不正アクセス、情報漏洩など、さまざまなセキュリティリスクに備える対策として、UTMというツールは広く認知されています。その一方で、「もう古いのでは?」、「必要ないのでは?」といった声も聞かれるようです。そこで今回は、なぜ「古い」、「いらない」などと言われるのか理由を考察するとともに、どのような企業にUTMが必要なのかを解説していきます。「セキュリティ対策をしたいけれど、何を選択するのがよいのだろう」と考えている方は、ぜひ参考にしていただければと思います。
目次
( 1 ) UTMはもう古い?
インターネットで「古い」、「不要」のワードが
UTMという言葉をインターネットで検索すると、「必要ない」、「もう古い」などのワードが一緒に出てくることがあります。おそらく近年のセキュリティトレンドを考えて、「UTMではもう対応しきれないのでは?」と思っている人がそれだけ増えてきているということではないでしょうか。
しかし結論から言えば、UTMは決して古いということはありません。現在もさまざまなセキュリティリスクに有効なツールとして活用されています。UTMの導入率はこれからも増えていくと予測されます。
「不要」と言われるにはワケがある
とはいえ、「もういらない」という意見が増えているからには、それなりの理由があるはずです。また、実際にUTMを設置しても意味がない企業が存在することも確かです。言い換えれば、「UTMが必要ない企業」がある一方で、「UTMが必要な企業」も存在するということになります。これらの社会的背景や理由について、詳しく考察していきましょう。
( 2 ) UTMが必要ないと言われる理由
セキュリティトレンドの変遷
「UTMはもう古い」などと言われるようになった理由を理解するためにはセキュリティトレンドの変遷を知る必要があります。
従来のサイバーセキュリティ対策と言えば、ファイアウォールが主流でした。ファイアウォールは社内ネットワークと外部ネットワークの間に立つことで不正アクセスから会社を守る役割を担っており、通常ソフトウェア形式でインストールして使うものや、ハードウェア型のものもあります。
その歴史は古く、1980年代にはファイアウォールの原型が誕生。1990年代になるとインターネットが普及し、ハッカーやマルウェア(※1)の脅威が増すとともにセキュリティ対策は当たり前になってきました。
多層防御できるUTMが登場
2000年代に入ると、サイバー攻撃者たちの手口はますます巧妙化していきます。そこで、ファイアウォールのほかにも複数のセキュリティ機能を持つUTMが登場します。
UTM(Unified Threat
Management)は日本語で「統合脅威管理」と言い、その名のとおりさまざまなセキュリティ機能が1つの製品としてまとめられています。ファイアウォール以外の代表的なものを見てみましょう。
●アンチウイルス
コンピュータウイルスの侵入・攻撃をブロックし、システムを守る機能です。
●IPS/IDS
IPSは日本語で「不正侵入防御システム」。不正アクセスや異常な通信を通知したうえでブロックします。IDSは日本語で「不正侵入検知システム」。不正アクセスや異常な通信の通知のみを行います。
●Webフィルタリング
Webサイトへのアクセスを制御する技術です。不適切なサイトの閲覧を防止します。
これらのセキュリティ対策ツールは、従来それぞれ個別の製品として提供されてきました。しかしUTMはオールインワンで搭載されているため、より強固なセキュリティ対策ができるという利点を備えています。
さらに巧妙化するサイバー攻撃
防御する側が進化すれば、攻撃を仕掛けてくる側も手口をどんどん巧妙化させていきます。近年、被害が増加しているサイバー攻撃をいくつか挙げてみましょう。
●ランサムウェア
マルウェアの一種で、パソコンに保存されているデータを暗号化するなどして、ランサム(Ransom=英語で「身代金」の意味)を要求するというものです。
●Emotet(エモテット)
メールを主な感染経路として侵入します。脅威が広まった後にいったんは収束するものの、再び活動が活発になる、ということを繰り返す油断のできないマルウェアです。
●サプライチェーン攻撃
製品の原料・部品の調達から販売に至るまでの一連の流れを、サプライチェーンと言います。サプライチェーン攻撃とは、取引先の中小企業などを“踏み台”にしてターゲットの大手企業に侵入するサイバー攻撃のことです。
こうしたサイバー攻撃の複雑化・多様化こそが、「もはやUTMだけでは対応しきれないのではないか」と懸念される原因になっています。
そこには、UTMがオールインワンという大きな利便性を有する一方で、機能ごとにベンダーを選べないという特性を備えていることも関係しています。あくまで“一式セット”であるため、拡張など個別のカスタマイズ性が低いのです。
ここから「UTMはもう古いのでは?」という不安が広がっていったと推察されます。
( 3 ) UTM導入が必要ない企業
ゼロトラストという考え方が注目されている
複雑化・多様化するサイバー攻撃に備えるために、近年は「ゼロトラスト」という考えも浸透してきています。
ゼロトラストとは、アメリカの市場調査会社「Forrester
Research(フォレスターリサーチ)」のジョン・キンダーバグ氏によって2010年に提唱された概念です。読んで字のごとく「何も信用しない」というセキュリティ対策のことです。
ゼロトラストが注目されるようになったきっかけは2つあります。1つはコロナ禍や働き方改革によるテレワークの普及です。もう1つは、クラウドサービスの利用の増加です。こうした新しい働き方が社内と社外の境界を曖昧にしていることから、ネットワークの出入り口に設置する境界型のセキュリティ対策だけでは不十分だという認識が広がり、ゼロトラストが注目され始めたのです。
ゼロトラストネットワークが構築できればUTMは不要?
