UTMの概要(ファイアウォールとの違い)と導入理由、おすすめメーカ、デメリットや必要無いという意見について

スポンサーリンク
スポンサーリンク

UTMとは

ファイアウォールはセキュリティのためのアプライアンスNW機器ですが、できることはレイヤー4までの制御、つまり、送信元、宛先のIPアドレスやTCP/UDPのポート番号により、 通信を制御することまでです。

しかし、昨今ではウィルス対策を始め、様々なセキュリティ対応が求められるようになってきており、 そのセキュリティ対策1つ1つに設備投資するのは効率的ではありません。

そこで登場したのがUTM(Unified Threat Management)です。UTMは従来のファイアウォール機能に加え、アンチウィルスやIPS、スパム、URLフィルタ等の様々なセキュリティ機能が搭載しており、ライセンスを追加することで必要な機能を必要なタイミングで適用することができるセキュリティ製品です。

UTMの機能

UTMの機能には、主に以下の4つがあります。

アンチウィルス、アンチマルウェア

httpやメール通信、ファイル共有通信のウィルスを検知・ブロックします。シグネチャベースが多いですが、最近はサンドボックス(ふるまい検知)によるゼロデイ攻撃対策も増えてきています。

アンチスパム

スパムメールを検知・メール件名へのタグ付け・隔離します。

検知は管理者へログによる通知、メール件名へのタグ付けはメール受信者へ注意喚起や迷惑メールフォルダへの誘導、隔離はUTM本体のHDDに格納し、エンドユーザからログインして隔離されたメールを見れるようにする、等の機能を提供します。

Webコンテンツフィルタ/URLフィルタ

好ましくないWebサイトへのアクセスを制限します。

IPS/IDS

既知の脆弱性をついた通信をする悪意のある通信や、好ましくないソフト(P2P等)の通信を検知・ブロックします。

スポンサーリンク

SSL/TLSの復号化

上記攻撃のうち、アンチウィルスとIPS/IDSについては、暗号化された通信(https等のSSL/TLS通信やSSH等)については検知することができませんそこで必要に応じて、復号化をしてチェックを行い、問題がなかったら暗号化された通信を通過させる、という機能を実装していることが多いです。

復号化方法は以下の2パターンがあります。

  1. 秘密鍵をUTM内にインストールする。主に秘密鍵が手に入る社内サーバなどを守るために使う方法です。デメリットとしては、セキュリティの絶対的な要である秘密鍵をサーバから抜き出すこと、2箇所で管理する必要があること、です。
  2. 暗号化通信を取り次ぐ(Proxyとして動作させる)。秘密鍵が手に入らないような、社外のhttpsサーバ等への通信を管理したい場合に使う方法です。デメリットとして、ブラウザ等で必ず警告画面が出ます。ブラウザ上では通信したい先のURLを叩くのに、返ってくるのはそれとは異なる証明書(UTM内にインストールされている証明書)になるからです。

なおURLフィルタにおいて、httpの場合はhttpヘッダ内にある「Hostフィールド」と「GETコマンドの後に来るパス」を見ますが、httpsの場合はhttpヘッダは暗号化されて見えません。

ですが、暗号化される前段階のネゴシエーション時にデジタル証明書を盗み見て、証明書のコモンネームにより通信先を把握できます。なので復号化しなくてもフィルタリングするか否かを決めることができます。

UTMは必要ないという意見

UTMは様々な機能がついたセキュリティ万能機器という位置づけですが、万全とは言い難い面もあります。

例えばウィルスチェック等は、数MBのウィルスファイルの検知を、高々1500B程度のパケット単位で実施します。

キャッシュ領域にファイルを組み上げてチェックする、という方式もありますが、速度が極端に遅くなることから、最近ではあまり使われない方式になっています。

なのでUTMのアンチウィルス等は、ウィルスの大部分をバサッと取り除く程度に考え、きちんとした保護はエンドポイント(つまりPC側のアンチウィルスソフト)で実施する、と考えるほうが良いでしょう。

おすすめメーカ

個人的なオススメは、PaloAltoかFortigateです。

理由は、設定の構造が分かりやすく設定変更やファームアップ等が行いやすい安定して動作する、の2点です。

特にPaloAltoは非常に洗練されていると思います。

ネットワークセキュリティの勉強については以下の書籍がお薦めです。

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
スポンサーリンク