カテゴリー: コラム

2025年9月17日（米国時間）、WatchGuard社より 重大なセキュリティ脆弱性（CVE-2025-9242） に関するセキュリティアドバイザリが公開されました。
今回の問題は IKEv2 VPN 機能に影響を及ぼし、認証を受けていない攻撃者がリモートから任意コードを実行できる可能性 があるものです。CVSSスコアは「9.3（Critical）」とされ、迅速な対応が必要です。

脆弱性の概要

• 対象モデル
  T20/T25/T40/T45/T55/T70/T80/T85/M270/M290/M370/M390/M470/M570/M590/M670/M690/M4600/M4800/M5600/M5800
• 修正版ファームウェア
  Fireware v12.11.4 (build722644)
• 影響範囲
  IKEv2を利用したモバイルVPN・拠点間VPNにて、境界外書き込み（Out-of-Bounds Write）が発生する可能性

DataDefenseの対応

当社のバックアップお預かりサービス、UTMサブスクをご利用いただいているお客様については、当社が責任をもって順次リモート対応を実施いたします。お客様側での操作は不要です。

現時点では実際の攻撃被害は確認されていませんが、セキュリティリスクを最小化するため、速やかにファームウェア更新を進めます。

アップデートが難しい場合の回避策

やむを得ず即時アップデートができない場合には、WatchGuard社が提示する一時的なワークアラウンドを適用してください。

WatchGuard Advisory WGSA-2025-00015（公式サイト）

WatchGuardのリモートVPNには、

• IKEv2
• SSL
• L2TP
• IPSec

の4種類があり、主にIKEv2とSSLで設定させていただいています。
リモートVPNにはユーザーIDとパスワードが必要になりますので、管理者はFireboxにユーザーIDとパスワードの設定を追加する工程が必要になります。
WatchGuardの場合、ユーザーIDとパスワードはWatchGuardの内蔵データベースの中に登録する以外に外部のサーバーを利用する事が可能です。

外部サーバーにSingleID連携を

外部サーバー対応としては

• RADIUS
• LDAP
• ActiveDirectory
• SAML

の4種類があります。SingleIDは、クラウドRADIUSでの認証サーバー提供が可能となっており、WatchGuardとSingleIDを連携させることで、リモートVPNユーザーのユーザー管理はSingleIDの管理者ページで設定する事が可能となります。つまり、VPNユーザー作成のためだけに、WatchGuard Fireboxの管理者ページへログインする必要がなくなるのです。

WatchGuard+SingleIDで変わる運用

WatchGuard+SingleIDで管理者とリモートVPNのユーザーで運用が変わります。
SingleIDは、WiFi・Microsoft365・Google Workspace、その他のWeb関連システムとも連携できます。SingleIDのログイン情報や証明書を利用すると、リモートVPNだけでなく多様なシステムへのアクセス情報管理ができます。

管理者のメリットとしては、

• リモートVPNのユーザー作成の手間がなくなります
• パスワード管理をSingleIDへ移行する事で、パスワードにまつわる工程をSingleIDにまるなげすることができます

ユーザーのメリットとしては、

• VPNアクセスする時のIDとパスワードがSingleIDのログインID+パスワードになるので、VPN接続のためだけにIDとパスワードを覚える必要がなくなります
• パスワードを忘れた場合の問い合わせ先がSingleIDとなるため、管理者に問い合せせずとも自身のSingleIDのパスワードリセット機能を利用する事で対応ができます。

まとめ

弊社のバックアップお預かりサービスやWatchGuard Fireboxのサブスクはマネジメント付きで提供させていただいています。入退職時のリモートVPNユーザーの追加やトラブル発生時のユーザーの資格失効などについては自身で行う方が早いです。そこについては、SingleIDにまかせてしまうと言う運用も可能です。

また、ユーザーの利用についても、WiFi・Microsoft365やGoogle Workspaceと共通化すれば複数のパスワードを管理する負担が減ることでよりセキュアなパスワード（複雑でユニークなもの）を設定しやすくなり、セキュリティ意識が高まることが期待できます。

組織全体をよりセキュアなデジタル環境に改善するためにもWatchGuardサブスク＋SingleIDの連携を検討されてはいかがでしょうか。

SingleID（IDentity as a Service）

中小企業にとって、セキュリティ対策はますます重要になっています。
しかし、UTM導入には費用や手間がかかるイメージがあり、二の足を踏んでいる方も多いのではないでしょうか。
そこで今回は、UTMのリースではなく、サブスク（レンタル）という選択肢に焦点を当て、そのメリットを詳しく解説します。

