セキュリティ対策のルーターについて

時々現れる長文書きです。尚、補足しても回答しないことが多いのでご了承を・・・。 セキュリティ対策製品としてのルータですか・・・このご質問であれば、現段階では不要でしょう。たぶん今後もルータ内蔵モデムやホームゲートウェイ、CTUを使うなら、必要になることはないでしょう。 年金機構の問題やらいろいろあって、セキュリティが心配になったのかな？ 理由を書きます。長文ですので、暇な時に読んでください。 WD701CVは確かに古いですけど、ログを自らで確認できるなら、定期的にそれを行いさえしていれば、それだけで防壁として十分な能力をもつからです。強いて挙げるならWD701CVの管理者パスワードを、デフォルト（初期設定）のままで使わない。大文字小文字数字を含む難読化されたパスワードを使うことが大事です。（以下管理者パスワードの変更方法） http://www.aterm.jp/function/guide/list-data/j-all/wd/common/m01_m24.html ちなみに、当該機器のログはクイック設定Webの以下の項目で確認できます。 http://www.aterm.jp/function/guide/list-data/j-all/wd/eac/m01_m18.html それから、もう一カ所、「詳細設定」-「高度な設定」-[NAT/UPnP設定]で、UPnP機能を「使用する」に設定されている場合は、UPnPを使うことがないなら、「使用しない」にしておくかな？ この機器はファームウェアが長いこと更新されていないので、保守が終わっているなら脆弱性が残っているかも・・・一応念のためです。デフォルトでは無効だと思いますけど。（UPnPはUniversal Plug and Playの略） http://www.aterm.jp/function/guide/list-data/j-all/wd/eac/m01_m31.html 尚、当該のルーティング装置が持つ不正アクセス監視機能は以下となります。 http://www.aterm.jp/function/guide/list-data/j-all/wd/eac/m01_m17.html 上記に記載した点さえ守っていれば、個人であれば他は要らないでしょう。もし、浸食を受けても、少なくとも設定Webに入ってログを確認している人は、いつもと様子がおかしい、いつもはないメッセージがログにあると感じ取れますので、それ以上先の自分のコンピュータが直接ネットワーク攻撃を受ける可能性は低くなります。（コンピュータの直接的なウィルス感染を防ぐものではありません。あくまで不正なネットワーク攻撃のみに有効となります） よほどビジネス上で必要なら、ビジネス保守を専門とする業者と相談した方が良いかも・・・ 個人ビジネスで個人情報取り扱いが多いといった場合は、収益に合わせてセキュリティにも投資がいるかも・・・ということです。 何故今は要らないと判断できるのか？ おおざっぱに言えば、ルータとしている時点でダメなのです。 まず、質問者様にはルータイコール安全という点を、捨てねばなりません。入れたら安全はあくまで、適切な場所で適切な管理者に管理されており、適正な設定が完了している機器に限定される話です。 基本的に、入れれば安全というハードやソフトは厳密に言えば存在しません。高度なセキュリティテクノロジになればなるほど、たまたまそれを見つけた技術のある攻撃者は、その先にあるお宝を探すために、高度攻撃に夢中になる可能性もあります。自分が管理できないような、凄いハードを入れると設定がザルで、攻撃してくる側は強いという逆転が起きることも。 これは、１歳の子供に長時間のお留守番や、一人でお散歩ができるかというのと同じで、その使い方が分からないと、結果的に穴になっ（自分を傷つけ）たり、より怖い人を呼び寄せる恐れもあるのです。だから、分かる人がいないと守れない。 （高機能製品は、その分野が好きで知識欲が高い人には設定しがいがありますが、必要なセキュリティを自分の使う環境で確保できるかは別問題なのです。） もしも、それがどうしても必要な場合は、自分が専門書や、そういうセミナーを受けてでも、その先を学習していかないといけません。 良いものなのに設定がザルになるというのは、次の理由です。 