Broadband Watch logo

第10回:ルータとしての完成度はいまひとつ?!
~トレンドマイクロ GateLock X200を試す~


 強力なセキュリティ機能を搭載することで、ブロードバンドルータの新境地を開いたトレンドマイクロのGateLock X200。当初は直販での販売のみという予定だったが、ごく一部の店舗で期間限定販売が行なわれ、実機を手に入れることができた。確かにセキュリティ機能はすばらしいのだが、その引き替えに欠点も存在する。今回はこのあたりを中心にレポートしていこう。





強力なウイルス検知機能とアタック検知機能を搭載

 ことあるごとに大量に送信されてくるウイルスメール、意味無く繰り返されるポートスキャン。インターネットが常時接続環境に変わってからというもの、このようなうんざりする状況が毎日のように続いている。さすがに最近では慣れてきたが、知り合いの初心者ユーザーから助けを求められることも多く、何とかならんものかと思うこともしばしばだった。


「GateLock X200」通常のブロードバンドルータと同じような大きさの筐体に、強力なセキュリティ機能が詰め込まれているのだが……
 ことあるごとに大量に送信されてくるウイルスメール、意味無く繰り返されるポートスキャン。インターネットが常時接続環境に変わってからというもの、このようなうんざりする状況が毎日のように続いている。さすがに最近では慣れてきたが、知り合いの初心者ユーザーから助けを求められることも多く、何とかならんものかと思うこともしばしばだった。 そんな中、トレンドマイクロから発売されたのがGateLock X200だ。この製品はいわゆるブロードバンドルータだが、ウイルス検知機能とアタック検知機能が搭載されているという一般ユーザー向けとしては珍しい製品となっている。つまり、インターネット上に存在する脅威から身を守れるという大きな特徴を備えているわけだ。トレンドマイクロといえば世界的に有名なウイルス対策ソフトベンダーだが、GateLock X200にはその技術が惜しみなくつぎ込まれていることになる。

 具体的には、ネットワークを通過するパケットを監視し、メールなどに添付されているウイルスを除去することができるようになっている。これまでウイルス対策はPC側にウイルス対策ソフトをインストールして行なうのが一般的だったが、これをルータ側で行なおうというのがそのねらいだ。POPやSMTPのパケットを監視して、ウイルスがある場合は除去。また、Webメールなどに含まれているウイルスなども除去することができる。ルータに搭載されているウイルス対策機能というと簡易的なイメージを思い浮かべるかもしれないが、実際には非常に強力な機能となっている。


ウイルス対策オプションでは、どのような項目をチェックするか、ウイルスを発見した場合にどのように対処するかを選択できる。

 一方、アタック検知機能では、アプリケーションレベルでのデータのやり取りまでチェックして、データの流れの通過または遮断を判断するステートフル方式のパケットフィルタリングによって実現されている。最近のルータはNATやIPマスカレードを簡易ファイアウォールと呼ぶこともあり、セキュリティ機能とは何なのかと考えさせられることも多い。もちろん、NATやIPマスカレードでも最低限のセキュリティを確保できるかもしれないが、もはやインターネット側からの攻撃はこれだけで対処できるレベルにはない。

 その点、GateLock X200では、本体内部にはさまざまな攻撃に関するデータベースを保持し、それに合致した攻撃があった場合は防ぐという方法を採っている。これにより、より特定の攻撃に対しても高いセキュリティを実現でき、データベースの更新によって最新の攻撃にも対処できるようになっている。万が一、不正アクセスがあった場合は、攻撃があったこと、それがどのような攻撃だったのかをユーザーに知らせてくれるので、より安全にインターネットを利用できるというわけだ。

 実際、数日間稼働させておいたが、ウイルスメールを確実に除去できるうえ、ポートスキャンなども確実に検出することができた。もちろん、これだけで完全に安全性が確保できるというわけではないが、市販のルータ以上のセキュリティは確実に確保できると言えるだろう。


