UTMとは？UTMのメリット・デメリットと多層防御の重要性について

企業のネットワークは日々、サイバー攻撃の脅威にさらされています。ファイアウォールやWAFなどを導入すればセキュリティ対策の一定の効果が見込めますが、導入後はツールや機器の管理が新たな問題となります。UTMはそのような管理の問題もカバーできるセキュリティ対策です。
この記事ではUTMのメリット・デメリット、およびUTMのコンセプトでもある多層防御の重要性についてご紹介します。

UTM（Unified Threat Management：統合脅威管理）とは、コンピュータウイルスやハッキングなどサイバー攻撃の元となる「脅威」から、ネットワークを包括的に保護する仕組みです。UTMには複数のセキュリティ機能が集約されており、多層防御の一部を実現しています。
UTMには機能を集約した機器を設置する「アプライアンス型」と、クラウドサービスを利用する「クラウド型」があります。

UTMに集約されたセキュリティ機能

UTMには、主に下記のような機能が備わっています。

・ファイアウォール

ファイアウォールは、企業・組織内のネットワークと外部のインターネットの間に設置し、内部のインターネットや外部のインターネットからの通信を監視するシステムです。不正なパケットを遮断したり、許可したパケットだけを通過させたりする機能を有します。

・アンチウイルス

アンチウイルスは、コンピュータウイルスやマルウェアへの対策です。企業ネットワークの前段階であるゲートウェイ上で、ウイルスやマルウェアをブロックします。

・アンチスパム

アンチスパムは、迷惑メール（スパム）への対策です。メール受信時には、メールの送信元を確認。ブラックリストに登録しているサーバからのメールであると判明すれば、メールをブロックするなどの対処が自動で行われます。

・Webフィルタリング（URLフィルタリング）

Webフィルタリング（URLフィルタリング）は、アダルトサイトをはじめ職務上好ましくないサイトや、情報を盗取するなどの悪意ある有害なサイトを閲覧できないよう、閲覧制限をかける機能です。かつては職務上関係のないサイトを閲覧できないようにして業務効率化を図ることが目的の機能でしたが、今やセキュリティインシデントを防ぐ機能として用いられています。

・IDS/IPS

IDS/IPSは、ネットワークやサーバへの不正なアクセスを検知・防御するシステムです。
IDS（不正侵入検知システム）は、ネットワーク上のアクセスを監視し、不正なアクセスや不正な内部操作などを検知して管理者に通知するシステムです。
IPS（不正侵入防御システム）は、ファイアウォールでは検知できない不正なパケットも認識し、不正アクセスを遮断します。
IDSは検知と通知を行う、IPSは未知のアクセスも含めて遮断するという点で異なります。

UTMによってセキュリティ対策の一元管理が可能になる

ウイルスならアンチウイルス、不正アクセスならファイアウォールというように、脅威に対して個別に対策を導入すると、それらのソフトや機器に対する管理が必要です。しかしソフトウェアや機器ごとに問い合わせ先が違うことや契約の手間などから、情報システム管理者の負担や運用コストが増加します。
UTMであれば、セキュリティ対策の一元管理が可能になり、管理の手間やコストを軽減できます。

UTM導入に向いている企業は、たとえば下記が挙げられます。
・セキュリティ対策の専任担当がいない企業
・比較的小規模な企業
・顧客情報を多く扱う企業
・早急にセキュリティ対策を強化したい企業
特に情報システム部門の規模が小さい場合には、UTMのメリットが発揮されます。

UTM導入のメリットは、下記のとおりです。

導入が容易で手間がかからない

UTMはアプライアンス型の場合、UTMの機器を設置するだけで導入が可能です。機器にはすでに各種ソフトウェアが含まれているため、インストールの時間はかからず、専門知識も不要です。
またソフトウェアのアップデートも自動で行われるため、常に最新の状態に保つことができます。

管理・運用コストの削減が可能

UTMと個別のセキュリティ対策を比べると、UTMは導入や運用のコストが抑えられます。ひいては、情報システム部門の管理にかかる人的な負荷やコストも削減できるでしょう。

トラブル時は早急に対処ができる

セキュリティ対策が一元化していない場合、機器等に故障が発生した際には、どの部分に障害が発生したか調査する必要があります。修理が必要となった際にはセキュリティ対策ごとにベンダーに問い合わせる必要があり、復旧までには時間を要します。
UTMの場合には問い合わせ先がUTMのベンダーのみで済み、復旧作業もUTM機器自体を交換するだけです。トラブル時に早急な対処が可能となるのが、UTM導入のメリットのひとつです。

