UTM (Unified Threat Management)は「統合脅威管理」を意味し、さまざまな手段で総合的にインターネットの安全対策をすることを言います。
近年ではインターネット上にある企業の機密情報や顧客の個人情報をサイバー攻撃から守ることは非常に難しくなってきています。
外部からの侵入を防ぐファイアウォールやアンチウイルスソフトが開発されても、直ぐにまたハッカーに次々と破られて行きます。
本記事では、企業のセキュリティ対策として注目されているUTMについて、どのような管理システムなのか、導入のメリット・デメリットについてご紹介します。
このページの目次
近年、インターネット上にある企業の機密情報や顧客の個人情報をサイバー攻撃から守ることは非常に難しくなってきています。
外部からの侵入を防ぐファイアウォールやアンチウイルスソフトが開発されても、直ぐにまたハッカーに次々と破られて行きます。
セキュリティ対策で、UTMという言葉を耳にするようになりましたが、その機能をもっと詳しく知りたいと思う人も多いのではないでしょうか。
まず、今、企業のセキュリティ対策として注目されているUTMとは、どのような管理システムなのかみてみましょう。
UTM (Unified Threat Management)は「統合脅威管理」を意味し、さまざまな手段で総合的にインターネットの安全対策をすることを言います。
普段から使用しているパソコンや携帯のネットワークは、常に外部から攻撃される「脅威(Threat)」にさらされています。
ネットワーク攻撃や不正アクセスに個別に対処するのではなく、防御機能を「統合(Unified)」することで、効率的に「管理」することができます。
インターネットとLAN(Local Area Network)が接続するゲートウェイ(出入り口)に、複数のセキュリティ機能を統合したUTMを設置します。
ウィルスの侵入やサイバー攻撃などの外部から脅威に対応するだけでなく、組織内部の情報漏洩や有害サイトへのアクセスも制御します。
企業では、セキュリティ対策の必要性を認識しつつも、実行するには費用面で大きな負担があります。
・多種類の攻撃に対して、個々にソフトウェアを揃えるコスト
・それらのソフトの操作方法を学び、運用してゆく労力
・随時バージョンを更新してゆく手間と時間
・新たな脅威を調べる情報収集力
・専任の管理者を雇って運用する人件費
企業は情報漏洩で顧客を失うリスクを認識しながらも、上記の理由でなかなか万全のセキュリティー対策を実施することができていません。
UTMは、ネットワークをワームやウイルスなどの侵入から守り、情報を安全に管理するシステムです。
現在、ファイアウォール・IDS/IPS・アンチウィルス・アンチスパム・Webフィルタリングなどの様々なセキュリティ対策ソフトがあります。
これらのソフトを複数導入し、それぞれの機能を常に最新バージョンに更新することは、手間とコストがかかります。
UTMで機能をパッケージにまとめることで、管理しやすくなり、運用費を抑え、中小企業でも導入しやすくなりました。
ファイアウォールで外部からの攻撃を防御し、不正アクセスをIPS/IDSで防ぎ、ウイルスメールをアンチウイルス・アンチスパムで回避します。
ファイアウォールは、会社のネットワークを、外部から不正なアクセスから守る役割を果たします。
送信されてきたデータ群(パケット)の情報から、受信の許可/拒否を判断し、不正とみなした場合は管理者に通報して遮断します。
しかし、ファイアウォールは、設定したルールに従って動作するため、新種のサイバー攻撃に対応できません。
近年では、Winnyのようなファイル交換ソフトやOSの弱点をついた攻撃が急増しており、ファイアウォールだけでは防御できない状況です。
Winnyとは不特定多数のユーザがネット上でファイル共有するソフトで、悪用されると遠隔操作で、乗っ取られたりウィルス感染したりします。
ファイアウォールは、DoS攻撃に対応できますが、ウィルス・スパムメール、Webフィルタリングまで対処できません。
それでは、ネットワーク環境は、具体的にどのような攻撃や脅威にさらされているのでしょうか。
DoS攻撃とは、悪意ある第三者が、アプリやブラウザの弱点(セキュリティホール)を見つけて攻撃してくることを言います。