どのような不正侵入が行なわれたかは設定画面から確認することができる。この例ではポートスキャンが行なわれたことがわかる
 Trend Micro GateLockにより、お客さまのシステムに対する不正アクセスが
検出されました:


**日付: 2002/3/30 15:18:57
**アクセス元: ■.■.9.22
**攻撃方法: Netbus/GabanBus
 最新のハッカー検出ログについては、Trend Micro GateLockのハッカー検出
ログページを参照してください。

 ハッカー検出ログを表示するには、GateLock設定コンソールのサイドバーから
[セキュリティ] → [ハッカー検出ログ] の順にクリックしてください。


注意:このe-mailはハッカーによる攻撃の疑いがある不正アクセスが検出された
   ことをお知らせするためにお送りしています。
   GateLockのハッカー対策機能が有効に設定されていれば、改めて対策を
   講じる必要はありません。GateLockによりハッカーの不正侵入は自動的に
   ブロックされます。

***********************************************************************
このe-mailは、プログラムより自動送信されています。
GateLockに関する最新情報は、http://www.trendmicro.co.jp/gatelock/
をご覧ください。
***********************************************************************
メールでの通知機能をONにしておけば、アタックがあった場合に指定したアドレスにメールで知らせることもできる(上記は攻撃元のIPアドレスを修正)





初心者向け=機能を制限することなのか?

 とまあ、製品の概要はここまでにしておいて、今回は主にこの製品の欠点を中心に製品レビューをお届けしよう。GateLock X200自体がねらっている方向性は確実にニーズがあるものであり、セキュリティ機能に関しても確かによくできている。しかし、この製品にはメリットと同時にデメリットも数多く存在するのだ。

 まず、気になるのはルータの設定がほとんど変更できない点だ。本体に設定されたIPアドレスは「192.168.253.1」で固定となっており、DHCPサーバーのON/OFF、配布するIPアドレスの範囲なども一切変更できない。おかげで、筆者のLAN環境などでは固定でIPアドレスを割り当てていたファイルサーバー、プリントサーバーなどのIPアドレスをすべて変更するはめになった。もちろん、このようなケースは一般ユーザーでは少ないかもしれないが、変更する手段が与えられていないのは困るケースも多い。

 このような制限は、おそらく初心者ユーザーが設定に迷うことがないようにという配慮だと思われるが、はたして「機能を制限すること=初心者向け」なのだろうか? 決してそうではないだろう。このような傾向は低価格のブロードバンドルータにも見られるものだが、機能制限はいわばメーカー側の都合だ。初心者ユーザーが迷わないためというよりは、メーカーがサポートの手間を減らしたいという意味合いが強いのではないか。

 実際、NECのWARPSTARシリーズなどは、ルータ側でさまざまな設定変更が許可されているにもかかわらず、使いやすいユーティリティを添付することで、初心者でも安心して使える製品を実現している。これが正しい方向なのではないだろうか。確かに見慣れない設定項目があれば初心者はとまどうだろう。しかし、初心者とて、いつまでも初心者であるわけではない。ユーザーの成長に合わせて使い方を変えられることこそ、本当にユーザーのことを考えた製品ではないのだろうか。この点は非常に疑問に思うところだ。





PPPoAに未対応

 また、PPPoAに対応していない点も大きい。PPPoEには対応しているのでフレッツ・ADSL、Bフレッツなどでは問題なく利用できるのだが(一部PPPoAの事業者もPPPoEでの接続が可能な場合もある)、アッカ・ネットワークスのようにPPPoAのみにしか対応していない事業者の回線では特殊な接続方法をしない限り利用できない。しかも、これがパッケージだけでは判断できないのだ。