このゼロトラストの考えに基づいてゼロトラストネットワークを構築することができれば、UTMは必要ありません。ではゼロトラストネットワークが必要なのはどのような組織かといえば、国、地方自治体、大企業、大学などが挙げられます。
こうした組織では接続機器も非常に多く、細かく分類しなければならない多様なアクセス者が存在します。ある大学の事例を見てみましょう。
●ゼロトラストネットワークを構築した大学の事例
コロナ禍でリモート接続が必要になったため、職員・教員・学生が外部から接続する際に、身分や階級、学部やクラスごとにアクセス権限を細かく分けようとしました。しかも大学の管理外にあるさまざまな端末でアクセスされるため、その制御をする必要が出てきました。これをすでに設置されたUTMで行おうとしたところ、対応が困難なことが判明。そこで複雑な組織内のネットワークに合わせて、数種類のサービスを組み合わせるゼロトラストネットワークを構築することにしました。
この事例からも、組織として規模が大きいほどゼロトラストネットワークが必要になることがおわかりいただけると思います。ただし大きな組織(大企業など)だからと言って必ずしもゼロトラストネットワークが必要なわけではありません。テレワークの推進などにより多くの人が外部からアクセスする組織に限定されます。アクセスする人数が限られていれば、UTMでも制御することは可能だからです。
つまりUTMで制御できるレベルではない大きな組織にとっては、「UTMは不要」であり「もう古い」というわけです。
ゼロトラストネットワークには費用も手間もかかる
ゼロトラストネットワークの構築と運用には膨大な手間とコストがかかります。導入だけでなく、月々の運用費も考えなければなりません。さらに運用に際しては専門の部署を設けたり、専門家を雇う必要があります。そういう意味でも、ゼロトラストネットワークの構築は、多くの予算をかけて対策を行う必要がある組織のためのセキュリティ手法と言えます。
( 4 ) UTM導入がおすすめの企業
UTMの必要性が高い企業とは?
セキュリティ対策に膨大なコストも手間もかけられない、あるいはゼロトラストネットワークを構築するまでもない、そんな企業にとってUTMは依然としてベストな選択です。
ここからは、UTMの必要性が高い企業を見ていきましょう。
●機密情報や顧客情報を取り扱う企業
どんな企業でも情報は大きな資産です。特に重要な機密情報や顧客情報を取り扱っている企業にはUTMが有効です。万が一情報漏洩が起きてしまうと、会社としての信頼を失ってしまうだけでなく、賠償責任を問われるなど大きな損害が生じてしまう恐れがあるため、外部・内部からの脅威に対応できるUTMは大いに役立ちます。
●小規模事業者や中小企業
比較的小規模な組織には、UTMの導入がおすすめです。あらゆる脅威に個別にセキュリティ対策を行うとなると、手間もコストも膨大にかかりますが、UTMは1台に複数の機能を備えているためコストをかけずに導入でき、一元管理ができるので手間もかかりません。
●セキュリティの専門部署や専任者がいない企業
UTMは社内外のさまざまなセキュリティリスクから会社を守ってくれます。ウイルス定義ファイル(パターンファイル)を定期的に更新し、最新のセキュアなネットワーク環境にしてくれるので、専任の担当者がいなくても安心です。UTMによってはサイバー保険(※2)が標準で付いているものもあります。
●今すぐセキュリティを強化したい企業
早急にサイバーセキュリティ対策を講じたいという企業には、導入がスムーズなUTMが向いています。またUTMはトラブル対応にも迅速です。個々にセキュリティ対策をしていると、何かトラブルが起きたときそれぞれのベンダーに連絡しなければなりませんが、UTMなら1つのベンダーに連絡するだけで済みます。
※2 サイバー保険:サイバー事故によって生じた損害賠償責任、事故対応にかかる費用、喪失した利益などを補償する保険のこと。( 5 ) UTMの失敗しない選び方
UTMを選ぶ際のポイントとは?
