ネットワークコラム
TOP > ネットワークコラム > ネットワーク・セキュリティをおまかせできるUTMとは?-多拠点クラウド活用の頼れる見張り番
2018.05

ネットワーク・セキュリティをおまかせできるUTMとは?-多拠点クラウド活用の頼れる見張り番

ITセキュリティへの脅威は時を追うごとに深刻化しています。2017年には「ランサムウェアWannaCryが全世界で猛威」、「ビジネスメール詐欺が日本でも本格化」、「仮想通貨を狙った攻撃が発生」など、セキュリティ・インシデントの話題が多くのビジネスニュースをにぎわせたことをご記憶の方も多いことでしょう。

01単機能ユニットの積み上げでは複雑化する脅威を防ぎきれない

ITセキュリティへの脅威は時を追うごとに深刻化しています。2017年には「ランサムウェアWannaCryが全世界で猛威」、「ビジネスメール詐欺が日本でも本格化」、「仮想通貨を狙った攻撃が発生」など、セキュリティ・インシデントの話題が多くのビジネスニュースをにぎわせたことをご記憶の方も多いことでしょう。

近年、サイバー犯罪は組織的な闇ビジネス化が進んでおり、攻撃ツールの開発/攻撃の実施/資金回収など複数の専門家が分担して攻撃を行う体制が作られ、その攻撃手法もより高度に洗練されたものになりつつあります。その結果たとえば「標的型攻撃」と呼ばれる、長期に渡って複数の手法を組み合わせて特定組織への侵入を行う攻撃、「ゼロデイアタック」と呼ばれる、ソフトウェアの脆弱性発見後直ちに行われる攻撃などが拡大しています。

一方、ITセキュリティを守るためのツールとしてはFW(ファイアウォール)、IDS/IPS、WAF、アンチウィルスなどが知られていますが、これらはいずれも特定の攻撃手法に対する防御を行うものであり、複数の手法を組み合わせて行われる、複雑化した現代の脅威への対抗は難しくなりつつあるのが現実です。

02ネットワーク・セキュリティの総合見張り番、UTMを活用しよう

一般的に、社内LANもしくは公開Webサーバーをインターネットに接続する時に必要なFW、IDS/IPS、WAFなどのセキュリティ機能はこれまでそれぞれ独立した機器として、LANとインターネットの接点に設置されるのが通例でした。しかし、違うベンダーのいくつもの機器をバラバラに導入すると設置スペースも必要ですし故障時のバックアップも個々に用意しなければならず、運用に手間がかかってしまいます。

そこで近年充実しつつあるのがUTM、統合脅威管理(Unified Threat Management)ツールと呼ばれるシステムです。UTMはFW、IDS/IPS、アンチウィルス/スパイウェアなどさまざまなセキュリティ機能を一括して提供できる製品であり、手間をかけずにセキュリティを強化できることから普及が進んでいます。特に専任のセキュリティ担当者がいない中小企業には多くのメリットがあります。

03クラウドファースト時代にはUTMもクラウドで

実際にUTMを導入するには利用環境に応じて適切な製品を選択しなければなりません。たとえば複数の営業拠点を本社に接続するためにVPNサービスを利用している場合、VPNサービスにオプションでUTM機能を付与する「クラウドUTM」を使えることがあります。クラウドUTMならば各拠点には新たな機器を設置する必要がなく、設定変更が不要なため簡単に導入することができます。一方、一部の拠点でのみVPNとは別にインターネット接続を併用したいというような場合には物理アプライアンス型のUTM機器導入も選択肢となります。また、パブリックあるいはプライベート・クラウド上のサーバーとインターネットの間にUTMを置いてセキュリティを高めたい場合は、クラウドサービスが提供している仮想UTMを利用するのが一般的です。

現在はクラウドファーストの時代でもあり、これまでは物理機器が必要だった機能の多くがクラウドに置き換えられています。UTMもクラウド型のほうが物理機器に比べて運用保守・故障対応・性能増強・費用等の面で有利な場合が多く、多拠点間を柔軟に結んでクラウド活用を図るならVPN+型UTMの利用が最も有力な方法と言えます。ただし実際のトラフィック量、スループットの要求水準、使用拠点数などは会社ごとに千差万別ですし、個別のニーズに応じて必要な機能と性能、クラウド型のメリットとデメリットをよく考えて導入しなければなりません。

04手軽にUTMを導入しつつ安全性を高めていくためのポイントは?

UTMは複数のセキュリティ機能を統合した製品ですが、実際にどの機能をどの水準で持っているかは製品ごとに差があります。UTMに含まれる主な機能としては、FW、IDS/IPS、アンチウィルス/スパイウェアの他にWEBフィルタリング、WAF、VPN、スパム対策、サンドボックスなどがあり、これらが要件を満たしているかどうかについてはユーザーの各拠点のIT利用状況を踏まえて判断しなければなりません。

また、標的型攻撃のように長期間にわたる攻撃の増加を踏まえて、近年、SIEMと呼ばれる体制が重視されています。これはUTMを含むセキュリティ機器と、PCやサーバーのソフトウェアが出力するイベント(ログ)情報を一元管理して分析を行い、サイバー攻撃の兆候やマルウェアの活動痕跡を捉えて、必要な対応を取れるようにするものです。セキュリティ機器の導入も重要ではありますが、最終的にカギを握るのは専門家の知見です。日々変化しつづける「脅威」を早期発見し対応できるようにするためには、セキュリティ専門家のコンサルティング/支援を継続的に受けられる体制を確保しておくことが望まれます。