ひとり社内SEと情シスを応援します

UTMは必要無い

UTMというセキュリティ機器がある。統合脅威管理(Unified Threat Management)といって、1台でセキュリティの脅威をまるっと管理する機器である。

しかし結論からいうとUTMは必要ない。ここではその理由について書いていく。

UTMを導入してもウイルスに感染する

UTMの多くはルータとして機能し、そこに流れるデータをチェックして問題があれば対処する。端末にソフトをインストールしなくても良いので設置は簡単なのだが、ここがネックになってくる。UTMとしては流れるデータでしか物事が判断できないので、PCの中で起こっていることが全くわからない。ウイルスやマルウェアに感染しようが、知ったことではないのだ。言い換えるとUTMが無くてもPC側の対策が万全であれば問題は発生しないといえる。
UTMメーカー側はそのあたりの事情を知ってか、UTMのブランドが入ったウイルス対策ソフトを販売してたりする。それじゃ本体いらないじゃんと突っ込みたくなるのだが。結局UTMだけでは対策できないということだ。

UTMを導入しても情報漏えいする

これも同じ理由で、PCにUSBメモリを差し込んでデータを持ち出ししたとしても、それはPC上の出来事なのでUTM側は検知できない。対策するには全社で使用禁止のルールを掲げたうえで、法人向けのウイルス対策ソフトや、PC操作を監視するソフトを導入した方がよっぽど効果的である。

UTMを導入してもDDoS攻撃は防げない

UTMを導入したとしても、公開サーバに対するDDoS攻撃は防げない。正確にはDDoS攻撃を100%防げる製品は世の中に存在しないため、対策のしようがない。

大企業のウェブサイトがDDoS攻撃をくらってダウンしたというニュースが紹介されることがある。おそらくUTMよりもっと高額な設備が入ってるのに?と思うのだが、たまたまアクセスが急増するのと、DDoS攻撃をくらうのは、サーバからしてみるとアクセスが多いと言う点では違いがなく、悪意のあるアクセスだけ判別して避けるのは難しい。
このためUTMだろうともっと高額なファイアウォールだろうと、思うような効果は得られないのが現状である。1秒止まったら会社が吹き飛ぶような損害が出るサイトならまだしも、データが壊れたり盗まれたりしないなら、別にサーバ止まってもいいじゃん、と思う。攻撃をくらったところでサーバが壊れるわけではないし。
費用対効果の無い事に金を注ぎ込むより、攻撃を受けたら被害が拡がらないよう、脆弱性にフタをしておくなり、改ざんされたらすぐ戻せるようにしておくなり、攻撃された後の準備をしておくのが現実的であると思う。

UTMを導入してもランサムウェアは防げない

最近ランサムウェアが流行っているが、これは感染したら身代金要求されるというウイルスやスパイウェアのたぐいである。身代金を払っても助けてくれるとはとても思えないのだが。
感染経路の多くはメールの添付ファイルかリンクであり、悪意のあるプログラムが添付されてくる場合はUTMでもウイルス対策ソフトでも比較的検知はしやすい。でも差出人が偽装され、お客や上司から送られてきたメールがランサムウェア付きだったらどうしますか?(いわゆる標的型メールと呼ばれるもの)。開くしかないですよね?というわけで感染を防止するのは難しいのです。

メールに対する対策に関してはUTMは比較的有効ではあるものの、PCのウイルス対策ソフトを超える効果は特にはなく、むしろスパムフィルタなどを搭載しておりそっちの方が高性能なので、この分野でわざわざUTMに期待する意味はあまり無い。

UTMを導入すると通信が遅延する

UTMはネットワーク上に流れるデータをすべてチェックする。この結果、ブラウザからウェブサイトを開くときも、メールの送受信をするときも、インターネットと通信するほとんどのアプリで遅延が発生する。UTMを導入したとたん、通信の引っ掛かり感が半端ないので是非体感してほしい。しかも遅いだけではなく、ファイルのダウンロードを遮断するため、ブラウザ上でファイルをやりとりするようなサイトでは、動作に支障が出る。この場合、UTMの管理者にURL単位でホワイトリストに入れてもらうなど、その都度対応が必要となる。

UTMを導入したら確実に言えるのは、社内の誰かから苦情や問い合わせが来るということだ。こんなことはウェブサイトにもカタログにも載っていないので、導入後に確実に揉めるだろう。しかしセキュリティを守るためにどこか犠牲にするのは仕方ない話とも言える。知ってて買うならそれも良し。

UTM導入のメリット

導入したことによる一番のメリットは、セキュリティ対策しているという対外的なアピールではないかと私は思う。アピールするとは、情報漏洩などの不祥事が発生した際に取引先などに報告するときに「ウチは〇〇を導入していますがそれでもダメでした」という言い訳ができるということだ。
以前いた会社では、セキュリティ対策のために仕方なく購入したのだが、このページに書かれている通り、導入後にデメリットばかりが目立つようになってきて、セキュリティ関連の機能はこっそりオフにし、結局ただのVPNルータとして利用した。会社的にはUTMがあれば満足だったからそれでいいのだ。セキュリティが守れるかどうかは別の話なので。

UTMはルータとしては秀逸

これまで社内SEとしてSonicWallとFortigateの管理をしていたのだが、どちらもGUIは素晴らしく良く出来ている。ルータとVPNの機能はブラウザから簡単に設定できるし、トラフィックも綺麗なグラフで表示できる。ヤマハやCISCOのスイッチはゴリゴリとコマンドを打ってコンフィグを組む必要があるので、それが扱える社内SEがいないのであれば運用面の省力化には寄与すると思う。ただそれはVPNルータとしての機能の話で、セキュリティを高める目的として導入するなら費用対効果が低すぎる。UTMでしか出来ないことって、思いつかないんだよな。

セキュリティを高めたいならどうすればいいか

まずは正しく運用を回すことが基本。

  • PCやサーバのアップデートやセキュリティパッチをもれなく当てる。
  • PCやサーバは定期的にバックアップをとり、機器が全損しても対応できるくらいにしておく。
  • セキュリティに関する社内ルールを明確にする(例:USBメモリは使用禁止)。
  • 全社員に対して定期的に教育を行ったうえでチェック(内部監査)を行う。
  • 社内にある機器やアカウント情報を台帳管理して定期的に棚卸する。管理してないものは社内に入れない。

これに加えて、次のような仕組みを整えていく。

  • 法人向けウイルス対策ソフトを導入する。ウイルス感染したら管理者に通知する機能があるもの。
  • PC監視ソフトを導入する。操作記録を取り、変なことをしているやつを見つける。
  • サーバやルータのログを取り、保管する。いつでも見れるようにする。
  • ネットワーク的なこと(帯域を調べるとか)はUTMじゃなくてルータでもできる。

なお、上記の運用が全部できるようならISO14001の取得も難しくは無い。セキュリティ対策のゴールとして目指すのも良いと思う。UTMに百万払うくらいなら、ISO導入コンサルにお金をかけた方がセキュリティ意識の底上げになり会社の為にはよっぽどいい。

面倒臭いからって業者に任せると結局UTMみたいのを売り付けられるだけなので、まずは社内で勉強して少しずつ実践してみるのが良い。情報漏洩も社内の犯行だし、セキュリティ対策は業者からなにか買っておしまい、という話にはできません。UTMを購入しなくてもできることが山ほどあるので、購入を検討している人は社内で再度検討してほしい。

関連記事

カテゴリー