UTMとは
UTMとは、「Unified Threat Management」の略で、日本語ではそのまま「統合脅威管理」と訳されます。ファイヤーウォールやアンチウィルス・不正侵入検知防御などの複数の異なるセキュリティ機能を1つのハードウェアに統合し、集中的にネットワーク管理、つまり統合脅威管理を行うことをいいます。
昨今の情報セキュリティについて考えると、従来は大きな話題となっていたアンチウィルスソフトやファイアウォールといったセキュリティ対策は、サイバー攻撃者にとってさしたる脅威にはなっていません。サイバー攻撃の手口は年々高度化・巧妙化しており、セキュリティベンダーが更新する攻撃パターンファイルをすり抜けて、内部ネットワークに侵入したりすることは難しいことではなくなっているからです。
そのような中で次世代のセキュリティ対策として多くの企業に求められているのがUTMです。
サイバー攻撃によってまだ実質的に被害にあったことがない人や企業は、自分はサイバー攻撃を受けていない、攻撃の対象にはなっていないと考えがちです。しかしこの考えは危険です。例えば企業のホームページですが、Webサイトをインターネットに公開している以上は十中八九なにかしらのサイバー攻撃を受けていると言えます。
では、なぜサイバー攻撃を受けていながらも実質的な被害は受けていないのかというと、その攻撃が簡易的なものでアンチウィルスソフトやファイアウォールといった従来型のセキュリティ対策で防ぐことができているか、他の企業への踏み台にされているため実質的な被害が生じていないかのどちらかに分類されるからです。9割以上の企業は外部機関からの報告によってサイバー攻撃を受けていたことに気付いたとの調査もあります。
つまり、高度なセキュリティ対策を実施していたり、実質的な被害が生じない限りサイバー攻撃を受けていることすら気付かない企業が多いのです。
これらの攻撃に対抗するためにはファイアウォールのみならず、IDS/IPSやアンチウィルスソフト、アンチスパム、Webフィルタリングなどを駆使し、総合的なセキュリティ対策を施さないとなりません。しかし、複数の機能を導入・管理していくには手間もコストもかかります。
そこで、それらを集約したUTMの出番です。サイバー攻撃に対して様々な視点から攻撃を想定し、それに応じたセキュリティ対策を統合的に実施します。
UTMを構成する主なセキュリティシステム
【アンチウイルス】
アンチウィルスとは様々なタイプのコンピューターウイルスの感染を防止したり、感染後の被害を最小限に抑えたりするための対策のことです。アンチウィルスをインストールしていない端末はないというほど一般的なセキュリティ対策で、UTMにも基本的なセキュリティシステムとしてアンチウィルスが搭載されています。コンピューターウイルスに感染した場合、機密情報などが外部へ漏洩したり、情報が改ざん・喪失したりする恐れがあります。コンピューターウイルスの種類や感染経路は多様で、かつ次々に新しいものが発生しているため、アンチウィルスも様々な方法を継続的に行う必要があります。UTMに搭載されているアンチウィルスは、個人ユーザーが使用するようなアンチウィルスとは違い、端末ではなくネットワークに設置することができ、外部通信が端末に届く前にコンピューターウイルスの存在を察知したりできます。
【ファイアウォール】
ファイアウォールとは、元々防火壁を意味する言葉で、IT分野では、あらかじめ設定しておいたルールに従って通してはいけないデータを止める機能のことを指します。社内ネットワークと外部ネットワーク間に設置され、主に不正侵入等をブロックするためのセキュリティシステムです。ファイアウォールがあることでポートを統合的に管理でき、不審なアクセスをブロックすることができます。最近ではWebアプリケーションに対する不正侵入の検知・防御を行うWAF(Web
Application Firewall)が統合されているUTMもあります。
【IDS/IPS】
IDSとは、Intrusion Detection Systemの略称で、不正侵入検知システムとも呼ばれます。ネットワークに対して不正なアクセスがないかをリアルタイムでチェックし、疑わしい内容があれば管理者へ通知します。インターネットに公開するサービスでは、それに対する通信はファイアウォールでは接続許可の扱いとなるため、正常な通信と異常な通信が区別なくアクセスされてしまいます。そこで、その通信を監視してくれるのがIDSです。