最後に、どのようなことに気をつけてUTMを選べばよいかポイントを紹介します。UTM導入の際、比較検討の参考にしてください。
●自社の環境に合っているか
UTMの導入に際しては、自社に必要な機能がすべてそろっているかを確認しておきましょう。不正アクセスやウイルス侵入など外部のリスクだけでなく、内部機器からの情報漏洩、ウイルス拡散などのリスクにも備えられるか、といったこともチェックをすべきです。
またUTMの中には簡単に拠点間VPN接続(※3)ができるものがあります。VPNは暗号化などさまざまなセキュリティ対策が施されているため、一定のセキュリティが確保でき、リモートワークに対応しやすいなどのメリットがあります。
●操作がしやすいか
機能や操作性のわかりやすさも重要なポイントです。「UTMは不要」という意見の中には、導入したものの使いこなせていないケースもあるようです。そんな無用の長物にしないためにも、使いやすいものを選びましょう。
UTMによってはブロックした脅威がわかるように、セキュリティ状況を確認でき、視覚的に把握できるものもあります。こうした機能は、従業員のセキュリティ意識向上にも役立ちます。
●導入・運用コストは手ごろか
比較的低コストで導入・運用ができるのは、セキュリティ対策に費用をかけられない企業にとってはうれしいポイントです。しかし安さだけで選んでしまうと、「海外製品だから管理画面が英語でわからない」、「速度が遅くてストレスになるので結局使っていない」といったケースもあります。コストパフォーマンスを考慮しながら、適切なものを選ぶことが重要です。
●耐久性はあるか
UTMはオールインワン製品なので、ひとたび問題が起きるとセキュリティが非常に脆弱になる可能性があります。またインターネットそのものが当面使えなくなる事態も考えられます。ベンダーの実績も参考にしながら、耐久性に優れた製品を選びましょう。
●サポート体制が整っているか
サポート体制も事前に確認しておくことが必要です。わからないことや困ったことがあった際に迅速に対応してくれるか、リモート保守サポートやPCの感染時に無料のウイルス駆除サービスがあるか、などをチェックし、きめ細かな配慮が行き届いているベンダーを選びましょう。
これらのポイントを参考に、自社に合ったUTMを導入することでサイバー攻撃や情報漏洩から会社を守りましょう。適切な対策を講じ、自社を守ることでブランド力の向上、業績のアップにつながります。
※3 VPN接続:VPN(Virtual Private Network)は「仮想の専用線」の意味。VPN接続とは、インターネットをはじめとするネットワーク上に仮想的な専用ネットワークを構築して行う通信のこと。( 6 ) まとめ
ここまで、「UTMはもう古い?」、「UTMはもう必要ない?」と言われる理由を検証するとともに、導入すべき企業の特徴などを解説してきました。
決して機能的に古いから「いらない」と言われているわけではないことがご理解いただけたのではないかと思います。単に「古い」とか「不要」といった言葉に惑わされず、適切に判断することが必要です。
実際、中小企業では、複数のソフトやツールを組み合わせて多層防御を行うのは現実的ではありません。その点、UTMは1台にさまざまな機能をオールインワンで搭載し、一元管理を行うことができます。高いセキュリティと低コストを実現したい企業のみなさまには、UTMの導入をおすすめします。
サクサでは、監視・保守・サポートなど導入後のアフターケアも充実しているUTMをはじめ、中堅・中小企業の課題を解決するツールを多数ご用意しています。お気軽にお問い合わせください。
また、UTMの基本機能から導入メリット・選定ポイントなどを詳しく解説したお役立ち資料や、サクサの最新モデルUTM「SS7000Ⅲ」の詳細が5分でわかる資料などもご提供していますので、ぜひご活用ください。
UTMの基本機能から導入メリット・選定ポイントなどを、詳しく解説したお役立ち資料もご提供していますので、ぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。