皆様こんにちは。ネットワーク事業部の浅井です。
今回のブログではタイトルの通り、バッファロー製(以下BUFFALO)UTM兼VPNルータのVR-U300W、VR-U500Xについて、機能の紹介や実際に使用して感じた利点や、もう少し良くなれば…といった点等を取り上げたいと思います。
なお、今回の記事において詳細な設定内容や、設定例等についてはご紹介しておりませんのでご了承ください。
VR-U300W、VR-U500Xとは
まずは、VR-U300W、VR-U500Xがどういった機種なのか、簡単に触れておこうと思います。
こちらの機種は、2022年5月に発売となったBUFFALO製のルータであり、UTM機能とVPN機能を持ち合わせた法人向け製品です。
コンセプトとしては、『中小オフィスにちょうどいい業務用ルータ』であり、他メーカー製のUTM機能を搭載したルータに比べると低価格で提供されています。
VR-U300Wであれば無線機能も有しているため、そこまで広くないオフィスであれば1台でルータ・UTM・無線アクセスポイントの機能をカバーできる製品となっています。
VR-U500Xは、VR-U300Wと違い無線アクセスポイント機能はありませんが、10Gbpsに対応していたり、VPNの対地数やUTM有効時の同時接続台数が多かったりと、性能が高いものとなっています。
基本スペック
VR-U300W、VR-U500Xの基本スペックについて確認をしたいと思います。(引用元:BUFFALO製品ページ)
項目をピックアップしての紹介のため、詳細な内容については、メーカーの製品ページをご確認下さい。
メーカーの製品ページはこちらです。(2024年5月時点)
VR-U300W
VR-U500X
VR-U300Wスペック
無線LAN情報
| 無線LAN準拠規格 | IEEE802.11ax /IEEE802.11ac /IEEE802.11n / IEEE802.11a / IEEE802.11g / IEEE802.11b |
| 設定可能SSID数 | 最大10個(2.4GHz帯 5個、5GHz帯 5個) |
| セキュリティ | WPA3 Personal、WPA2/WPA3 Enterprise、WPA2/WPA3 Personal、WPA2 Personal(WPA2-PSK AES)、WPA/WPA2 Personal(WPA/WPA2 mixed PSK AES/TKIP)、Any接続拒否、プライバシーセパレーター、MACアドレスフィルター |
| データ転送速度(理論値) | 最大1200Mbps(IEEE802.11ax)、最大866Mbps(IEEE802.11ac)、最大300Mbps(IEEE802.11n)、最大54Mbps(IEEE802.11a、IEEE802.11g)、最大11Mbps(IEEE802.11b) |
有線LAN情報
| 伝送速度 | 1000Mbps / 100Mbps / 10Mbps |
| 端子数 | 1Gbps対応INTERNET(1ポート)、1Gbps対応LANポート(4ポート) |
| VLAN機能 | IEEE802.1Q VLAN tagging対応、ポートVLAN対応 |
VPN機能
| サポートプロトコル | IPsec、L2TP over IPsec |
| 暗号化方式(IPsec) | AES128、AES256 |
| 認証方式(IPsec) | SHA-1、SHA-256 |
| VPN対地数 | IPsec:16、L2TPv2/IPsec:16 |
その他
| NATセッション数 | 65534 |
| 外形寸法 | 175×200×47mm(幅×高さ×奥行) |
| 保証期間 | 5年間(標準保証3年間、Web上の5年保証登録により2年延長) |
VR-U500Xスペック
有線LAN情報
| 伝送速度 | 10Gbps / 5Gbps / 2.5Gbps / 1000Mbps / 100Mbps |
| 端子数 | 10Gbps対応INTERNET(1ポート)、1Gbps対応LANポート(4ポート)、10Gbps対応LANポート(1ポート) |
| VLAN機能 | IEEE802.1Q VLAN tagging対応、ポートVLAN対応 |
VPN機能