IPSとはIntrusion Prevention Systemの略称で、不正侵入防止システムとも呼ばれます。IPSはIDSより一歩進んで、異常な通信があれば管理者に通知するだけでなくその通信をブロックするところまで作動します。したがって、管理者が異常に気付いてから対処するのと異なり、迅速な対処が可能となります。
どちらもファイアウォールと同じネットワークに設置するタイプのセキュリティシステムです。ただしファイアウォールと違う点は、社内ネットワークにおける不審な動きやパケットを検知し、それと同時に不正アクセスを遮断し、社内ネットワークを防御できることです。ファイアウォールが「不正アクセスを防止するセキュリティシステム」ならば、IDS/IPSは「不正アクセスが発生した後の対処をするセキュリティシステム」と言えます。
【アンチスパム】
アンチスパムとは無差別に送られてくる迷惑メールなどのスパムメールやフィッシングメールを防御する機能のことです。スパムメールは、元々は郵便物としてポストに入っていたものが電子化されて多く出回っています。具体的に次の3方法によりスパムメールを判断します。
・スパムメールが送られてくる送信元サーバーを登録し、ブロックします。
・差出人アドレスをデータベース化して処理します。通常のメールアドレスはホワイトリストとして受信しますが、スパムメールはブラック
リストに登録されます。
・メールのタイトルや本文の単語を見て、スパムメールによく使われるタイトルや文言かどうかを判断します。
最近では、フリーで利用できるメールサービスの増加とともにスパムメール被害が増えているため、セキュリティを高めるうえでアンチス
パム機能は必須となっています。
【Webフィルタリング】
Webフィルタリングは企業だけでなく、個人や学校など様々な場所で役立ちます。WebサイトのURLを判別し、内部ネットワークからアダルトサイトや薬物・犯罪に関するWebサイトなどのような、職務上または教育上閲覧することが不適切なインターネット上の有害サイトへのアクセスを制限する機能です。UTMが数万にも及ぶWebサイトのURL情報に基づいて危険なアクセスを遮断してくれるため、有害サイトの閲覧や業務や教育に関係のないサイトの閲覧を制限できます。Webフィルタリングには主に、情報漏洩対策・標的型攻撃対策・内部統制強化といった効果があり、フィルタリングの種類も3つに分けられます。
・ブラックリスト方式
ブロックするWebサイトをあらかじめリスト化しておき、該当するWebサイトをブロックする方式です。閲覧させたくないWebサイトが限
定されている場合は有効的な方式ですが、Webサイトの量は膨大なため、すべての閲覧させたくないWebサイトを定義することはほぼ不可
能です。インターネット上では毎日新しいWebサイトが作られており、その都度管理者が調べて継続的に登録していくにはとても手間がか
かるため限定的に使用されることが多い方式です。
・ホワイトリスト方式
こちらはブラックリスト方式とは逆で、閲覧を許可するWebサイトをあらかじめリスト化しておき、該当するWebサイト以外をブロックす
る方式です。ホワイトリストに登録されたサイト以外の閲覧は一切できないため非常に強力ですが、インターネットを通じて様々な情報を
得られる現在では、業務上または教育上必要となる情報の取得まで限定されてしまう可能性があります。ブラックリスト方式と同様に、汎
用的な利用には手間がかかるため限定的に使用されることが多いです。
・カテゴリフィルタリング方式
一般的に使用される方式です。Webフィルタリングサービスを提供するソフトウェア会社によって、インターネット上のWebサイトをカテ
ゴライズされたデータベースが用意されており、管理者はカテゴリごとに閲覧の許可・不許可を設定します。例えば、Webサイトごとに
「アダルト」「暴力」「ニュース」などのカテゴリに分けられており、「アダルト」「暴力」は閲覧不可、「ニュース」は閲覧可能といっ
た形で指定できます。
このカテゴリはWebフィルタリングサービスを提供するソフトウェア会社によって異なるため、どのようなサイトがどのようなカテゴリに
分けられているのかをしっかりと確認する必要があります。管理者が継続的なサイトの登録を行う手間がないメリットはありますが、デー
タベースの精度が悪いと無害なサイトをブロックしてしまったり、有害なサイトがブロックできていなかったということもあります。