左からウォッチガード・テクノロジー・ジャパンのシステムエンジニア部プリセールスエンジニアの猪股修氏、マーケティングマネージャの堀江徹氏

　モバイルデバイスの普及にともない、無線LANは有線LANを超える標準的なネットワーク基盤になり始めている。コストを理由に導入をためらっていた企業も、ネットワークを無線化せざるをえない時代になってきた。

　他方で、サイバー攻撃の被害が国内でも多発している状況をうけ、企業にとってセキュリティは最優先すべきIT課題となっている。

　無線LANとセキュリティの2つの重要性が高まっているわけだが、では次のような無線LANソリューションがあったらどうだろう？「無線LANを導入するだけで、有線LANも含めた社内ネットワーク全体のセキュリティ対策を実現できてしまう」──。

無線LANを導入するだけでサイバー攻撃対策ができる理由

　中堅・中小企業向けのリーズナブルなコストでエンタープライズレベルのセキュリティ対策を実現することで定評のあるウォッチガード・テクノロジー・ジャパンは、まさにそのような無線LANソリューションを提案する。

　単に無線LANが利用可能になるだけでなく、ネットワーク全体をサイバー攻撃から守ってくれる。無線LANと同時に、セキュリティ対策も低コストで導入できる。

　この優れたコストパフォーマンスの秘密は、無線LANコントローラにある。ウォッチガードの無線LANソリューションにおいて、無線LANアクセスポイント（以下、無線AP）の設定・監視をする無線LANコントローラ「Fireboxシリーズ」は、本来は統合脅威管理（UTM）アプライアンスでもあるのだ（図表1）。

図表1　ウォッチガードの無線LANソリューション概要

　「Fireboxは無線LANコントローラ機能のほかにもファイアウォール、不正侵入検知・防御、アプリケーション制御、ゲートウェイアンチウィルス、迷惑メール対策、Webフィルタリングなどの機能を搭載しているため、無線LANコントローラとして導入し、ソフトウェアライセンスを追加すれば、これらのセキュリティ対策機能を利用できるようになる」。そう語るのは、ウォッチガード・テクノロジー・ジャパンでマーケティングマネージャを務める堀江徹氏だ。

　Fireboxを社内システムに導入してしまえば、無線LANネットワークの構築と同時に悩ましいセキュリティ対策まで解決できてしまう。

UTM機能も管理画面で設定　SSIDやIPでポリシー適用

　それでは、同社の無線LANソリューションを詳細に見ていこう。

　Fireboxの管理画面上では、Fireboxでコントロールしている無線APの設定作業のほか、無線LAN全体の状態把握や監視が行える。

　無線AP自体のステータスだけでなく、その無線APにどのような無線LANクライアントが接続しているか、周囲の無線APが使っているチャネルは何か、不正なデバイスは存在しないかといったことも表やトポロジーマップで可視化できる。もし不審な無線APを発見したら、ネットワーク管理者にメールで通知したりすることも可能だ。

　セキュリティ対策機能については、「無線LANのSSID単位やクライアントのIPアドレス単位、認証機能を使用していればID単位でセキュリティーポリシーを適用できる」と、同社システムエンジニア部プリセールスエンジニアの猪股修氏は説明する。

　例えば、オフィスの無線LANでVLAN機能を利用して社員用とゲスト用のSSIDをタグVLANに関連付けすれば、ゲストは自由にインターネットへアクセス可能にする一方、社員に対してはWebフィルタリングで制限をかけるといった運用が行える（図表2）。

図表2　タグVLAN機能を利用した無線LANの構成イメージ

　小規模から中堅以上の規模までに対応できるのも特徴だ。ある大学では、HA構成にした2台の「WatchGuard Firebox Mシリーズ」と約40台の無線APを導入。およそ500名の学生と教職員が快適に無線LANが利用できる環境を実現した。

新製品は802.11acに対応　スティッキー問題も解消

　現在、ウォッチガードが日本で提供している無線APは2製品で、従来から発売している「AP200」と、2016年1月に発表された新製品「AP300」がある。

　AP300ではハードウェアのスペックが強化され、無線LAN規格は802.11ac wave2に対応、内蔵アンテナ数は6本（3×3）になった。また、ファームウェアもバージョンアップし、無線LANクライアントの接続性が向上する新機能がいくつも追加された。

　なかでも注目の機能は、「ファストハンドオーバー（Fast Handover）」と「クライアントリミット（Client Limit）」の2つだ。

　1つめのファストハンドオーバー機能は、いわゆる“スティッキー問題”を解決する。

　スティッキーとは、無線LANクライアントが無線APに接続すると、離れた場所へ移動してもクライアントはその無線APとの接続を引きずってしまう現象のこと。より電波が強い別の無線APがあっても接続をハンドオーバーしないため、データ送受信のパフォーマンスが低下してしまう。

　しかし、ファストハンドオーバー機能を利用すれば、無線APの電波強度を調整して電波が届く範囲を狭めることができ、クライアントが移動したら早い段階で別の無線APにハンドオーバーすることが可能になる。ユーザーは電波が強い無線APに接続できるようになり、パフォーマンスが向上する。

　2つめのクライアントリミットは、無線APに接続できる無線LANクライアントの上限を設定できる機能だ。

　1台の無線AP300に同時接続できる無線LANクライアントの数は無制限だ。しかし、制限をかけずに無線LANクライアントの接続を受け入れてしまうと、パフォーマンスの低下に陥り通信品質が悪化してしまう。

　そこでクライアントリミットで同時接続数の上限を50台程度に設定しておけば、それを超える数のクライアントはAP300に接続できず、パフォーマンスを維持した快適な通信環境を保つことが可能にある。

　今回追加された新機能は、ファームウェアで実装される。そのため、従来のAP200もファームウェアをアップグレードすればソフトウェアで実現する新機能を利用可能だ。

　充実した無線APの機能に加え、UTMまで搭載するウォッチガードの無線LANソリューション。セキュリティ対策を切り口に、その需要はますます高まりそうだ。