| サポートプロトコル | IPsec、L2TP over IPsec |
| 暗号化方式(IPsec) | AES128、AES256 |
| 認証方式(IPsec) | SHA-1、SHA-256 |
| VPN対地数 | IPsec:30、L2TPv2/IPsec:30 |
その他
| NATセッション数 | 250000 |
| 外形寸法 | 220×40×170mm(幅×高さ×奥行) |
| 保証期間 | 5年間(標準保証3年間、Web上の5年保証登録により2年延長) |
VR-U300Wに比べて、VR-U500Xは無線機能は無いものの基本性能が高いものになっており、10Gbpsに対応しているというのも、今後10Gbpsを提供するサービスやエリアが増えていくことを考えると良い部分かと思います。
また、VPNの対地数は、VR-U300Wが16、VR-U500Xが30のため、VPNを利用する予定の台数に併せて利用する機器を検討すると良いでしょう。
また、Web登録が必要にはなりますが、保証期間が5年間となるのも地味にうれしい部分です。
UTM機能
このVR-Uシリーズの利点として、ライセンス契約が必要にはなりますがUTM機能を持っていることが挙げられます。
どのような機能を持っているかをここで紹介していきます。
搭載機能
・IDS/IPS(不正侵入検知システム/不正侵入防止システム)
UTMを通過しようとする通信をチェックし、異常を検知した場合に通知するものをIDSといい、異常な通信をブロックするものをIPSといいます。
VR-Uシリーズでは、こちらの機能を搭載しており、異常な通信を検知した場合にはメールによる通知や、通信自体のブロックを行います。
・Webレピュテーション機能
UTMを通過するパケットを監視し、悪意のあるURLへのアクセスや通信を検知しアクセスを遮断します。
例えば、ウイルスやマルウェアのダウンロードを防いだり、ボットによる遠隔操作や情報の抜き取りを防いでくれます。
・Webフィルタリング機能
UTMを通過するパケットを監視し、通信先のURLが管理者が指定したカテゴリと一致する場合、その通信を遮断します。
例えば、社内からギャンブル関連のコンテンツの閲覧を制限したい場合は、該当コンテンツを指定することによりアクセスが行えないように対応が可能です。
上記の3機能についてわかりやすくまとまった図は下記の通りです。(引用元:VR-UシリーズUTMライセンス商品ページ)
なお、UTM有効時に想定されている利用パソコンの台数は、VR-U300Wの場合は30台、VR-U500Xの場合は80台です。
会社の規模に合わせて機種を選択することも可能です。
他社製品比較
BUFFALOが紹介している他社との比較に関しては下記の通りです。(2024年3月1日時点)
| VPNルータ | UTM専用機 | ||||
| BUFFALO | N社 | Y社 | F社 | ||
| VR-U500X | 製品A | 製品B1 | 製品B2 | 製品C | |
| 定価(税抜) | ¥59,800 | ¥89,000 | ¥83,000 | ¥160,000(1年バンドル) | ¥402,220(1年バンドル) |
| UTMライセンス価格 | ¥96,000 (5年) | ¥200,000 (5年) | ¥70,500 (5年) | ¥252,000 (4年) | ¥662,480 (4年) |
| 脅威防御機能 | |||||
| IDS(アノマリ型) | 〇 | 〇 | 〇 | 〇 | 〇 |
| アプリケーション制御 | 〇(500 app) | × | 〇(3,000 app) | 〇(10,000 app) | 〇(4,500 app) |
| IDS/IPS(シグネチャ型) | 〇 | 〇 | × | 〇 | 〇 |
| Webフィルタリング | 〇 | 〇 | × | 〇 | 〇 |
| アンチウイルス | △(Host) | △(Host) | × | 〇(Host+Data) | 〇(Host+Data) |
| アンチボット | △(Host) | △(Host) | × | 〇(Host+Data) | 〇(Host+Data) |
| アンチスパム | △(IP) | × | × | 〇(IP+Data) | 〇(IP+Data) |
