最近,ある企業のシステム管理者から『現在使用しているファイアウォールが老朽化したためリプレースを検討したい。最近はファイアウォールを含む複数のセキュリティ機能を統合した『UTM』というものだけ導入すれば良いと聞く。最近の情報漏えい事件の状況も踏まえてアドバイスしてほしい』という相談を受けました。
UTMとは「unified threat management」の略で,“統合脅威管理”と呼ばれています。そのUTMをセキュリティ対策の中心に据え,UTMの提供する機能に頼り切ったネットワーク・セキュリティ設計を行っても本当に良いのでしょうか?私はそうではないと考えます。
UTMのデメリットは「1台しかない」こと
UTMというと分かりづらいのですが,要するに,インターネットと守るべきイントラネットとのエッジ(境界)で,インバウンドとアウトバンドの双方のトラフィックに対し,必要なセキュリティ機能を統合的に提供する装置(サーバー)ということです。ファイアウォール以外のセキュリティ機能としては,IPS(Intrusion Prevention System:侵入防御システム)機能,ウイルス対策機能,スパム対策機能,P2Pトラフィック制御機能,Webコンテンツ・フィルタリング機能などがあります。中には帯域制御や負荷分散(ロード・バランス)機能を実装したものもあります。製品の提供形態は基本的にアプライアンス(appliance:特定用途向けの専用装置)であり,UTMは,“統合セキュリティ・アプライアンス”ととらえてもよいと思います。
[関連記事]
ファイアウォールの進化形UTM(統合脅威管理)---目次(2007/11/30)
多様な攻撃をまとめて防ぐ「UTM」(前編)(2007/08/29)
多様な攻撃をまとめて防ぐ「UTM」(後編)(2007/08/29)
ここではUTMの仕組みについては解説しませんが,メリット/デメリットを整理しておきましょう。一般に,UTMのメリット/デメリットとしては,以下のような点が挙げられます。
■メリット
- 複数のセキュリティ機能を1台の機器で統合的に実現できるため,構築コストや維持コストが安くなることが期待できる
- 複数のセキュリティ機能を1台の機器で統合的に実現できるため,管理者の負荷が下がることが期待できる
- トラブル発生時の切り分けが容易になることが期待できる
■デメリット
- 各セキュリティ機能を1台の機器でまかなうため,スループットの低下が懸念される
- 各セキュリティ機能を1台の機器でまかなうため,任意のベンダーが提供する機能を自分で自由に組み合わせて構築できない
- 各セキュリティ機能は,単体製品に比べて新機能の取り込みが遅く,オプションも充実していない
これらは一般的なデメリットですが,実はこれ以外に,重大なデメリットが存在すると考えています。それは,守りがその1点だけになってしまうことです。各セキュリティ機能を1台の機器でまかなうということは,『社内の一般利用者のパソコンから,“エッジ”に直接アクセスできるというリスクを容認してしまう』,『UTMをすり抜けられたら,それで終わり(情報漏えいのインシデント発生)』というネットワーク・セキュリティ設計を容認してしまうことになります。
一般利用者のパソコンをコンピュータ・ウイルスやボット(bot:リモートからPCを操る)に感染させる攻撃が,年々巧妙さを増しています。従来のウイルスやボットのように不特定多数の利用者にウイルスや攻撃メールを送り付けるのではなく,特定の利用者に的を絞り,狙い澄まして攻撃を仕掛ける『標的型攻撃』が今後ますます増えてくると考えられます。
標的型攻撃は攻撃を仕掛ける相手が限定されている上,攻撃手法は周知されていません。サンプルを収集しづらいため,対策ソフト・ベンダーの対応パターン・ファイルのリリースが遅れがちになる,もしくはリリースされないといったケースも増えてくるはずです。
[関連記事]
「怪しいメール」を受け取ったら連絡を――IPAが「不審メール110番」(2008/09/29)
「標的型攻撃を受けてみませんか?」--JPCERT/CCが被験企業募集(2008/10/02)