UTMはセキュリティ機能が集約している点がメリットではありますが、同時にデメリットにもなりえます。

拡張性が低い

UTMは、たとえばアンチウイルスはA社でファイアウォールはZ社を使うというように、一部のセキュリティ機能だけ強化したり追加したりできません。業務形態に合わせてセキュリティ機能をカスタマイズしたい場合には、UTMは向いていないといえます。

UTMがダウンまたは機能低下した際の影響が大きい

セキュリティ機能をUTMに集約しているため、UTM機器本体が故障した場合には、ネットワークが使えなくなり、情報システムすべてがダウンしてしまう可能性があります。

また複数の機能を集約していることから、社内ネットワークの性能と見合わないUTMを使用すると、システム全体の負荷が高くなり、スループットが低下する恐れもあります。

※スループット：ネットワーク機器が単位あたりに処理できるデータ量で、UTMのデータ処理能力の指標となるもの。

UTMのデメリットを解消するには、UTMだけではない多層防御が必要となります。

多層防御とは？

多層防御とは、システム内の複数の階層に対策を行い、サイバー攻撃からシステムを保護するというセキュリティ対策の考え方です。多層防御には下記のようなものが挙げられます。

・入口対策：IDS/IPSやWAFなどを用いてマルウェアがネットワークに侵入することを防ぐ。
・内部対策：ログ監視やファイルの暗号化、EDRなどでデータを保護しつつ内部の監視を行う。
・出口対策：プロキシサーバを用いて許可した通信のみインターネットへ接続するなど、万が一の情報漏洩を防ぐ。

UTMだけではセキュリティ対策が万全でない理由

UTMは多層防御の考え方を踏襲していますが、UTMだけではセキュリティ対策として万全とはいえません。というのも、UTMがダウンした場合にはネットワークがすべて利用不可となる、セキュリティ対策を個々に強化することはできない、といったデメリットがあるためです。またUTMはネットワークを経由する脅威に対して有効ですが、USBなどの記憶媒体で持ち込まれる脅威には対応できません。

UTMを用いながら多層防御をより強固にするために

このように、UTM単体でセキュリティ対策を行うには課題が残ります。より強固な多層防御を実践するためは、UTMに他の対策を組み合わせることが有効です。

UTMの導入に合わせて、セキュリティ対策チームを設置するのが、セキュリティ対策を強固にする方法のひとつです。サイバー攻撃の手法、ツールや機器の脆弱性は日々新しいパターンが発見されます。そのためセキュリティ対策としては、最新情報のチェックや改善点の検討など、UTM機器の設置だけではできない取り組みも必要です。

たとえば企業のシステムやネットワークを24時間・365日体制で監視する組織「SOC」を設置すれば、監視業務のほかに、レポートで脅威の検出や防御実績を評価するというような取り組みが可能となります。

SOCについて詳しくは下記をご参照ください。

参考コラム：セキュリティ対策チーム「SOC」とは？意味と役割、CSIRT・MDRとの違い

UTMに新たなサービスを加えたマルチベンダー構成であれば、さまざまな角度からセキュリティ対策の評価サイクルを検証できます。
しかし、実際にUTMなどを検討する際には、自社の環境にどういったリスクがあるのか、それはUTMで対応できるのか、他に優先度が高いものは無いのかを確認する必要があります。
アクセリアの「パケットキャプチャ型　セキュリティレポートサービス」では、現状のセキュリティリスクや対応すべき事、その優先度をレポートします。

実際にネットワークで流れている通信から、セキュリティリスクを洗い出すので現状の把握に最適です。
また、専門家によるセキュリティ対策の提言やセキュリティ商材のご紹介・調達もいたしますので、UTMなどセキュリティサービスの検討でお困りのことがございましたら、アクセリアにご相談ください。

▶パケットキャプチャ型セキュリティレポートサービス

UTMは多層防御を実現するものではありますが、サイバー攻撃が高度化し続けている昨今では、他の対策も組み合わせることが必要になっています。セキュリティ対策に関して何から手を付けたらよいのかわからない場合には、セキュリティリスクを洗い出すサービスの利用を検討してみるのがおすすめです。