いが、公開からしばらく経過したものであれば、かなりの確率で遮断できる。やはり、この機能を活用するメリットはあるだろう。

　一方で、フィルタリングをがっつり設定すると、特定のサイトへのアクセスが禁止され、いろいろ面倒なことになるのだが、こうした問題への対策もよくできている。

　ブロックされたメッセージでアクセス許可を要求できるようになっており、管理者は通知メールなどから管理画面にアクセスすることで、要求の承認／拒否を選択できる。

　例えば、国内のサイトであれば、「dmm.com」が「アダルト」カテゴリーとして遮断されてしまい、英会話や3Dプリントなどのサービスまで使えなくなってしまう。こうしたサイトの許可を手軽にできる点は大きなメリットだ。

フィルタに該当するサイトにアクセスするとブロックされる。アクセスを許可してほしいときは画面から直接「リクエストを送信」できる

リクエストは管理画面に表示され、承認すると該当サイトが「許可リスト」に追加されるようになる

　このほか、面白い機能としては、「報酬」がある。

　これは、「Circle with Disney」で採用されているものと同様、制限が割り当てられている時間を延長できる機能だ。例えば、子どもがお手伝いをしてくれた場合に、その報酬として利用時間を延長したりできる。禁止一辺倒ではなく、こうした許可の考え方が採用されているのは、高く評価したいポイントだ。

　このほか、「オンラインで費やされた時間」などをプロファイルごとにダッシュボードで確認したり、端末の利用時間やアクセスの情報をレポートとして出力できる。オフィスで利用する場合は、こうした情報をベースに社内の利用状況を報告したり、会議の場で提案したりできるわけだ。

報酬を使って、一時的に接続時間を増やすことができる

公衆無線LANでの活用に向けて強化されたゲストネットワーク

　ゲストネットワーク機能は、これまでの家庭向けの簡易的なものから、店舗などで顧客に提供可能な実用的な機能へと強化された。

　従来のファームウェアでも、アクセスポイントを分離してゲスト用のSSID接続からローカルネットワークへのアクセスを禁止したり、有効期限で接続を制限することができたが、SRM 1.2では、さらに最大接続数（クライアント数）を制限したり、ゲストネットワークだけのスケジュールを個別に設定したり、「ゲストポータル」による認証で、セッション時間やリダイレクト先を指定できるようになった。

　また、ユニークな機能として、ゲスト用SSIDのパスワードを一定期間で自動的に変更する機能も搭載された。

　パスワードの強度、ローテーション時期（毎日、曜日選択）などを指定すると、自動的にパスワードを生成して定期的に変更できる。もちろん、変更されたパスワードは、メールなどで管理者に送信されるため、わざわざ設定画面を確認しなくても、顧客に教えることができる。

　この機能は、来客者に無線LANを提供したい家庭でも便利だ。ゲスト用のSSIDを作成可能な無線LAN機器は多いが、実際の運用シーンでは、単純なパスワードを継続的に使い続けている場合も珍しくない。こうした運用上のセキュリティホールを潰せるのはありがたい。これも、個人的には高く評価したい機能だ。

ゲストネットワークのスケジュールを設定可能

自動的にパスワードを変更し、管理者にメールで知らせるパスワードローテーションを設定可能

進化を楽しめる無線LANルーター

　以上、Synology RT2600ac向けに提供が開始されたSRM 1.2を試してみたが、その内容はかなり充実している印象だ。

　RT2600acは、2018年5月のアップデートで、DS-Lite方式のインターネット接続に対応しており、この数カ月で、次々に機能が強化された印象だ。

　同社の製品はNASもそうなのだが、とにかくソフトウェアの進化が頻繁で、常に進化を続けているのが特徴だ。新たに「Wi-Fi 6」との名称がついたIEEE 802.11axの立ち上がりも見えてきているので、このタイミングで本製品を買うのは判断が難しいところではあるが、今後も、さらにいろいろな機能を楽しめる可能性があることを考えると、悪くない選択肢と言えそうだ。