統合脅威管理と訳されるUTMは、1つの製品で総合的なセキュリティ対策が可能だ。巧妙化するサイバー攻撃にも多層的な防御・検知・対処の仕組みで対抗できる。この記事では、近年広がるゼロトラストの考え方を踏まえた、UTMの機能や特長、導入効果をはじめ、運用時に注意するべきポイントについて解説する。
総合的なサイバー攻撃対策としてのUTM
UTM(Unified Threat Management)は「統合脅威管理」と訳されるセキュリティ製品だ。その名称からも想像できるように、1つの製品で総合的な対策が可能な点がメリットとされる。具体的には、マルウェア対策や不正侵入防御、VPNといった機能が含まれ、複数のセキュリティ機能を一元的に提供する。
UTMはネットワークを出入りする通信を監視できるよう、企業・組織のネットワークにおけるゲートウェイに設置される。1つの製品であるため、個別にセキュリティ製品を導入する場合に比べ、管理に要するコストや手間を軽減できるのがメリットだ。
UTMに注目が集まった背景には、巧妙化・凶悪化の一途をたどるサイバー攻撃の進化がある。ネットワーク監視を行うにも、従来のファイアウォールだけでは限界がある。そのため、より広範囲に監視が行えるUTMを利用するメリットが高まってきていた。また、中小企業の多くは予算や人員が限られることもあって、1つの製品でセキュリティを強化できる点も評価されている。
UTMに含まれる主な機能
一般的なUTM製品では、以下のような機能が含まれている。
1)ファイアウォール
外部からのアクセスがあった際に、送られてくるデータに含まれる送信元アドレスや送信先アドレス、あるいはポート番号などを検証し、不正なアクセスを遮断する。
2)ウイルス対策
ネットワーク上を流れるファイルを監視し、既知のウイルスとパターンが一致するものを検出する。また、ウイルスへの感染が見られた場合は駆除する。
3)スパムメール対策
外部から送られてくるメールのうち、迷惑メールやフィッシングメールの疑いがあるものを検出し、警告を発する。
4)IDS/IPS
IDS(Intrusion Detection System:不正侵入検知システム)、ならびにIPS(Intrusion Prevention System:不正侵入防止システム)は、大量のリクエストやデータを送り付けるDDoS攻撃のような不正アクセスを検知・遮断する。既知のパターンを検出するものと、不審な動きを検出するものがあり、ファイアウォールだけでは防げない攻撃にも対応が可能だ。
5)Webフィルタリング
社内のユーザーが悪意のあるサイトにアクセスしないよう、事前に登録したルールに基づき、Webサイトの閲覧を制限する。
6)VPN
UTMの中にはVPN(Virtual Private Network)機能を持つものがあり、社外からアクセスした場合でも、社内と同じように安全にネットワークに接続できるよう、通信を保護する。
UTMは、その提供形態によって「アプライアンス型」と「クラウド型」の2種類に分けられる。アプライアンス型はセキュリティ機能を1台に統合した機器をゲートウェイに設置する仕組みだ。UTMの保護対象とする拠点が複数ある場合、拠点ごとに機器を設置することになる。一方、クラウド型では物理的に機器を設置することなくUTMの機能が利用できる。機器の更新などは提供事業者が行うため、管理に要する工数が削減できる。
デジタル活用の興隆で生じたゼロトラストという考え
UTMは「多層防御」を容易に実現できるソリューションとして注目を集めてきた。多層防御とは、複数のセキュリティ対策を多層的に講じて、被害の最小化を目指す考え方だ。巧妙化するサイバー攻撃は単一のセキュリティ対策で完全に防御するのは難しいという前提に立ち、適切なタイミングで検知・対処していくことを目的とする。
多層防御を構成する要素として、外部からの攻撃を防御する入口対策と、内部への侵入を許した場合に情報の流出を防ぐ出口対策が含まれる。UTMでは主に、入口対策としてウイルス対策やスパムメール対策といった機能が提供されている。加えて、出口対策としてマルウェアによる不正通信の監視などを行い、情報漏えいのリスクを軽減する。
実現の困難な完全防御よりも検知・対処を重視する傾向が強まり、近年は「ゼロトラスト」の考え方に注目が集まっている。ゼロトラストとは、企業活動で生じる通信全般について、安易に信頼することなく、常に検証・監視を欠かさず、安全性を確保するよう試みる考えだ。多様化した通信経路・情報資産を保護するため、社内外を問わず、あらゆる通信の監視を必要とする。
ゼロトラストが求められているのは、サイバー攻撃の巧妙化に加え、デジタル技術の普及によって複雑さを増したIT環境があるからだ。例えば、クラウド型サービスの利用が増加したため、業務関連の情報を社内外のストレージに保存・共有する機会が増えている。また、コロナ禍によってテレワークが急速に普及し、社外の端末から社内システムへ接続するケースも多くなった。
大きな環境の変化もあり、従来のようにファイアウォールで社内ネットワークを保護するだけでは、十分な対策とは言えなくなってきている。IT環境の変化に応じて、継続的にセキュリティ対策をアップデートさせていかなければならないのだ。
ゼロトラストを前提としたセキュリティ対策の実現には、前述のような多層防御の観点で総合的に対策を講じる必要がある。新たなニーズに対応するよう、XDRやEDR(Endpoint Detection and Response)やNGEPP(Next Generation Endpoint Protection Platform)といった、いわゆる次世代型と呼ばれるソリューションも登場してきた。ゼロトラストの時流に乗り、これらの製品を導入する企業も増えてきている。
UTMのメリットを最大限に引き出すための選択肢
UTMを導入すれば、その多様な機能から一定の効果が得られるものの、運用体制が十分でなければ、その効果は限定的にならざるを得ない。通信を監視し、インシデントを検知した際には速やかな対応が求められるからだ。
例えば、標的型攻撃を検知するには、UTMのログを監視し、その兆候を察知しなければならない。つまり、UTMを導入した際には、ログ監視やインシデント分析などを担当するセキュリティ人材も必要となる。
また、UTMから出力されるレポートを適切なタイミングで分析できなければ、被害を未然に防ぐのは難しい。UTMに含まれる多彩な機能を使いこなせなければ、せっかくの投資も無駄になる。UTMのメリットを最大限に引き出すには、それを使いこなす人材の確保が前提となるのだ。
しかし、日本国内では慢性的なセキュリティ人材不足に陥っている。特に、中小企業では専任のセキュリティ人材を採用・育成するのは現実的ではない。そのような、セキュリティ人材の確保に課題を抱える企業には、運用をアウトソーシングする選択肢もある。例えば、マネージドUTM、あるいはSOC(Security Operation Center)と呼ばれるサービスでは、UTMのアラートやログを監視・分析し、必要に応じて担当者に通知が送られる。監視ポリシーの設定やソフトウェアの更新などのサービスを含むものも多く、運用負荷の軽減に寄与する。
入口対策・出口対策を含めた総合的なセキュリティ製品であるUTMは、企業にとって大きなメリットがあるように見える。また、UTMが備えるVPNなどの機能は、テレワークを導入した中小企業においては導入メリットとしても感じやすいものだろう。しかし、先述のとおり、充実した機能を持つUTMも、適切に運用されなければ、宝の持ち腐れになりかねない。運用のアウトソーシングという選択肢も視野に入れ、運用管理のコストを最適化しながらセキュリティ対策を講じてほしい。