PPPoEによる接続はサポートされているが、PPPoAには未対応。アッカなどでは別途ルータを用意する必要がある

 では、PPPoAの環境ではどのように利用すればいいのだろうか? これの場合は、GateLock X200をローカルルータとして機能させる。つまり、事業者からレンタル(または買い取り)したADSLモデムをルータとして機能させたまま、その後ろにGateLock X200を接続。そこからハブなどを経由してPCを接続するわけだ。これははっきり言って無駄だ。これによりクライアントは2台のルータを経由しないとインターネットにアクセスできないことになり、ともすれば回線速度が大きく低下してしまう。

 もちろん、この環境でもウイルス検知機能は便利に使うことができる。しかし、アタック検知機能はあまり意味をなさなくなる可能性が高い。すでにルータタイプのADSLモデム側でNATやIPマスカレードによるアドレス変換、フィルタリングなどがなされていることを考えると、GateLock X200で検知できるのはこのような対策を乗り越えて不正アクセスを実行しようとするケースだけだ。企業ユーザーならまだしも個人ユーザーの環境でここまで高度な攻撃がしかけられるケースは少ないだろう。

 自宅にサーバーを構築しているようなユーザーであれば、非常に高いセキュリティが実現できるというメリットはあるが、一般ユーザーにはここまでのセキュリティは必要ないと言える。それであれば、PPPoAに対応し、どちらの構成でも選べるようにするのが筋だ。このあたりは非常に不便に思えてしかたがない。





スループットは期待できない

 3つ目の欠点としてあげられるのはスループットだ。筆者は現段階ではルータのスループットはあまり重要ではないと考えている。もちろん、ある程度のスループットは必要だが、回線のボトルネックにならない程度であれば問題ないだろう。たとえば、現状のADSLであれば8Mbpsもあれば十分だろう。現状、ほとんどのブロードバンドルータは、このレベルを満たしている。しかし、GateLock X200はこの条件が満たせないのだ。ともすると回線のボトルネックになりかねない。

メーカー公表のスループット値
FTP プロトコル 各種機能に無関係 11.0 ~ 15.0 Mbps(試験環境実測値)
4.0 ~ 4.2 Mbps(PPPoE接続環境実測値)
HTTP プロトコル WebMail 検索オフ 11.0 ~ 14.0 Mbps(試験環境実測値)
4.0 ~ 4.2 Mbps(PPPoE接続環境実測値)
WebMail 検索オン 3.2 ~ 3.5 Mbps
SMTP プロトコル ウイルス検索オフ 13.0 ~ 15.0 Mbps
ウイルス検索オン 0.4 ~ 0.5 Mbps
POP3 プロトコル ウイルス検索オフ 4.0 ~ 5.0 Mbps
ウイルス検索オン 1.7 ~ 2.0 Mbps


 GateLock X200のスループットは、メーカーが公表している値で上記の通りだ。PPPoEの環境でFTPによる転送を実行した場合で4Mbpsと他社製のルータと比べてもかなり低い。また、実際にインターネット上の速度測定サイト「ブロードバンドスピードテスト」(http://speed.on.arena.ne.jp/)、およびFTPでのスループットを計測してみたところ、下記のように他社製のルータを利用した場合よりも若干速度が低下する傾向が見られた。

筆者によるスループット実測値
回線 環境 ブロードバンドスピードテスト(最大)
フレッツ・ADSL1.5Mbps NECルーター利用時 900kbps(113kB/s)
GateLock利用時 860kbps(107kB/s)
アッカ8Mbps 富士通ルータータイプADSLモデム利用時 1.92Mbps(240kB/s)
GateLock利用後 1.71Mbps(214kB/s)
注:PCスペック:Pentium4 1.8GHz、RAM512、Intel製NIC使用、測定時間は平日20:00前後


 筆者の環境は局からの距離が2.5km前後と遠いため、リンクアップ速度はフレッツ・ADSLで1408kbps、アッカ8Mで2240kbpsと元々遅いが、それでも速度が低下する結果となった。メーカー公表値から考えると、4Mbps以上の速度が出ている環境ではさらに速度の低下が見られるだろう。やはり、ウイルス検知やアタック検知のための処理がボトルネックになっているようだ。GateLock X200がセキュリティを重視する製品であることを考えれば致し方ないが、速度を求めるユーザーには厳しい結果と言えるだろう。