UTM導入の現状と課題

サイバー攻撃は、年々増加、高度化・多様化しています。ランサムウェアも開発・運営を行う担当、攻撃を実行する担当、ランサムウェアを提供してその見返りを受ける担当と、分業化・役割分担されてきているそうです。
攻撃実行者は、技術的専門知識が無くても出来ると言う所から、攻撃実行者の裾野が広がり被害を拡大させているとのレポートがあります。

Web、メール、チャットやWebミーティングなど、現代のビジネスにおいてインターネットは絶対的に必要なツールです。アンチウイルスや侵入防御をつかさどるUTMを情報の出入り口に設置して、悪意ある情報が影響を及ぼさないようにするのは理にかなっています。

UTMは比較的高額な設備投資となるので、リース契約をされる事も多いと思われます。リースを組むとなると、リース会社に対して与信審査を実施したり、契約期間内は解約が出来ないなど制約が多く発生します。与信が通ったとしても、書類の記入が手間ですし、万が一記載を間違えると書き直しまで発生する場合があります。

UTMサブスク（レンタル）のメリット

DataDefenseでは、WatchGuard社のUTM「Firebox」をサブスク（レンタル）で提供しています。この場合のメリットとしては

• 与信審査が不要なため、書類手続きが簡略化できます
• 初期費用＋月額費用のシンプルな料金体系です
• 月額費用の中には、運用サポートも含んでいます
• いつでも解約出来ます
• 壊れた場合も、代替機を先出しセンドバックで提供します

と言う事が挙げられます。

まとめ

UTM導入は、リースよりもサブスク（レンタル）が与信審査なども不要・手軽でオススメです。まずお問い合わせください。

バックアップ「以外」の使い方

バックアップお預かりサービスは、「バックアップ」をとる「だけ」の物ではありません。NASの設置もあるので、「ファイル共有」としての利用も可能です。加えて、「離れた場所から会社のネットワークに安全に接続する」VPN（仮想プライベートネットワーク）機能を持つ「WatchGuard」を設置するため、社外からNASの中見を閲覧する事も出来るようになります。バックアップお預かりサービスと言いながら、普段使いとしても利便性が高まります。

VPNについて

VPN（Virtual Private Network）は、インターネット上に仮想的なプライベートネットワークを構築する技術です。主な利点をざっくり説明すると。

VPNの主な利点

1. セキュリティの向上
   • データの暗号化により、第三者による盗聴や情報漏洩を防止
   • 公共Wi-Fiなどの安全でないネットワークでも安全に通信可能
2. プライバシーの保護
   • 実際のIPアドレスを隠すことで、オンライン活動の追跡を困難に
   • インターネットサービスプロバイダ（ISP）からの監視を回避
3. コスト削減
   • 企業が遠隔地のオフィスを安全に接続可能
   • 専用線の代替として利用可能

VPNは個人ユーザーから企業まで幅広く利用されており、オンラインセキュリティとプライバシー保護の重要なツールとなっています。

VPN+NASでリモートワーク

VPNで自宅やシェアオフィス、カフェなどから社内にあるNASのデータが使うことが出来れば、それだけでお仕事できますよね。システム利用が必要な場合や、インターネットバンキングの様な特定端末しか使えないものは「もう一工夫」が必要になるのですが、エクセルやワード、PDFを見るだけなら問題ありません。

FAX機能付き複合機だと、FAXをPDFで受信することができます。そのFAXをNASにPDFで保存すれば、自宅からFAXの内容を確認することも可能となります。パソコンにFAXドライバを入れておけば、パソコンからFAX送信も出来るので、自宅に電話回線やFAXがなくても問題ありません。加えてクラウドPBXも利用するなら、固定電話もスマホなどで使える様になるので、事務所の場所を選ばなくなります。NASのデータは自動バックアップされます。万が一、NASが壊れても最悪、バックアップ時点まではデータがあるため、死角がありません。
「バックアップお預かりサービス」ご検討ください。

WatchGuardで組むモバイルVPN

INNOVERA PBX（クラウドPBX イノベラ）

バックアップをとる「目的」

「バックアップをとりたい」と言われた際に「目的」をお伺いするケースがあります。目的を整理すると、おおむね次のとおりになります。

• 誤って消してしまったデータを復元させたい
• 誤って修正してしまったので、○○日時点のデータに戻せるようにしたい
• 万が一、今の場所がなくなってしまった場合でもデータ復元できるようにしたい
• 万が一、今の場所がなくなってしまった場合でもデータ復元できるようにするとともに、○○日時点データにも戻せるようにしたい