| SSLインスペクション | × | × | × | 〇 | 〇 |
| サンドボックス | × | × | × | 〇 | 〇 |
| NICT連携 ※ | 〇 | × | × | × | × |
| VLAN毎の有効/無効 | 〇 | 〇 | 〇 | × | 〇 |
| 管理機能 | |||||
| インシデントログ 表示・通知 |
〇 | 〇 | △(Syslogのみ) | 〇 | 〇 |
| インシデントログ ダウンロード |
〇 | 〇 | × | 〇 | 〇 |
| ダッシュボード/グラフ表示 | 〇(基本項目) | 〇(基本項目) | × | 〇(多項目) | 〇(多項目) |
| リモート設定 | △(ON・OFF/ライセンス更新) | △(ライセンス更新) | × | 〇(全機能) | 〇(全機能) |
| インシデントレポート出力 | 今後対応予定 | × | × | 〇(HTML/PDF) | 〇(PDF) |
※NICT連携とは:脅威情報の参照元として、日本国内のサイバーリスクに対応した脅威情報を提供するNICT(国立研究開発法人情報通信研究機構)からも提供を受けていることを指します。
VR-Uシリーズを利用した感想
ここでは、VR-Uシリーズを利用して感じた内容について、記載していきます。
良かった点
・値段が安い
VR-Uシリーズの利点として、値段が安い、というところは大きなポイントかと思います。
上で記載した表を基に、比較的性能の近い他社のUTM製品と比較すると、下記のような金額差があります。
| 本体価格(定価) | 5年間のUTMライセンス費用(定価) | |
| VR-U300W(BUFFALO) | 38,000円 | 96,000円 |
| VR-U500X(BUFFALO) | 59,800円 | 96,000円 |
| 製品A(A社UTM) | 89,000円 | 200,000円 |
・DDNS機能(BUFFALO公式提供)を無料で使用可能
VPN機能を利用する場合、グローバルIPアドレスが固定されている必要があります。ただ、固定IPはプロバイダのオプションで追加費用となるケースが大半のため、中小オフィスでは費用面から躊躇してしまうことも多いかと思います。そんな際に、DDNS機能を用いると固定IPのプランを利用せずにVPNを利用することが可能になります。
無料でDDNS機能を提供しているサービスもありますが、海外のサービスであったりすると信頼性に不安が残ることもあります。そのため、利用しているルータの製造元が自身で無料で提供してくれているのはありがたい部分かと思います。
・Macアドレスを指定してフィルタリングが可能
Macアドレスを指定して、UTMのフィルタリングを掛けることが可能なのは利点であると感じました。一部端末のみインターネット閲覧を制限したいといった場合に、特定のジャンルを指定してブロックを掛けることが可能なため、セキュリティ面での強化ができたり目的外での利用を抑制することができます。
・誤ブロックが確認されなかった
以前弊社で別製品のUTMの動作検証を行った際に、MicrosoftOfficeアップデートの通信をブロックしてしまったり、ウイルス対策ソフトのアップデートをブロックしてしまうという事例がありましたが、VR-Uシリーズでは同様の問題は確認されませんでした。
・スループットが低下しにくい
こちらの利点はセキュリティの強靭さとの引換にはなってしまいますが、VR-Uシリーズはファイルを個別にウイルスチェックするSSLインスペクションやサンドボックス機能を搭載していないため、スループットが低下しにくい構造になっています。セキュリティを重視しすぎると拠点全体の通信速度低下に繋がってしまうこともあるので、スループットが低下しにくい部分はありがたい点になります。
・キキNavi利用で保守性の向上
ルータの利用とは別に登録が必要ですが、キキNaviというBUFFALOが提供しているサービスを利用することで保守性の向上が見込めます。いくつかを例に挙げると、『ルータの設定情報をクラウドに保存する』、『ログ情報がクラウドに保存される』、『インシデント発生時にメールで通知する』、『遠隔で再起動操作をする』等の機能が利用可能です。ルータが故障した場合にも素早い復旧の助けとなるため、活用をしていきたいところです。
