以下の記事も併せてご覧下さい第1回 すべてのUTMが“万能の箱”ではない!(1)正しく理解し適切な選択を
前回、複雑化・巧妙化が進むサイバー攻撃に対して、様々なセキュリティソリューションを1つのアプライアンスに集約したUTMあれば、専門知識がなくても導入・運用の手間やコストをかけずに包括的な対策が可能であることを述べた。2回目となる今回は、数多くのメーカーから出ているUTM製品を選ぶ際に、セールストークやカタログスペックをそのまま受入れてしまうことで失敗しがちな点や、そうした失敗をおかさないようにするためにどのようなポイントを抑えるべきかについて説明しよう。
カタログの“スループット値”を鵜呑みにしてはダメ!
まずなんといってもUTMはセキュリティ製品であるのだから、セキュリティ機能が充実していなければ話にならない。前回説明したとおり、UTMには、ファイアウォール、IPS(不正侵入防御機能)、ゲートウェイアンチウイルス、Webコンテンツフィルタリング、迷惑メール対策など他種類のセキュリティ機能が1つの“箱”の中に備わっているのだが、このうちどれか1つの機能でも弱いものがあれば、それは自社全体のセキュリティレベルの低下につながってしまうことに注意したい。
なぜならば、標的型攻撃をはじめとした最近のサイバー攻撃では複数の攻撃手法を組み合わせて行われることが当たり前となっており、対策が十分でない要素が1つでもあれば、そこを突破口として攻撃が拡大されてしまうからである。UTMのメーカーにはファイアウォールのメーカーが多く、そのためか知らないがどうしてもネットワークのOSI基本参照モデルで定義しているところの下位4層までの対策ばかりに重きが置かれている傾向がある。しかし、現在のサイバー攻撃の主流はWebアプリケーションや電子メールなどの弱点を突くものに移りつつあるため、アプリケーション層を含めたOSI基本参照モデル全7層をしっかりとカバーしたUTM製品でなければ万全な製品とは言えないのだ。
次にUTM製品の選定で注目すべきなのが“スループット”である。ネットワークのゲートウェイに設置する機器であるため、スループット値が低ければ自社のネットワーク全体のパフォーマンスが低下してしまうことになってしまう。ただし、ここに陥りがちな“罠”が存在する。それは、営業マンのセールストークやカタログに書かれたスループットの数値を鵜呑みにしてしまうことで起きるものだ。
実は、UTM製品のカタログに記載されているスループット値には、すべてのセキュリティ機能を切ったり、あるいはごく一部のセキュリティ機能だけを有効にしたりした状態で計測したものが少なくない。これもまたUTMメーカーにファイアウォールのメーカーが多いことに起因すると思われるのだが、そうしたメーカーはセキュリティ機能に関係なく、とにかくスループットの最高値を示そうとするのである。そして、実際に各種セキュリティ機能を有効にしてみると、スループットはカタログ値よりも落ちるのはもちろんのこと、実用に耐えられないほどにまで著しく低下してしまう場合すらあるのだ。UTMを導入してしまってから、いざ運用となった時に実効スループットの低さに気づいたとしてももはや後の祭りである。そうならないためにも、実効性能がしっかりと記されており、評価機を借りて試用してみることも可能な製品を選ぶべきなのだ。
そのUTMメーカー、国内でのサポートは大丈夫?
UTM製品のサポート体制についても十分に注意したい。UTMのメーカーには海外に本社を置くところが多い。それ自体はまったく問題はないのだが、そうしたメーカーの中には日本法人に技術的なことがわかるスタッフが存在していなかったり、販売する日本のベンダーもほとんど製品知識がなかったりするところもある。自社にセキュリティやネットワークについて豊富な専門知識を持つスタッフがいるのであればそうしたメーカーの製品であっても問題ないかもしれないが、通常は手厚いサポートが受けられる製品を選択するべきなのは当然のことである。
この場合、国内企業での導入実績があり、メーカーの日本法人と国内ベンダーとの連携がしっかりとしたUTM製品を選ぶのがベストだと言える。その辺りは、実際にベンダーのスタッフと接し、遠慮することなく質問をぶつけることで実態が見えてくるに違いない。
さて、これまでUTMという製品がどのようなものか、そしてUTMを選ぶ際の注意点について解説をしてきた。次回はいよいよ、UTMの優位点をさらに強化し、弱点については克服した最新のUTM製品について見ていくことにしたい。