マルウェア(悪質なプログラムやコード)を送り込んで、ターゲットとした企業のWebサイトやサーバーをダウンさせます。
フィッシング(fishing)とは、有名企業を装った偽メールのURLをクリックさせ、偽のサイトに誘導して個人情報を盗むオンライン詐欺です。
ユーザ名・アカウントID・パスワード、クレジットカード番号・暗証番号などが搾取され、アカウントが乗っ取られて不当な請求書が送られます。
詐欺の対象となる被害者を、ネット上から探し出す手口は、釣りと似ているため「fishing」と言われています。
ファーミング(pharming)は、ウィルスを使ってDNSサーバの情報を書き換え、ユーザーを偽サイトに誘導します。
DNS(Domain Name System)サーバーは、ドメイン名からIPアドレスを割り出す「名前解決法」が使われ、これを悪用して偽サイトへ誘導します。
名前の由来は、偽サイトへ誘導する種をまき、訪問者から収穫することを農業(farming)になぞられています。
マルウェア(malware)とは、システムに侵入してくる、コンピュータウイルスやワームなどの悪質(malicious)なソフトウェアやコードです。
「コンピュータウイルス」は、自己増殖機能を持ち、プログラムやファイルに添付されて、コンピュータからコンピュータに感染を広げます。
しかし、一般に、.exeを実行してプログラムを開いたりメールを開けたりしなければ、感染して被害を引き起こすことはありません。
「ワーム」は単独で行動・増殖することができ、ファイルを利用して移動しながら、自身を複製して多数のワームを送信します。
そのPCのメールアドレスの全ての人に、複製を拡散して大量のメモリを消費することで、サーバやパソコンを機能できなくしてしまいます。
例えば、悪意のある第三者は、Blasterなどのワームを送り込むことで、システムを思い通りにリモート・コントロールすることができます。
「マルウェア」とは、悪意のあるソフトウェアの総称で、トロイの木馬・ダウンローダー・スパイウェア・アドウェアなども含まれます。
「トロイの木馬」は、無害のプログラムに見せかけて侵入し、何らかのきっかけで攻撃を開始し、個人情報を盗み出して破壊活動を行います。
無害なファイルになりすまし、自己増殖はしませんが、コンピュータのバックドアからウイルスをダウンロードしてシステムを攻撃します。
「ダウンローダー」は、悪意のある第三者が外部から侵入できるようなバックドアを作り、不正なソフトを招き入れるプログラムです。
ユーザーは知らないうちにウィルス感染し、ある日突然画面が異常動作を始めることで、サイバー攻撃を受けていることに気づきます。
「スパイウェア」は、ユーザーが閲覧したページの履歴、インストールしたプログラムの種類、実行した操作などの個人情報を盗み出します。
「アドウェア」とは、企業が無料で便利なソフトを提供し、その引き換えにポップアップ広告を表示して宣伝するプログラムの総称です。
勝手に、健康グッズなどの偏った商品広告を流し続けたり、悪意ある第三者に顧客情報を送信して不正課金が行われたりするケースがあります。
スパイウェアとアドウェアは、ネットサーフィンをしているうちに第三者に個人情報を奪われ、不正に操作される点で似通っています。
これらのマルウェアは、ネットワーク上のデータを盗んだり、システムを破壊したりするためにクライムウェア(crime ware)とも呼ばれています。
このようにネット上では、悪意のある第三者が様々な弱みにつけ込んで攻撃してくるため、企業のネットワークは常に脅威にさらされています。
UTMが搭載している機能の種類はさまざまですが、導入すべきセキュリティ機能には下記があります。
・ファイアウォール(有害通信からの防御)
・IPS(不正侵入防御システム)/IDS(不正侵入検知システム)
・アンチウィルス/アンチスパム(迷惑メールの除去)
・Web / URLフィルタリング (業務に関係ないサイトのアクセス制限)
・WAF(Web Application Firewall)
・サンドボックス(隔離領域による防御)
・VPN(仮想専用線)などの安全領域
それでは、個々のセキュリティー機能についてみてみましょう。
