以下はSCSK株式会社より許可を得て期間限定で掲載しています。
ネットワークセキュリティを強化するヤマハUTX100/UTX200
近年のサイバー攻撃
新型コロナウイルスで活用が進んだテレワークを狙ったサイバー攻撃が増えている。以前は、守られたネットワーク内で業務PCを使うことが多かったが、在宅勤務、サテライトオフィス勤務、モバイル勤務など、さまざまなネットワーク環境で業務を行うことが増えているだろう。感染症対策、混雑緩和、働き方改革など様々なメリットがあるテレワークではあるが、サイバー空間が安全でなければ安心して継続することができない。
また、筆者は様々な企業からサイバーセキュリティ対策に関する相談を受けることが多く、セキュリティ人材の不足も大きな社会課題だと感じている。サイバーセキュリティ分野の相談はネットワークエンジニア(ネツエン)に集まる傾向があるのではないかと思う。脅威の殆どはインターネットからやってくるからだ、本日はそのインターネットの境目でセキュリティ対策ができるヤマハのUTXシリーズの紹介をします。
なお、テレワークにおけるセキュリティ確保について総務省が示しているガイドライン※1が以下のサイトからダウンロードが可能となっている。UTXの導入を検討する際に参考になるので、一度チェックしてほしい。
※1 総務省テレワークセキュリティガイドライン
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
UTXシリーズ(UTX100/UTX200)の特徴
SOHO、SMBのネットワーク市場で圧倒的なシェアを持っているヤマハが高度なファイアウォール技術を持ったCheckPoint社の技術を取り入れ、作り上げたUTM(統合脅威管理)製品がUTX100とUTX200です。これらの機種は、2021年3月に発売され、7月には新機能が追加されました。このようにユーザの要望を取り入れ機能アップしていくヤマハのDNAは健在で、ヤマハネットワーク機器がよりシームレスにつながっていくことが期待できます。
また、UTXのセキュリティ機能を使うためには、「セキュリティライセンス」の購入が必要で、同時に専用サポート窓口として「UTXサポートサービス」が利用可能です。以下の作業を依頼することができます。
UTXサポートサービス概要
- UTXのログの確認、設定変更(サポートセンターから遠隔操作にて対応)
- 故障時の先出センドバック対応
- セキュリティ診断レポート配信(定期的にEメールにて配信)
- ファームウェアの自動更新(実行タイミングの指定が可能)
UTXシリーズ新機能の活用実験
2021年3月に発売されたUTX100、UTX200の、新しいファームウェアが2021年7月14日にリリースされました。この機能追加で筆者が注目した点は以下の2点です。(詳しくはリリースノート※2を参照ください)
[2] リモートアクセスVPN経由のトラヒックに対して、アプリケーション制御とURLフィルタリングに対応した。
[3] サイト間VPN経由のトラヒックに対して、アプリケーション制御とURLフィルタリングに対応した。
※2 UTX200/UTX100のリリースノート
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/utm/R80.20/relnote_r80_20_25.txt
筆者は、試験環境を作りこの新機能の動作確認を行ってみました。UTX200にサイト間VPNでRTX1210、RTX830、RTX810を接続し、RTX配下のPCからfirestorageやYoutubeへの接続を遮断できることを確認しました。また、YMS-VPN8からのリモートアクセスVPNで、同様に通信を遮断できることを確認しました。この機能を活用することで、支社からの通信やテレワークなどのリモートアクセス環境にいる社員の通信をUTX200で保護することが可能になります。
今回説明するサイト間VPN、リモートアクセスVPNを構築する場合、UTXを「ルータモード」で設定する必要があります。なお、既存のネットワーク構成に大きな変更を加えずに、UTXのセキュリティ機能を活用したい場合は、「ブリッジモード」で設定することも可能です。ブリッジモードで動作させた場合はL2MSスレーブ機能が有効となり、ヤマハルータ配下に設置し、ルータのLANマップからネットワークとセキュリティの両方を一元管理することも可能です。
詳しくは、以下のユーザーズガイド※3を参照ください。(ブリッジモードの説明は次回以降のコラムで紹介するつもりです)
※3 UTMアプライアンス UTX200 UTX100ユーザ-ガイド
http://www.rtpro.yamaha.co.jp/RT/manual/utx/UserGuide.pdf
まず、実験に入る前に、ファームウェアが最新になっているか確認します。
Web GUIの[デバイス]-[システム]の[システム操作]で「ファームウェアアップグレード」を確認し、最新でない場合は、最新にして下さい。ファームウェアのアップグレードの際UTXは再起動します。
実験その1:リモートアクセスVPNの通信をUTXで保護する
YMS-VPN8とUTXを活用し、以下のような構成で、外出先やテレワーク環境下でパソコンの通信を保護することが可能です。
・UTX側の設定
①まずは、以下のサイト※4に従いUTXの設定を行ってください。
※4 VPN接続先との通信 (YMS-VPN8ソフトウェアライセンス版を利用) + VPN経由インターネット接続 : UTM Web GUI設定
https://network.yamaha.com/setting/router_firewall/security/utm_appliance/l2tp_ipsec_via_utm#utm
Web GUIの[デバイス]-[詳細]の[詳細設定]で、[VPNリモートアクセス – 内部ルールベースのみに一致]の値が “false” に設定されていることを確認。(チェックが入っていなことを確認)