不満点・改善すると良い点
・設定変更の度に再起動してしまう
BUFFALO製の製品は同じ問題を抱えていますが、VR-Uシリーズも同様に設定を変更するたびに機器の再起動が掛かり、60秒程度から長ければ100秒程度の時間がが掛かることがあります。再起動している間はもちろんインターネット接続が切断されてしまうため、業務時間中に設定変更を行う場合は注意が必要です。ただ、全ての項目で再起動が掛かるわけでもないため、せめて再起動される項目の明示化がされるとありがたいと感じます。
・透過モード(トランスペアレントモード)での利用ができない
VR-UシリーズはUTM機能を搭載していますが、透過モード(トランスペアレントモード)での利用は行えません。透過モードというのは、ルータ機能を別のルータに任せ通過する通信のチェックのみ行う状態を指します。例えば、既に高性能のルータを利用している場合には、透過モードのUTMを利用したいといった場合があります。
ただ、メーカーに確認したところ、VR-Uシリーズはあくまでルータとしての使用を想定しているため透過モードの搭載は予定していないということでした。購入してから後悔しないように注意したい部分です。
・フィルターによるブロック画面がhttpとhttpsで異なる
ブラウザでフィルターによるブロックが機能した際に表示される画面について、httpの場合はUTMでフィルタリングが機能した旨の画面が表示されますが、httpsの場合はタイムアウトした際の画面と同一の内容が表示されるため、フィルタリングによるものなのかアクセスがタイムアウトしたのか判別が付かないものになっています。この部分についても、今後httpとhttpsで動作、表示内容が統一されると良いと期待しています。
http接続時フィルタリング画面
https接続時フィルタリング画面
・メールの送り元チェック機能(アンチスパム機能)を利用したい場合、ルータ配下にメールサーバを設置する必要がある
VR-UシリーズのUTM機能には、メールの送付元IPをブラックリストと照合して、合致した場合にメールを通さない機能があります。この機能を利用するにはメールサーバがルータの配下に存在している必要があります。送付元からのメールがメールサーバに到着する手前でルータを通過するのであれば通信を遮断することができますが、ルータ配下ではなく外部にメールサーバが存在している場合には通信を遮断できません。もし、メールに関するセキュリティを強化したい、といった理由でUTMを導入する場合にはメールサーバが社内にあるのか、社外にあるのか、事前に確認をしておきましょう。
・ファイル単位でのウイルスチェックが行われない
良い点に記載した『スループットが低下しにくい』とトレードオフとなる内容になりますが、VR-Uシリーズではファイル単位でのウイルスチェックは行われません。どこのメーカー製のUTMであってもUTM1台でセキュリティが完成するわけではなく、基本的にウイルス対策ソフトの導入が推奨されますが、VR-Uシリーズに関しては、より導入する必要性が高いといえるでしょう。
まとめ
今回紹介したVR-Uシリーズですが、今までUTMを導入したかったけれど値段の問題で導入できなかった、という方にとってはお手頃な商品かなと思います。
例えば、ウイルス対策ソフト自体とは別にもう一歩セキュリティを強化したい、といった場合であったり、社員が不要なサイトにアクセスしてしまうのを防ぎたい、といった場合にも利用できたりもするので、目的に応じて検討してみると良いのではないでしょうか。
また、UTM機能以外にもVPN機能も有しているため、拠点間のVPNを組んだり、テレワーク目的でのリモートアクセスVPN環境も構築できるのは良いポイントですね。
今回は、BUFFALO製品をご紹介させていただきましたが、今後もBUFFALO製品に限らず良さそうな製品がありましたら都度紹介をしていければと考えています。
弊社では、今回紹介したVR-Uシリーズはもちろん、他社のUTM製品についてもご相談を承っております。弊社問合せフォームよりお気軽にお問合せ下さい。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
