情報セキュリティなんでも相談室　第7回安全なルータの選び方を教えて下さい[後編]

　今やインターネット接続に必須とも言えるルータですが、家電量販店などに行っても、種類が沢山あり、価格もバラバラで、どれを選んだら良いのか迷ってしまいます。安全なルータを選ぶには、どの点に注意したら良いのか教えて下さい。
(※この質問には、前編・後編の2回にわたってお答えします。)

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

─

　前回は、ルータの現状や価格の違いの理由、基本セキュリティ機能を見てみました。今回は、セキュリティを重視したルータ購入時のチェックリストを考えてみましょう。

●セキュリティを重視したルータ購入時のチェックリスト

　以前であれば、セキュリティ機能は検査をしている分、通信のボトルネックになりました。特に速度の遅い低価格のルータを購入するときは、速度を重視するか、セキュリティ機能を重視するか選択する必要があったのです。しかし、今では、低価格製品といえどもセキュリティ機能による速度低下が気にならない程の速度性能があります。そこで、前回の基本セキュリティ機能以外の一般的なセキュリティ機能や、法人では必要となるようなハイエンドのセキュリティ機能を解説しますので、自分や自社のニーズに合うルータを選択する際にチェックリストとして活用してください。

●一般的なセキュリティ機能

・VPN機能（Virtual Private Network）

　インターネットを経由して企業内ネットワークの拠点間接続を行えます。バックボーンとしてインターネットを利用するため、専用線などと比べて極めて低コストで「仮想プライベートネットワーク」を運用することができます。IPsecを使用して通信内容を暗号化しているため、機密を保持したまま、遠隔地のネットワーク同士をあたかもLAN接続しているように安全に運用できます。低価格のルータでは数拠点を接続できるだけですが、例えば20万円以上のルータの場合100以上の拠点を一つのネットワークとして接続することも可能です。

・DMZセグメント機能（DeMilitarized Zone）

　直訳すると「非武装地帯」と呼ばれ、インターネット（WAN側）と社内ネットワーク（LAN側）の中間に置かれるセグメントです。社内ネットワークをインターネットに接続する際に、Webサーバやメール・サーバなどインターネットに公開しなければならないサーバをこのDMZセグメントに設置すれば安全に運用できます。

・ステルスモード機能

　WAN側からLAN内にあるPCを隠す設定をステルスモード機能と呼んでいます。具体的にはパケット・フィルタリングでICMPを制御することでWAN側からのPingに応答しないようにします。結果的にWAN側からLAN内にあるPCの存在を隠し、セキュリティが向上します。

・DHCPサーバ機能

　DHCPを使うと、新規のPCを追加するときの手作業によるIPアドレスの割り当てやPCの設定作業から解放され、ネットワーク管理の手間が軽減されます。また、予め登録しているPC以外がネットワークに接続された場合、そのPCに対してIPアドレスを割り当てないように設定することも出来るためセキュリティ的にもメリットがあります。

・スイッチング・ハブ機能

　この機能により複数のPCがインターネットにアクセスできるようになります。また、LANポートに接続された各PCの通信は、インターネットへの通信を確保しながら、LANポート間の通信を遮断できます。これにより各PCの独立性が向上し、通信の盗聴やウィルス感染防止など、LAN内のセキュリティを高めることができます。通常は４ポートぐらいあれば十分ですが、足りない場合は、別途スイッチングHUBを購入してポートを増やします。

・管理画面へのアクセス制御

　現在のルータの多くはブラウザを利用して設定ができます。他人によって設定が変更されればセキュリティは無いに等しくなります。よって、管理画面へのアクセスには、管理者IDとパスワードによるアクセス制御が必要です。管理画面へのアクセス制御が無いようなルータは危険ですので絶対に購入しないでください。

●ハイエンドのセキュリティ機能

・バックアップと負荷分散機能

　ルータのバックアップには、回線のバックアップと、ルータのバックアップの2つがあります。ISDNバックアップ機能は、拠点とセンター間のVPN通信などが、なんらかの理由で回線が不通となった場合に自動的にISDN回線を通して通信路を確保します。また、VRRP機能は、ルータがなんらかの障害を起こした時にグループを組んでいる他のルータが自動的に通信を受け継ぐことで通信を確保します。1つのルータが複数のグループに所属することもできるため、設定によって負荷分散を同時に実現することも可能です。

・MACアドレスフィルタリング機能

　IPアドレスによるフィルタリングに加え、MACアドレスによるフィルタリングが可能になります。IPアドレスとMACアドレスの組合せによって、より厳格なPC管理ができ、「許可されていないPC」からの通信を発見し、これを破棄することや、社内の特定セグメントへのアクセスを制限するなど、PCごとに異なるアクセス権を設定することが可能になります。

・優先制御・帯域制御機能（QoS機能）

　QoS機能は、通信ごとに優先度や帯域を割り当てて使用帯域制御を行えます。また、それに加えて、パソコンをはじめとするクライアント単位で使用帯域を監視できるハイエンドなセキュリティ機能もあります。P2Pソフトウェアを使用している場合など、必要以上の帯域を使用しているクライアントのみの帯域を制限したり、通信を遮断したりすることができます。

・Winny遮断機能

　Winnyによる通信を検知した際に、その通信を遮断して、検知ログを提供することで、どのPCがWinny通信を実施しているかがわかります。ルータにこの機能を搭載している製品もありますが、一般的には専用機であったり、UTMに搭載されている機能です。

【執筆：せきゅバカ一代】
＜執筆者略歴＞
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

【関連リンク】
情報セキュリティなんでも相談室
第6回安全なルータの選び方を教えて下さい[前編]
https://www.netsecurity.ne.jp/3_12078.html