ファイアウォール(Firewall)は「防火壁」を意味し、通過させてはいけない有害な通信をブロックするシステムです。
IPアドレスやポート番号に基づいて、不正なTCP通信を阻止し、社内のLANや公開サーバーへの不正侵入を防ぐソフトやハードを言います。
ファイアウォールはDos攻撃などに対抗できますが、ウイルスやスパムメールに対抗できないため、IDS/IPSやWAFとの併用が必要です。
IDS(Intrusion Detection System)は「不正侵入検知システム」で、接続許可扱いの通信を監視し、異常を検知すればブロックします。
IDSの監視方法には、「ネットワーク型」と「ホスト型」があります。
「ネットワーク型」は、ネット上の通信を監視し、「ホスト型」は、サーバ上のデータ・ログの不正侵入やファイル改ざんを検知します。
また、IDSの検出方法には「不正検出」と「異常検出」があります。
「不正検出」は、登録されたシグネチャにマッチするかで不正を検出し、「異常検出」ではトラフィックやたコマンドで異常を検出します。
IPS(Intrusion Prevention System)は、「不正侵入防止システム」で、IDSより一歩進んで、迅速に異常を管理者へ通知してブロックします。
ファイアウォールは、入り口で不正アクセスを防止しますが、IDS/ IPSは、ネットワークに侵入してきた不正アクセスに対処します。
IDS/IPSは、ファイアウォールと併用して、企業のネットワークのセキュリティ機能を高めることができます。
アンチウィルスは、パソコンにインストールして使用する一般的なセキュリティソフトです。
ゲートウェイに設置することで、ネットワークの入り口でウイルスを検知して防御します。
アンチスパムは迷惑メールを排除するプログラムです。
ブラックリストに登録された、スパムメールを送るサーバーやIPを認識すると、ブロックしたりメールの表題にアラートを表示します。
悪意のある第三者による有害サイトには、スパイウェアが仕込まれていて、閲覧するだけでウイルスがダウンロードされ重要情報が盗まれます。
Webフィルタリングは、社員のネット閲覧を制限し、不正なWebサイトにアクセスして企業情報が漏えいすることを防ぎます。
近年、正当なアプリケーションに見せかけて、ウイルスやスパイウェアを仕込んでいる悪質なアプリが増えてきています。
そのため、許可されたアプリしか利用できないよう、使用に制限を加えるUTMがあります。
WAF(Web Application Firewall)は、Webサイトを、SQLインジェクションやXSSなどのサイバー攻撃から守ります。
SQL Injectionとは、SQLのプログラミング言語を用いたアプリケーションに、悪意のあるSQL文を挿入してくる攻撃してきます。
XSS(Cross Site Scripting:クロスサイトスクリプティング)では、Twitterなどのページ入力型アプリに罠のリンクを貼り、有害サイトに誘導します。
ユーザがリンクをクリックすると、別サイト(クロスサイト)にとび、悪意を持ったスクリプトが実行され、個人情報を盗まれたりします。
IPS/IDSでは、Webアプリまで検知できないため、WAFとの併用が必要になります。
サンドボックス(sandbox)は、外部からのプログラムを、いったん隔離された領域で実行し、ウイルス感染を未然に防ぐ機能です。
通常のディレクトリへのアクセスが制限されるため、プログラムにマルウェアが仕込まれていても、被害を最小限に抑えることができます。
VPN (virtual private network)では、安全を確保したプライベートな仮想領域で、データの送受信が行えます。
情報保護に、SSL-VPN(Secure Sockets Layer virtual private network)や、DLP(Data Loss / Leak Prevention)などの機能を使います。
SSL-VPNは、暗号化技術(SSL)を使って、仮想ネットワーク上(トンネリング)でデータを安全に送受信します。
DLP(Data Loss Prevention)は、外部への機密情報の流出を防ぐための、出口対策のセキュリティー機能です。
