「UTMは本当に効果があるの？」と思ったときに確認すること

みなさん、こんにちは。

ITサポートSORAの関口剛史です。

お客様から「電話会社やシステム会社からUTM機器（統合脅威管理）を勧められて設置しているのだけど、これ本当に効果あるの？」と聞かれることが多々あります。

UTMを設置されているお客様のほとんどがこの質問をされます。

私は「今のままではUTMに効果はありません」とお答えしています。UTMをネットワーク上に置いただけでは、その効果を知る術がないからです。

電話会社や通信会社にしてもシステム会社にしてもUTMの提案は熱心ですが、実際にUTMを導入するとそのまま放置され、ラニングコストを払っているお客様がUTMに不信感を抱いてしまうのは当然のことです。

そこで「UTMは本当に効果があるの？」と思ったときに確認すること」についてブログを書きます。

UTM（統合脅威管理）とは

一昔前のセキュリティ対策としては、メールに添付されるのウイルス対策が主流でしたが、通信システムが常時接続・高速・高度化したことで、不正アクセスや情報漏洩などの様々な情報リスクが高まり、1台の機械で統合的にセキュリティ対策をするためにうまれたがUTMです。

UTMとはUnified Threat Managementの略で統合脅威管理のこと。UTM機器とは1台の機器で統合的にセキュリティ対策を行う機械のことです。

インターネットとプライベートネットワークの間にUTM機器設置することで、UTMすべての通信をチェックし、異常があれば通信を遮断する仕組みです。

UTM機器としては、企業向けに”FortiGate”・”Sophos”・”CheckPoin”が有名で、最近は家庭向けUTMとしてトレンドマイクロが製品を出しています。

UTMは統合脅威管理のことですが、具体的にどのような機能で、どんなセキュリティ対策をしているのでしょうか？、

UTM機器の一般セキュリティ機能について簡単に解説します。

ウイルス対策（アンチウイルス・スパム）

UTM機器はメールやWeb通信などに含まれるウイルスを検知します。

メール送受信をするための通信（SMTP・POP・IMAP）を監視し、メール通信にウイルスが含まれていた場合に通信を遮断し、社内外のパソコンがウイルスに感染することを防ぎます。

また、社内からインターネット上のホームページを見るためのWeb通信（http）にウイルスが含まれている場合も通信を遮断します。

ただ、コンピューターウイルスもコロナウイルスと一緒で、新型コンピューターウイルスのワクチン（定義ファイル）がUTMに反映されていないと新型ウイルスを見つけ遮断することはできません。よって、UTMのライセンスが切れ定義ファイルが更新されていない場合は効果を発揮しません。

最近の通信はほぼSSLで暗号化されているため、社内PCとUTMを正しく設定しないと、UTMは暗号通信を読み解くことができず、ウイルスをチェックすることができません。

このことから、UTMは完璧なものではなく、社内PCにもウイルス対策機能は必須となります。（Windows10は標準でウイルス対策機能が備わっています。）

ファイアウォール

ファイアウォールは、インターネットと社内ネットワーク間に設置され、社内からの正常な通信を通過し、社内外からの不正な通信をブロックします。

以前のファイヤーウォールは、通信ポートで通信の良し悪し判断をしていましたが、最近はWebアプリケーションレベルの不正通信（例：SQLインジェクションなど）を防ぐWAF（Web Application Firewall）が搭載されているUTMがあります。

UTMのファイヤーウォール機能を効果的に使うには、インターネットと社内ネットワークの間に置く必要があります。インターネットとの境にルーターが設置されていて、その下にブリッジモードでUTMを置くと、ファイヤーウォールの効果はあまりありません。

IPS/IDS

IPSとはIntrusion Prevention System、IDSとはIntrusion Detection Systemの略で、社内のネットワークで不審な通信を検知した場合に遮断する機能です。