②アクセスポリシーの設定
Web GUIの[アクセスポリシー]-[ファイアウォール]の[ブレードコントロール]で、アプリケーション&URLフィルタリングの遮断したい項目にチェックを入れる。
「その他の好ましくないアプリケーションをブロック」をクリック。
試しに「youtube」を検索し、遮断したい項目にチェックをいれて「適用」。
④アクセスポリシーの確認
Web GUIの[アクセスポリシー]-[ファイアウォール]の[ポリシー]を開くと以下のような画面が表示される。UTXのアクセスコントロールは、この画面で確認と変更を行います。
“①”で行ったリモートアクセスの設定と、”③”の[ブレードコントロール]で設定した内容は、以下の赤枠で示した通り、「デフォルトポリシー」として適用されていることが分かります。
・外出先PCの設定
①YMS-VPN8の設定
以下の通り設定を行ってください。認証方式を「PAP/CHAP」を選択し、インターネット接続をVPN経由に設定する点注意してください。
なお、UTMのグローバルIPアドレスの確認は、以下サイト※5の下部にある「注釈の説明」の「注釈1」を参照ください。リモートアクセスVPNの状況は「リモートアクセスの確認」を参照ください。
※5 外出先PC設定
https://network.yamaha.com/setting/router_firewall/security/utm_appliance/l2tp_ipsec_via_utm#pc
②通信が遮断されることを確認
YMS-VPN8でVPN接続した状態で、以下のサイトへアクセスし通信が遮断されることを確認してください。
Firestorage https://firestorage.jp/
Youtube https://www.youtube.com/
・UTXで遮断ログの確認
Web GUIの[ログ&モニタリング] – [ログ]の[セキュリティログ]を開き、「更新」を押すと、以下のように、リモートアクセスVPNで割り当てられたソースIPアドレス「192.168.20.2」の通信を遮断したログが確認できました。
実験その2:サイト間VPNの通信をUTXで保護する
データセンターや従業員が多い本社にUTXを設定したが、従業員が数名規模の支社にUTXを設置する予算が割けないという事は多くあると思います。そういった場合は、支社のRTX830から本社のUTX200にサイト間VPNを張り、支社のネットワークも本社のUTX200で保護することが可能となります。
・UTX側の設定
①まずは、以下のサイト※6に従いUTXの設定を行ってください。
※6 IPsecを使用したVPN拠点間接続 + センター(UTX200) 経由インターネット接続
https://network.yamaha.com/setting/router_firewall/security/utm_appliance/ipsec_via_utm#utm
②Web GUIの[デバイス]-[詳細]の[詳細設定]で、[VPNサイト間のグローバル設定]の「インターネット トラフィックの発信ルールベースと一致」にチェックを入れ、値を “true” に設定します。
③アクセスポリシーの設定
Web GUIの[アクセスポリシー]-[ファイアウォール]の[ブレードコントロール]で、アプリケーション&URLフィルタリングの遮断したい項目にチェックを入れる。
「その他の好ましくないアプリケーションをブロック」をクリック。
試しに「youtube」を検索し、遮断したい項目にチェックをいれて「適用」。
④アクセスポリシーの確認
Web GUIの[アクセスポリシー]-[ファイアウォール]の[ポリシー]を開くと以下の画面が表示される。UTXのアクセスコントロールは、この画面で確認と変更を行います。
“①”で行ったサイト間VPNの設定と、”③”の[ブレードコントロール]で設定した内容は、以下の赤枠で示した通り、「デフォルトポリシー」として適用されていることが分かります。
・拠点ルータの設定
①以下のサイト※7に従い拠点ルータの設定を行い、「VPNトンネルの確認」まで行ってください。
※7 IPsecを使用したVPN拠点間接続 + センター(UTX200) 経由インターネット接続
https://network.yamaha.com/setting/router_firewall/security/utm_appliance/ipsec_via_utm#router
②通信が遮断されることを確認
サイト間VPNが接続した状態で、拠点ルータ配下のパソコンから以下のサイトへアクセスし通信が遮断されることを確認してください。
Firestorage https://firestorage.jp/
Youtube https://www.youtube.com/
・UTXで遮断ログの確認
Web GUIの[ログ&モニタリング] – [ログ]の[セキュリティログ]を開き、「更新」を押すと、以下のように、サイト間VPNの拠点ルータ配下のパソコンに割り当てられたソースIPアドレス「192.168.12.2」の通信を遮断したログが確認できました。
まとめ
今回紹介したUTX100、UTX200は、既存のヤマハネットワークに新たなセキュリティ機能を強化するものです。急なテレワークの普及、サイバー攻撃の増加、ネットワーク管理者の負担が増加していると感じます。そんな中、ネットワークエンジニア(ネツエン)の見方である、ヤマハがサイバーセキュリティの世界に一歩踏み込んだことは非常に大きなことだと感じています。サイバーセキュリティの世界は、これをやったから安全というはなく多層防御が基本です。正しい知識を持ち最新の情報から適切な対策、投資を行うことが大切です。冒頭に説明した、総務省のガイドライン※1はサイバーセキュリティ対策の必要性を示すことに非常に役立ちます。機会があればこのあたりの解説もしていきたいと思います。
2021年8月3日
著:株式会社ランシステム
システム外販部 黒澤一秀