DLPは、自動的に機密情報を検知して送信や出力をブロックし、企業の重要情報の流失を防ぎます。
UTM導入には、下記のメリットがあります。
・機能が集約されているために、導入が容易
・ファイアウォールで防御できない攻撃に一括対応
・メンテナンスの手間とコストの低減
・専任の管理者を雇う人件費の削減
・自社で膨大なリスク分析をしなくてもよい
・組織内部からの機密情報の漏洩も防げる
UTMは、複数の機能を統合して設定・管理し、手間とコストを抑えながら、さまざまなサイバー攻撃からシステムを守るメリットがあります。
UTMの「統合脅威管理」では、いくつかの問題点もあることを認識しておきましょう。
・導入費は決して安くない
・高機能を多数搭載すると、通信速度が低下する
・ネットワークの入り口に設置するため不具合があると通信できなくなる
・パッケージであるため、個々にベストなソフトを選ぶことができない
・提供会社がトラブルに適切に対応してくれるか不安
などがあります。
個々にソフトを入れるより安くなりますが、それでも導入費は高いため、慎重に検討しなければなりません。
会社のシステムの規模や通信量から、必要な機能が適切に揃ったUTMを選ぶ必要があります。
多くの機能を搭載するとパフォーマンスが低下するため、自社のネットワークを守る最適な機能を見極めることが大切です。
1台の機械で全てのセキュリティーを補うため、セキュリティー機能が故障した場合のリスクが高くなります。
不具合が起きることを想定して、常にバックアップをとることが必要です。
また、UTMは専門業者から購入するほかリースすることができ、レンタルサーバーのオプションとして利用して費用を抑えることもできます。
UTMには、中小企業向けや、大規模なデータセンター向けなどの様々なタイプがあります。
どのような機能を選ぶかの判断では、
・会社のユーザー数や通信量
・会社の業務内容
・提供する企業のサポート体制
を基に、最適なUTMを導入しましょう。
導入時に提供会社に、どのくらいのレベルまで故障対応してもらえるか、サポート内容を確認する必要があります。
UTM機器の故障では、先出しセンドバック・後出しセンドバック・オンサイト保守などのサポートがあります。
センドバックとは、故障品を修理や交換をして送り返してくれるサービスで、利用者の送った故障品に対して、修理・交換するのを「後出しセンドバック」と言います。
いっぽう、「先出しセンドバック」では、メーカーは故障の連絡に対して直ぐに代替品を発送してくれるサポート体制で、一般に保守契約料は高くなります。
「オンサイト保守」では、販売会社の専任スタッフが24時間365日、トラブル時に修理・備品交換に応じてくれるサービスです。
トラブル時に会社機能が停止してしまわないように、保守体制についても事前に契約内容を確認することをお勧めします。
近年、サイバー攻撃は多様化し、企業が個々に対応することは、時間的・費用的に非常に難しくなっています。
また、情報漏洩などの事故が起きると会社の信頼が失墜し、企業存続の問題にも発展します。
そのため、会社のネットワークに、UTMのような統合的なセキュリティ対策を実施する企業が急増しています。
UTMの導入はシステム管理を集約し、管理工数を減らしてコスト削減をしながら、より高度なセキュリティ対策を実施するのが目的です。
UTMは、今後のビジネス環境に欠かせない、重要なセキュリティ対策の一つとなりつつあります。
2025年の崖とは?ITシステムが抱える問題と解決策を分かりやすく解説
オンデマンドとは?意味や用語解説、人気動画配信サービスも紹介!
電磁的方法とは?種類やメリット・デメリット・活用事例を詳しく解説
Stable Diffusionとは?始め方と呪文(Prompt)を徹底解説
RPAツールのシェアを徹底解説!人気ランキングTOP7・市場の今後は
中小企業がRPAを導入すべき3つの理由!得られる効果と参考事例
Optimize終了【代替ツール8選】と【乗り換え準備リスト】
RPA導入の6つの課題と解決策とは?【失敗しないオートメーション化】
データマスキングとは?必要な理由・活用シーン・機能を徹底解説!
データレプリケーションとは?目的とバックアップとの違いや2つの効果