2008年09月04日(木) 20時15分
情報セキュリティなんでも相談室 安全なルータの選び方を教えて下さい[後編](Scan)
今やインターネット接続に必須とも言えるルータですが、家電量販店などに行っても、種類が沢山あり、価格もバラバラで、どれを選んだら良いのか迷ってしまいます。安全なルータを選ぶには、どの点に注意したら良いのか教えて下さい。
(※この質問には、前編・後編の2回にわたってお答えします。)
---
前回は、ルータの現状や価格の違いの理由、基本セキュリティ機能を見てみました。今回は、セキュリティを重視したルータ購入時のチェックリストを考えてみましょう。
●セキュリティを重視したルータ購入時のチェックリスト
以前であれば、セキュリティ機能は検査をしている分、通信のボトルネックになりました。特に速度の遅い低価格のルータを購入するときは、速度を重視するか、セキュリティ機能を重視するか選択する必要があったのです。しかし、今では、低価格製品といえどもセキュリティ機能による速度低下が気にならない程の速度性能があります。そこで、前回の基本セキュリティ機能以外の一般的なセキュリティ機能や、法人では必要となるようなハイエンドのセキュリティ機能を解説しますので、自分や自社のニーズに合うルータを選択する際にチェックリストとして活用してください。
●一般的なセキュリティ機能
・VPN機能(Virtual Private Network)
インターネットを経由して企業内ネットワークの拠点間接続を行えます。バックボーンとしてインターネットを利用するため、専用線などと比べて極めて低コストで「仮想プライベートネットワーク」を運用することができます。IPsecを使用して通信内容を暗号化しているため、機密を保持したまま、遠隔地のネットワーク同士をあたかもLAN接続しているように安全に運用できます。低価格のルータでは数拠点を接続できるだけですが、例えば20万円以上のルータの場合100以上の拠点を一つのネットワークとして接続することも可能です。
・DMZセグメント機能(DeMilitarized Zone)
直訳すると「非武装地帯」と呼ばれ、インターネット(WAN側)と社内ネットワーク(LAN側)の中間に置かれるセグメントです。社内ネットワークをインターネットに接続する際に、Webサーバやメール・サーバなどインターネットに公開しなければならないサーバをこのDMZセグメントに設置すれば安全に運用できます。
・ステルスモード機能
WAN側からLAN内にあるPCを隠す設定をステルスモード機能と呼んでいます。具体的にはパケット・フィルタリングでICMPを制御することでWAN側からのPingに応答しないようにします。結果的にWAN側からLAN内にあるPCの存在を隠し、セキュリティが向上します。
・DHCPサーバ機能
DHCPを使うと、新規のPCを追加するときの手作業によるIPアドレスの割り当てやPCの設定作業から解放され、ネットワーク管理の手間が軽減されます。また、予め登録しているPC以外がネットワークに接続された場合、そのPCに対してIPアドレスを割り当てないように設定することも出来るためセキュリティ的にもメリットがあります。
・スイッチング・ハブ機能
この機能により複数のPCがインターネットにアクセスできるようになります。また、LANポートに接続された各PCの通信は、インターネットへの通信を確保しながら、LANポート間の通信を遮断できます。これにより各PCの独立性が向上し、通信の盗聴やウィルス感染防止など、LAN内のセキュリティを高めることができます。通常は4ポートぐらいあれば十分ですが、足りない場合は、別途スイッチングHUBを購入してポートを増やします。
・管理画面へのアクセス制御
現在のルータの多くはブラウザを利用して設定ができます。他人によって設定が変更されればセキュリティは無いに等しくなります。よって、管理画面へのアクセスには、管理者IDとパスワードによるアクセス制御が必要です。管理画面へのアクセス制御が無いようなルータは危険ですので絶対に購入しないでください。
●ハイエンドのセキュリティ機能
・バックアップと負荷分散機能
ルータのバックアップには…
【執筆:せきゅバカ一代】
<執筆者略歴>
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。
【関連リンク】
・
情報セキュリティなんでも相談室 安全なルータの選び方を教えて下さい[前編]
・
Webフォームからのご相談
http://headlines.yahoo.co.jp/hl?a=20080904-00000007-vgb-secu