バックアップの取り方

上記課題ですと、バックアップの取り方は大きく2つに収束されます。

• 最新データをバックアップする。過去分については上書きで構わない。
• 世代管理付きのバックアップする。過去分についてもデータが必要。

最新版のバックアップの場合、バックアップしたいデータ容量が100Gとすればバックアップする先の媒体も100Gあれば問題ありません。世代管理をする場合、仮に1週間前に戻すぐらいまでは想定されるという事であれば、100Gｘ7日分の容量が必要になります。（フルバックアップの場合）
世代管理を行う場合でも、バックアップ専門のソフトを使うともっと容量が少なくてすむ方法がありますが、そちらは別記事でご紹介します。

手動vs自動

誤って消してしまった場合に復元するだけでいい、かつ安く済ませたいと言うご要望の場合、USBメモリや外付けHDDに単純コピーするだけでもバックアップとして利用できます。いいんですが、手動で行っている分、気がついたらバックアップを取らなくなっていたと言う状態になっている事がほとんどです。忙しい時には後回しになっていつの間にか行わなくなって、バックアップから復元ができない。結果「消えたデータを復元する方法ない？」と聞かれる事がしばしばあります。
バックアップは自動的にとる方が良く、「一定の時間になったら一定の場所のデータを所定の場所にコピーする」と言う方が間違いがありません。この場合、有料のバックアップソフトを使わずとも、フリーのバックアップソフトなどでも設定できます。また、ソフトによっては世代管理ができるものもあります。

バックアップ自動化のすすめ

弊社のバックアップお預かりサービスは、ご希望をお伺いしながら、「必要なデータ」を「自動的」にバックアップするまで提供するサービスになっています。また、バックアップ保存場所も「遠隔地」ですので、万が一の場合にもご安心いただけるサービスになっています。バックアップに不安があるなら、ぜひお問い合わせください。

バックアップとRaidについて

エイリアスとは

WatchGuard UTMの設定の中に、「エイリアス」というものがあります。このエイリアスは2種類あって、メーカーで組み込んでいるもの、自分で設定するものがあります。設定する内容としては、ホスト、ネットワーク、またはインターフェイスのグループを示すショートカットになります。

組み込みエイリアスとは

メーカーであるWatchGuardが設定している内容で、編集不可能です。また、詳細内容についても確認ができるわけではないです。例えば標準で入っているのが、外部として構成されるインターフェース。Any-Externalと言う名前で入っています。信頼済みのインターフェースは、Any-Trustedと言う名前で入っていて、主にLANのメンバーとして利用しています。
この中に、「Microsoft365」というエイリアスが追加されました。

Microsoft365エイリアスについて

Microsoft365エイリアスの中見ですが、WatchGuard System Managerなどで見ても内容が見られるわけではありません。が、確認すると

• Exchange Online
• SharePoint Online and OneDrive for Business
• Skype for Business Online and Microsoft Teams
• Microsoft 365 Common and Office Online

こちらの内容が登録されているそうです。このエイリアスの中見については、メーカーで自動更新をしてくれるので、MSのサイトで情報収集する必要もありません。更新タイミングは随時で、ファームウェアのアップデートとリンクするわけでもないそうです。このエイリアスを利用する事で、Microsoft365関連の通信のみ、SD-WANを通すだったりUTM機能をオフにして、フィルタリングで通すなどのルールを作成するのに役立ちます。

他社事例

他社ではCheckPointにも同様の仕組みがあるそうです。CheckPointでは、「Smart Accel」と言う名称だそうですが、Microsoft UpdatesやGoogle Services、Amazon Primeなどもカテゴリしている著名サイトが多く設定されています。
WatchGuardは、今のところMicrosoft365のみで、それ以外のエイリアス作成も期待されるところです。

WatchGuard UTMのサイジング

WatchGuardで組むSD-WAN

Raidを組んでもバックアップは不要にはなりません

NASやサーバーの話をする時に、Raidについてお話させていただきます。その時、よくRaidがあったらバックアップがなくても大丈夫？と聞かれる事があります。その答えは、「大丈夫じゃない」になります。

Raidとは

Raid（Redundant Array of Independent Disks）は、複数のディスクを組み合わせて一つの論理的なディスクとして扱う技術です。複数のディスクにデータが分散して保存される事から、万が一単体のディスクが故障してもデータが保持され、結果としてデータ紛失する事がありません。これを冗長化された状態と表現しています。

バックアップとは

一方、バックアップはデータを別の媒体や場所にコピーして保存することを言います。例えば、ある時点でのデータをパソコン内に保存、外付けHDDやUSBメモリなどにコピーすれば、バックアップしたと言えます。

