 |
多様化する脅威に、シンプルなUTMを 今こそもう一度理解! UTMの機能と効用 |
| 脅威が多様化するいま、セキュリティの確保は必須であるという認識はあれど、多くのセキュリティ対策機器を管理するリソースが厳しいことも事実だ。本記事ではセキュリティ対策を解説する記事へのリンクとともに、それらすべてをカバーする統合脅威管理製品、UTM(Unified Threat Management)の適用範囲を解説しよう |
| UTMってなんだろう | ||
 |
||
出社してまず電子メールに目を通し、Webブラウザを使って社内外の取引を行い、情報収集を行う。外出先でノートPCを広げ、自社内の情報にアクセス……これはもう一般的な風景になった。しかし、この一連の作業を行うためには、企業のネットワークが安心、安全に利用できることが大前提である。
ネットでできることが増えるに従い、ネットの脅威への対策が必要となる。ネットを介在した攻撃は、力や能力を誇示するための「愉快犯」的なものから、明確に「カネ」を目的としたものにシフトしている。この脅威から企業を守るために、電子メールには「スパム、ウイルス対策機器」を、インターネットの入り口には「ファイアウォール」「IDS/IPS」「VPN」を配置し、対策を行っていることだろう。
これまではその都度、目的に合わせ「セキュリティ対策機器」を1つずつ導入していたわけだが、これでは機器の種類は増える一方で、それはそのままコスト増につながる。そこで「すべてのセキュリティ対策を1台で」を狙ったアプライアンスがUTM(Unified Threat Management)、統合脅威管理製品だ。
| セキュリティ機能“全部入り” | ||
|
||
各社からさまざまなUTM製品が販売されている。各社特色のある機能を持っているが、UTMが備える主な機能を簡単に説明していこう。
●ファイアウォール
ファイアウォールは社内イントラネットとインターネットの境目(エッジ)に設置し、その間の通信を制御するために使われる。外部の攻撃から守る「防火壁」だ。
| 【関連記事】 5分で絶対に分かるファイアウォール http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00.html |
●IDS(侵入検知)/IPS(侵入防御)
ファイアウォールでは検知できない脅威を取り除くため、通信パケットの中身をシグネチャと呼ばれる攻撃のパターンと照らし合わせ、ファイアウォールではとらえることのできないネットワークに対する攻撃を認識/防御することができる。
| 【関連記事】 5分で絶対に分かる侵入検知システム(IDS) http://www.atmarkit.co.jp/fsecurity/special/19fivemin/fivemin00.html IPSの実装方法と防御技術とは http://www.atmarkit.co.jp/fsecurity/special/59ips/ips01.html |
●ウイルス/スパム/ワーム/スパイウェア対策
脅威のほとんどは電子メールでやってくるのが現状である。スパムやウイルスなどの迷惑メールを利用者の目で判断させることには限界があるので、水際で止めるための対策が必要だ。
| 【関連記事】 電子メールセキュリティの基礎知識 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_mailsec.html 急速に広がるスパイウェアの脅威 http://www.atmarkit.co.jp/fsecurity/special/86antispy/antispy01.html いまさらというなかれ! 管理者のためのウイルス対策の基礎 http://www.atmarkit.co.jp/fsecurity/rensai/anti_virus01/anti_virus01.html |
●Webフィルタリング
セキュリティポリシーにより、業務とは無関係のWebサイトを閲覧させたくない企業もあるだろう。設定次第ではSQLインジェクションにより混入された不正なページ埋め込みにも効果がある。
| 【関連記事】 セキュリティ用語事典[コンテンツフィルタリング] http://www.atmarkit.co.jp/aig/02security/contentsfiltering.html |
●VPN/IPsec/SSL VPN
社外からメールやイントラネットのリソースを利用したい場合、インターネットから安全に社内へと接続するために経路暗号化を行う必要がある。その用途でVPNやSSL VPNは最適なソリューションとなる。
| 【関連記事】 5分で絶対に分かるVPN http://www.atmarkit.co.jp/fsecurity/special/22fivemin/fivemin00.html 5分で絶対に分かるSSL-VPN http://www.atmarkit.co.jp/fsecurity/special/92sslvpn/sslvpn01.html |
●Webアプリケーションファイアウォール
SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱(ぜいじゃく)性を狙う攻撃に対し、不正なリクエストを検知し排除することができる。
| 【関連記事】 Webアプリケーションファイアウォールの必要性 http://www.atmarkit.co.jp/fsecurity/rensai/waf01/waf01.html |
UTMはネットワークで考えなくてはならないセキュリティ対策をほぼカバーしている。もちろん、これらの機能のすべてを使う必要はない。企業によっては迷惑メール対策などを別のアプライアンスとしてすでに導入済みという場合もあるだろうが、UTMは個別の機能ごとにオン/オフができるので、必要な機能のみを使うということも可能である。
| UTMの導入効果は | ||
|
||
UTMのメリット、それは1台の機器がネットワークのセキュリティに関する機能が集約されていることにある。これは購入コストを抑えられるだけではなく、管理コストを抑えられるという点も大きなメリットだ。
セキュリティは鎖に例えられる。どんなに頑丈な鎖であっても、弱い部分が1個所でもあれば切れてしまう。そのため、セキュリティ機器の管理には細心の注意が必要だ。セキュリティ対策機器が複数存在している場合、鎖の強度を保つためにはそれぞれの設定に矛盾がないことが重要である。UTMの場合は1つの設定画面から一貫した設定が行える。ファイアウォールとIPSなど、連携すべき機能がきっちりとつながっているのはUTMの大きな特徴だ。
また、ブランチオフィスなど小さなネットワークのセキュリティ確保にUTMを利用するのも有効な手法だ。ブランチオフィスへの機器導入は「誰が管理するのか」という大きな問題があるが、ほとんどのUTM製品は管理サーバから遠隔拠点のUTMを管理、設定が行えるため、運用次第ではブランチオフィスに対してはハードを送って接続してもらうだけで、あとはセンター拠点の管理サーバでコントロールすることも可能だ。
いまやUTM製品のローエンドは非常に安価な価格設定がされているため、小さなネットワークセグメントでも積極的に導入することができるだろう。さらに、UTMの性能向上は著しく、エンタープライズ市場でもUTMは「速いファイアウォール、速いIPS/IDS」としても注目されている。ローエンドはブロードバンドルータの置き換えとして、ハイエンドは速いファイアウォールとして、さまざまな場所でUTMが選択されているのだ。
UTMという言葉が浸透して久しいが、「1台でなんでもできる」というものが進化し、今では「1台でなんでもできる。しかも速くて安い」のがUTMの新しい特徴だ。ネット上での脅威が多様化するいま、セキュリティ対策に頭を悩ませるIT管理者にとって、UTMは大きな助けとなるだろう。
提供:ジュニパーネットワークス株式会社
フォーティネットジャパン株式会社
企画:アイティメディア 営業本部
制作:@IT 編集部
掲載内容有効期限:2008年10月24日
ソリューションFLASH Pick UP!
Secure Service Gateway
ジュニパーネットワークス
ジュニパーネットワークスでは、高く評価されていたファイアウォール製品「NetScreen」シリーズから次世代の UTMである「SSG(Secure Service Gateway)」シリーズへの世代交代を進めている。エントリークラスからミッドレンジまでの領域ではSSGのラインナップがほぼ完成した状況だ。中小規模の企業や大企業での支店・支社での利用を想定し、包括的な保護を実現する製品となっている。
FortiGate-310B
フォーティネットジャパン
フォーバルクリエーティブが販売する「FortiGate-310B」は、8Gbpsものパフォーマンスを実現しながら、約150万円と価格を極めて抑えたUTMアプライアンスだ。アンチウイルスやスパムメール対策などの機能ももちろん兼ね備えており、それらのパターンファイルの提供も極めて頻繁に行われている。本稿では、FortiGate-310Bの性能の高さの秘密と、その利用を通じて企業が見込めるメリットについて探りたい。
チェック・ポイント UTM-1/Power-1
アズジェント
アズジェントが販売するチェック・ポイント社の「UTM-1」「Power-1」はUTMとして、またファイアウォールとしても高く評価されている。その理由はコストパフォーマンスとスピードだ。SMBからエンタープライズグレードまでフルラインアップでそろえられるPower-1/UTM-1が選ばれる理由を解説しよう。
ホワイトペーパーダウンロード
超高速FW性能を持つUTM製品「FortiGate-310B」
2008年4月に発表した「FortiGate-310B」のメディア向け資料を初公開。4つの角度からの競合比較を交え、ファイアウォールの使い方や高スループット実現の理由を明らかにする。
多くのUTM製品が抱える問題点とは
近年、DoSやウイルス、ワームといった定番の攻撃手法に加え、フィッシング、スパイウェアや特定の相手を標的としたスピア攻撃が著しく増加している。このような厳しい状況におけるひとつの対策として、単一の機能を備えたセキュリティ・ソリューションを個々の攻撃や脅威に対する防御策として段階的に導入していくという手法が考えられる。