例えば、パソコンがウイルス感染し通常とは異なる通信方法でウイルスの拡散を社内・社外に試みた場合に、IPS/IDSで検知し遮断します。

Webフィルタリング

Webフィルタリング機能は、社内ネットワークから業務上好ましくないWebサイトへのアクセスを遮断する機能です。子供向けの安心フィルタリングと同じ機能です。

ただ、何が業務上好ましくて、何が好ましくないのか、その会社毎に異なるものであり、その定義（ポリシー）を正しく設定しないと、業務で見たいホームページが見られないのはよくあるお話です。

VPN（VirtualPrivateNetwork）・SSL-VPN

これまで紹介した機能は、不審な通信を遮断する機能が主でしたが、VPNとSSL-VPNは、インターネットから社内のネットワークに安全な通信をするための機能です。

例えば、社外（インターネット）から社内向けのWebサーバや共有フォルダに安全にアクセスしたいときにVPNやSSL-VPN機能を使います。

VPNとSSL-VPNを効果的に使うには、インターネットと社内ネットワークの間に置く必要があります。

UTMは本当に効果があるの？

上記でご紹介したように、UTMには様々な機能が搭載されています。

UTMを効果的に使うためには、UTMの機能を理解し、UTMと社内PCを正しく設置・設定し、UTMの各機能が効果を発しているのかをUTMのログを定期的に確認する必要があります。

例えば、UTMが1カ月で1000件のウイルスや不正通信を遮断していれば「UTMに効果がある」と言え、1件も検知していなければ「UTMは効果がない」と言えます。

そして、「UTMに本当に効果がありますか？」と聞くお客様は、１００％UTMの機能やログの確認方法を業者から教わっていません。

UTMの設置場所もルータの配下のブリッジモードがほどんでUTMに機能があったとしてもファイヤーウォールやVPN機能が使えないようになっています。（ブリッジモードで設置した方が設置・設定が楽だから）

残念ながら、セキュリティインシデントが起きたときに「UTMを置いてました」と言える程度のものがほんとで、UTMのログすら見られないものがほとんどではないでしょうか。

UTMを効果的に使うために

UTMは定義ファイル（シグネチャー）を常に更新する必要があるため、イニシャルコストの他に毎年のラニングコストがかかります。

せっかくコストをかけてUTMを設置しているのだから、費用対効果の点でもUTMの効果を実感したいもの。

まず、UTMを効果的に使う1歩として、業者に「UTMのレポートを出してください」と依頼してみてはいかがでしょうか？

まともの業者であれば、UTMの毎月のレポートを提出するか、レポートの見方を教えてくれると思います。

もし、レポートの提出ができないようであれば、そのUTMの機能的な効果がわからず、費用対効果も得られないため、契約更新のタイミングで検討が必要となります。（多くのUTMでは2年～5年の長期契約になっているようですが・・・）

どんな機器でも、明確な目的を持ち、その目的にあった動きをしたかどうかで、はじめて効果がわかるものです。

UTMの目的は統合脅威管理です。管理ができないログが見えないUTM機器はUTMとは言えないのです。

まとめ

UTMを設置されているお客様に詳しいお話を聞くと営業から「企業のセキュリティ対策としてUTMを設置は必要です！」と強く提案されるようです。

確かに企業のセキュリティー対策としてUTMがあった方がいいです。

しかし、実際にセキュリティー事故が起きたときに求められるのはファイヤーウォールやUTMの通信記録（ログ）です。そういうときに、UTMを設置した業者は通信記録を出すことができるのでしょうか？

繰り返しになりますが、どんな機器でも、明確な目的を持ち、その目的にあった動きをしたかどうかで効果がわかるものです。

UTMの目的は統合脅威管理です。管理ができないログが見えないUTM機器はUTMでもなんでもありません。

そういうことを考えもせず「企業のセキュリティ対策としてUTMを設置は必要です！」という脅しの提案をするから、導入したお客様は「UTMは効果があるのか？」と不信感を抱いてしまいます。不安を煽ってIT機器を導入させる営業を見直さないと、IT業界全体の不信感につながります。

もし、これからUTMの提案を受けた際は「毎月のログの提出」を営業に求めてください。それだけで、その業者が付き合えるかどうかがわかりますから。

ここまでお読みいただき、ありがとうございました。

関連記事

 

今回ご紹介した機器