WD701CVのルータ機能や家庭で主に使われる無線ルータなどは、だいたい次の設定が完了した状態で販売されています。 ・WAN側（インターネット側）に対する不正パケットの破棄 ・WAN側で利用頻度の低いポート（出入り口）のDeny（拒否）、Stealth（不可視）設定 ・WAN側から不正な要求があれば、ログに残す。 ・WAN/LAN側で条件に合致した攻撃に類推されるパターンがある場合は、ログに残し破棄する。 ・WAN側とLAN側の間で指定されたパケット長（データの長さ）に違反するなど、不審なものが合った場合に、ログを保存する。（または破棄する） ・管理者アクセス歴をログに保管する。 ・LAN側の接続/切断に関するログの保存 ・ユーザーが設定したカスタムルールや、接続ルールを満たさない場合に遮蔽し、ログに保存する。 といった設定が最初から行われています。だから、ただ設置するだけで、外側（WAN）から家庭の通信環境を覗き見されることはなく、家庭内のネットワーク情報が筒抜けになることはないのです。それが、ルータを設置するとセキュリティ効果が上がるという理由です。 多くの人はルータを置けばこれだけの監視をしてくれるから、もう大丈夫と思うのです。 しかし、実際には希に毎日違うポートに新しい攻撃をされていて、いつか屋根裏の窓をこじ開けられていたということもある。それを防ぐために日頃からログ（通信履歴）を見ることが大事なのです。そして、それ（ログ）を監視していれば、屋根裏をこじ開けて入られたとしても、入った瞬間に捕まえられるかもしれません。それも含めてルータは役割を持っているのです。 これも見ていない人が、一気に次にステップアップしたいと言ってもお薦めはできません。お薦めする人は、ブラックノルマのある企業の営業ぐらいでしょう。 それに対して、高機能ルータは最初からその全てが設定されているとは限りません。最初から全て透過になっていることはないと思いますが、設定内容をもっと細かく、ログもさらに細かく指定できたり、振る舞いに幅を持たせて調整できるようになっています。一番分かり易い内容で言えば、意図的に遮蔽した項目のログが大量に出る、それが邪魔・・・それは不正ではなく仕様だから要らないなら、ログに残さないと設定する。機器によってはそういう事も出来る場合もあります。しかし、それを本来監視して警告しないといけない場所に誤って設定したら・・・攻撃されても気がつかない結果になります。 即ち、自分で今どういう設定になっていて、ログにどういう情報が出ているかが読めないと、本来のルータ機能を活かせていないという本末転倒な結果になることもあるのです。それが高機能ルータというものです。 まず大事なのは、今既にWD701CVにルータ機能があるということを理解することです。そして、ログを見る習慣がなければ、ルータを入れても、ルータが崩れれば終わることを知る。最近はルータ機器も攻撃対象として認識されていますから、まずは追加するではなく今あるWD701CVがどういうものかを知ることです。要は、ログを定期的にみるなど今の状況を知るということです。 それでも、満足できないなら、きっとこれが足りないと分かるはずですから、そのとき改めて、ルータに限らず、ネットワークセキュリティ製品（ハードウェアファイアウォール、DEP、スイッチ、ルータ、APT）から適切なものを調べて購入することが出来るでしょう。 以上のようになります。 要は、凄い強力な防御製品を持っていても、入り口に置いておくだけでは、外から来た人がだれも使ってないと分かれば、持ち逃げされるかもしれません。逆に、防御製品を自分の家側に向けられて、自分が出られなくなるかも・・・。 それでは、何のために導入したのか分からないでしょう。それを防ぐために、まずは自分の環境にあるルータで機能が十分なのか、足りないのかを把握する必要があるということです。 多くの人は、ホームルータ機能を装備した製品だけで十分です。日頃会社などで高度な管理をしている人でも、家はホームルータ機能を使っているケースが多いのです。 そこで違いが出るとすれば、定期的にログを見るかどうか、設定ファイルを残しておいて、比べているかなどです。要は、反復して定期的に状況を確認するのがセキュリティであり、それでも不足と思った時などに初めてそれ以上を求めるようになります。