悩みどころはどこでウイルスチェックを実行するか

 最後は製品の特徴でもあるウイルスチェック機能の使い方についてだ。この機能自体は大変すばらしいものだと言えるが、この製品によってどのようなウイルスに対抗できるのか、そのほかのウイルス対策は必要ないのかがユーザーにわかりにくい。

 GateLock X200の登場で、現状、ウイルス対策は3つのパターンとなったと言える。ひとつはオーソドックスにPCにウイルス対策ソフトをインストールする方法、もうひとつはプロバイダーなどが提供しているウイルス対策サービスを利用する方法、そしてGateLock X200のようにルータでウイルス対策をする方法だ。それぞれに利用方法も違えば、メリット・デメリットも異なる。各サービスの特徴が理解できなければ、ユーザーは最適なソリューションを組み合わせて使うことができないだろう。

ウィルス対策の種類と特徴
対策 メリット デメリット
ウィルス対策ソフト メール、Web、外部記憶装置からの感染など、あらゆるウィルスに対抗可能 PCの性能によってパフォーマンスの低下が見られる。複数台のPCがある環境ではコストが高い
ISPのウィルス対策サービス PC、回線速度ともにパフォーマンスの低下が見られない。モバイル時の対策も可能 メールに感染するタイプのウィルスにしか対抗できない。月々のコストがかさむ
ルーターでのウィルス対策 複数台のPCへのウィルス対策が一度に可能。コストも比較的低い。PC側のパフォーマンス低下も避けられる LAN内のPCにしか対応できないため、モバイル時などは無防備。回線速度が低下してしまう


 もちろん、すべてのサービスを使えば、万全の体制を整えることができる。しかし、その引き替えに、PCのパフォーマンスや回線速度の低下、コストの増加など引き替えとなるものは大きい。また、ウイルス対策ソフトであれば比較的どのようなウイルスにも対抗できるが、そのほかの方法だけでは対抗できるウイルスが限られてしまう。たとえば、GateLock X200は、外部記録メディアなどから感染するウイルスには無防備となる。また、LAN内にPCがあるときにしか効果がないので、ノートPCなどを外出先にもっていけば、やはり無防備になる。このあたりがユーザーに見えにくいのだ。

 これらは欠点ではなく、使用上の注意というたぐいのものなのだから、しっかりとユーザーに伝えるべきだろう。せっかくウイルス対策ソフトもリリースしている会社なのだから、どのような組み合わせをすれば効果的なのかをもっとユーザーに訴求すべきだ。このあたりは、マニュアルなどにもう一工夫欲しいところだ。





ブラッシュアップされたバージョンに期待

 このように、GateLock X200は、セキュリティ機能は非常に充実しているものの、いくつかの欠点が見られるのが非常に惜しい。個人的には非常に期待している製品だけに、その欠点が余計に目立ってしまう。ぜひとも、これらの欠点が改善されたファームウェアや、次期バージョンの登場を望みたいところだ。

 では、現段階でGateLock X200は“買い”なのだろうか。かなりユーザー層は限定されるが、NTTのフレッツ・ADSL 1.5Mタイプを利用しているユーザーで、しかもウイルスや不正侵入対策にあまり気を遣いたくない初心者であれば、GateLock X200は“買い”と言えよう。ただし、前述したように、実際に利用するうえではウイルス対策ソフトなどとの組み合わせをよく検討する必要はある。この点には注意したいところだ。


関連情報

URL
  トレンドマイクロ
  http://www.trendmicro.co.jp/

2002/04/02 11:14

清水理史
製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できるブロードバンドインターネット Windows XP対応」ほか多数の著書がある。自身のブログはコチラ
Broadband Watch ホームページ
Copyright (c) 2002 Impress Watch Corporation, an Impress Group company. All rights reserved.