UTMとしても使える！ 2万円台の小規模オフィス向けセキュリティゲートウェイ。Ubiquiti「次世代ゲートウェイLite」（USG-Lite）

Ubiquitiのセキュリティゲートウェイ「次世代ゲートウェイLite（UXG-Lite）」

　Ubiquitiから、小型のセキュリティゲートウェイ「次世代ゲートウェイLite」（UXG-Lite）が発売された。Ubiquitiの日本公式ストアでの販売価格は2万3899円。

　安価ながら、IPS/IDS（Intrusion Prevention System/Intrusion Detection System 不正侵入防止システム／不正侵入検知システム）を利用可能な有線ルーターとして利用できる。個人宅での利用も可能だが、コンソールから集中管理可能な点や通信の可視化ができることから、全国に店舗や営業所が点在する企業などで利用するルーターとして、適した製品だ。

インターネット接続とセキュリティに専念

　Ubiquitiから新たに登場した次世代ゲートウェイLite（以降、UXG-Lite）は、小型のインターネットゲートウェイデバイスだ。

正面

背面

　似たようなサイズで、価格帯も同じ製品としては、以前に取り上げた「UniFi Express」もある。USG-Liteは、UniFi Expressよりもストイックに「セキュリティ」を追及した製品となる。

　UniFi Expressが、コントローラーやWi-Fi 6対応のアクセスポイントなどさまざまな機能を搭載するオールインワンモデルであったのに対して、本製品はWi-Fiなしの有線ルーターとなっているうえ、ネットワークを管理するためのコントローラーも内蔵しない。

　このため、実際の現場でネットワークソリューションとして活用するには、別途、コントローラー（CloudKey、Official UniFi Hosting、またはUniFi Network Server）やアクセスポイントと組み合わせて利用する必要がある。

　しかしながら、コントローラーやアクセスポイント機能を内部で処理しなくて済むおかげで、UXG-Liteはセキュリティ対策に専念できる。

　UniFi Expressでは、パケットの中身を検査して悪意のある通信を検知または遮断するIPS/IDS機能に非対応だったが、本製品は小型ながらシグネチャベースのIPS/IDS機能を搭載しており、Botやマルウェア、P2P、悪意のあるコード、ブラックリストに掲載されたIPアドレスへの通信を検知、遮断することができる。

IPS/IDSを利用した疑わしい通信を検知、遮断できるのが最大の特徴

さまざまなカテゴリの危険に対応する

　パケットの検査は、ハードウェアのリソースを多く消費するため、スループットが低下することが課題だが、前述したように本製品はセキュリティ機能に専念できるため、従来モデルとなるUnifi Security Gatewayの10倍のスループットを実現可能だ。

　同社のスペック表やデータシートにはスループットの記述がなかったため、公式の情報ではないが、「Ubiquiti Community Wiki」によると、従来のUnifi Security GatewayのIPS/IDS有効時のスループットは85Mbpsなので、IPS/IDS有効時でも850Mbps前後のスループットが期待できることになる。

　本製品の有線ポートはWAN/LANともに1Gbps対応なので、IPS/IDSを有効にしながらでも、物理的な速度の上限近くで通信できることになる。

　実際、IPS/IDSを有効にし、さらに設定で「高度な」を選択することで、より多くの疑わしい通信を検知可能にした状態で、インターネット接続の速度を計測した結果が下図だ。

IPS/IDS有効時でのインターネット接続の速度テスト結果

　1Gbpsのフレッツ光利用時で、800Mbpsオーバーの速度を実現できている。IPS/IDのボトルネックをほぼ感じることなくインターネット接続を利用できるのは、大きなメリットだ。

検知できているかを試す

　実際に、疑わしい動作を検知できるかどうかもテストしてみよう。

　もちろん、シグネチャベースの検知となるため、何でも検知できるわけではない。今回は、確実にアラートが表示されるかどうかを確認するために、同社がヘルプセンターで公開しているサンプル用のスクリプトを実行する。以下のサイトの「Testing」からコマンドを参照できる（「Testing」の見出しをクリックすると本文が展開する）。

▼サンプル用スクリプト掲載ページ
UniFi Gateway - Suspicious Activity
※記事がマルウェア判定される可能性があるため、スクリプト自体は非掲載。リンクのみ紹介することにします

　このスクリプトは、内部のPCが外部に疑わしい通信をしようと試みることを検知するものとなる。サンプルなので実際に実行しても害はない。実行後、設定画面を確認すると、「ネットワーク」の「検査」のページに「脅威のブロック」が表示され、「システムログ」の「セキュリティ検出」からその詳細を確認できる。

　外部からの攻撃はファイアウォールで遮断できる場合もあるが、IPS/IDSを利用することでマルウェアに感染した内部のPCが外部と通信しようとすることを防止できる。PCやスマートフォンはもちろんのこと、デバイス側でマルウェア対策ができないカメラやセンサーなどのIoT機器のセキュリティ対策として役立つだろう。

セキュリティ状況を可視化できる

詳細はログで確認

コントローラーはどうすればいい？

　話が前後してしまったが、本製品は、冒頭で紹介したようにコントローラーを内蔵していない。

　このため、実際に利用するには、何らかの形でコントローラーを用意する必要がある。手軽さだけで言えば、ハードウェア型のコントローラーである「CloudKey」を購入するのがおすすめだが、クラウド上にソフトウェア型のコントローラーを用意することも可能だ。

　特に、前述したように全国に点在する拠点をまとめて管理したい場合は、各拠点に設置したUXG-Liteからクラウド上のコントローラーのアドレスを指定して接続するだけで複数拠点を管理できるため、後々の運用管理が楽になる。

　具体的には、同社がホスティングしている「Official UniFi Hosting」（月額29ドル）を利用するか、自前で用意したサーバーに「Unifi Network Server」をインストールして利用する方法がある。

公式のホスティング環境

　インストールには最低2GBのメモリが必要なので、AWSやAzureなどで仮想マシンを作成するとなると、月額費用がそこそこかかる（AWS LightSailで10ドル／月、Azure B1msで15ドル／月）。インストールの手間も考えると、公式のホスティングサービスを使ってしまった方が楽だろう。

　なお、それでも自前で用意したいという気概のある方は、以下のドキュメントが参考になる。Linuxベースの場合は、非公式だが、コミュニティ版のスクリプトが非常に優秀で最低限のコマンドで簡単にインストールできる。これを使うのがおすすめだ。今回の検証でも筆者はコミュニティ版スクリプトでAzureにホスティングした。

▼参考ドキュメントとコミュニティ版スクリプト
Unifi Network Server
UniFi Installation Scripts（非公式のコミュニティ版スクリプト）

今回はAzureの仮想マシンにインストールしたコントローラーを利用した

1拠点あたり6万円で設備が揃う

　以上、UbiquitiのUXG-Liteを紹介した。小型ながら、本格的な企業向けネットワークの構築が可能で、「セキュリティ」という重要な部分をリーズナブルな価格で実現できる製品と言える。

　公式ストアでの販売価格で見て、例えば、UXG-Lite（2.39万円）に、Wi-Fi 6対応アクセスポイントの「U6 Lite」（1.88万円）と8ポートPoEスイッチ「Switch Lite 8 PoE」（1.89万円）という組み合わせでも、6万円台で済む。U6 Liteを２台に増やしても8万円ほどだ。Official UniFi Hostingでは1000台のネットワークデバイスを管理できるので、ある程度規模が大きな組織でも対応できるだろう。

　個人宅で使うなら、UniFi Expressがおすすめだが、法人用途なら、本製品の性能や構成の柔軟性が高い点が魅力となりそうだ。