Raidがあってもバックアップが必要な理由

Raid構成を組んでいたとしても、データ取り出しができない場合があります。例えば、下記ケースが考えられます。

• 複数のディスクが同時に故障する場合
• RAIDコントローラやソフトウェアが故障する場合
• ウイルスやマルウェアによってデータが改ざんされる場合
• 人為的なミスや操作ミスによってデータが削除される場合
• 火災や水害などの自然災害によってデータが破壊される場合

弊社の「バックアップお預かりサービス」は、Raid構成で冗長性を担保し、自動的にバックアップをとる設定をしたNASを貸出、弊社クラウドサーバーにデータをお預かりするサービスです。Raidが何かよく分からない、バックアップをとるのが面倒な方はぜひご検討ください。

バックアップ自動化のすすめ

WatchGuard UTMのサイジング

WatchGuardに関わらず、UTMは導入時にサイジングを行います。サイジングと言う表現を使っていますが、適切な機種の選定と言う事になります。UTMのデータシートを見た時に、「推奨台数」が掲載されているケースもありますが、ここの数値が目安になります。

通信の実態

ただ、現在の通信環境は様々あります。例えば、PCとスマホで通信量も変わりますし、社内にファイルサーバーを置いているのか、OneDriveやGoogleDrive、Dropboxなどでファイル共有をしているのか。ZoomやTeamsでのWeb会議が多いなど、「同じ台数」だけども「通信量」については差が大きいので一概に推奨台数だけで判断もできないと言う環境になります。また、一般的にはUTMは一定期間は利用することが想定されますので、今は通信量が少ない事が見込まれるけども、将来的には多くなると言う時にスペック不足が出てくる可能性があります。

UTMの負荷軽減

一つの考え方として、「信頼できるサイトには、UTM機能を利用しない」と言う設定ができます。例えば、先にあげたOne Drive/Google Drive/Dropboxなどは一般的には第三者からのデータが入る事はなく、外部と共有データのやりとりがあったとしてもトレースできるので、UTMチェック不要にしても差し支えないと言う判断ができます。その場合、該当サイトにはパケットフィルタと言う処理を行う事で、UTM機能をバイパスさせ通信するので負荷軽減になります。

UTMの選択はサブスクで

負荷軽減は可能ですが、セキュリティリスクが残ります。ハイスペックなUTMを利用すれば、基本的にはカバーできますが価格があがります。将来的には使い方が変わるかもしれないとなると、なかなか選定が難しいことになります。
弊社で取り扱うWatchGuard UTMは、サブスク型でのご利用も可能です。初期費用が若干かかりますが、月額費用でご利用いただきますので、スマホのようなしばり期間がありません。スペックが不足してきたなどの事象があれば、上位モデルに変更することも可能です。もちろん、既存の設定についてはそのまま移行できますので、使い勝手もそのままです。逆に、スペックダウンもできますので、通信量が減ってきたので経費節減という事を行う事も可能です。ぜひ、サブスク型UTMをご検討ください。

UTMサブスク

WatchGuard製品の機種更新について

WatchGuardも新モデルに更新される事があります。いわゆる世代交代ですね。
どこかのタイミングで保守が切れるのですが、ルールがあります。今回はその説明をします。

EOL（End Of Life）とEOS（End Of Sales）について

サポート終了日（EOL）と販売終了日（EOS）の2種類の用語があります。全てのWatchGuard製品とサービスは、その期間が考慮されています。
製品EOSは最大でEOLの5年前とし、全てのEOLアナウンスは製品の販売終了の少なくとも60日前に公式にアナウンスされます。

EOLとEOSになった場合

WatchGuardのポリシーから引用します。

◆EOS EOSとなった時点で製品は購入することができません、ただしWatchGuardはサポートポリシーに準じてサポートは提供していきます。
◆EOL EOLとなった時点WatchGuardサポートも提供を終了します。製品がEOLに分類されると、新たな開発(バグフィックス)、修理、交換対応及びサポートを受けることはできません。 ホームページからのオンラインドキュメントのダウンロードは引き続き可能です。

基本的には、EOSを過ぎると入手できなくなります。EOLを過ぎるとUTMとしては最新のシグネチャを利用できなくなるという事になります。

WatchGuardは最新状態での利用をお勧めします

他社UTMと違い、WatchGuardの設計思想はセキュリティ機能に対して最適な技術を組み合わせ、独自OSであるFirewareに統合されています。そのため、時折モジュールがガラッと変わる事があります。そのため、EOL期間内であって、かつ可能な限り機能更新（ファームアップデート）を行う事が大事です。EOLを過ぎた商品の場合は、次世代のモノに入れ替える事をオススメします。
EOL期間内であっても、UTMライセンス期限が越えた場合、ファームウェアアップデートができなくなります。UTMライセンスも最新を追いかけられているか、そちらも一緒にご確認ください。