No303 UTMは魔法の箱か？

情報セキュリティ対策をしろといったって、ヒトもモノもカネもない中小企業ではできることに限りがあります。

その選択肢の一つにUTMというものがあります。

従来であれば、いくつものセキュリティ対策製品を購入し、設定や運用も自分達で行う必要がありました。

それに対してUTMはいわば「全部入り」で、UTM機器と呼ばれるネットワーク機器をセットアップするだけで、様々なセキュリティ対策（特に検知）が行えるということで、中小企業を中心に人気を博しています。

一見万能の魔法の箱にさえ見えるUTMですが、導入にあたっては注意すべき点もあります。

今回はそんなUTMを解説します。

統合脅威管理

「統合脅威管理」という意味のわからない単語がいきなり登場しました。
実はこれ、UTMのことなんです。

UTMは Unified Threat Managementの略で、日本語に直せば、「統合脅威管理」となるわけです。

ここで「あれ？」となる方がおられるかもしれません。

一般的にUTMというとネットワーク機器を指します。
正面にはいくつかのランプだけ、裏側にはネットワーク接続用のクチがいくつかと電源ケーブルが伸びているだけ。
いかにもなネットワーク機器に見えます。

どうして「なんちゃら装置」ではないのでしょうか？
なぜ「統合脅威管理」などという運用の仕組みっぽい呼び方なのでしょうか？

UTM装置＝UTMではない

この誤解は、UTM装置のことをUTMと呼ぶことから起きているようです。

本来はUTMはサービス名であり、情報セキュリティの管理手法を指します。

具体的には、組織内ネットワークと外部ネットワーク（インターネット）の間に流れる通信データに、不正な通信や不適切なデータがないかを確認する手法を指します。

外部とのやりとりをチェックすることで様々な脅威（マルウェア付きメール、不正アクセスなど）を予防し、万一にも検出された場合にそれを組織メンバに電話やメールで通知するのです。

だから、「統合脅威管理」なんですね。

一般に呼ばれるUTMは本来は「UTMアプライアンス（UTM装置）」と言います。
脅威を検知し、必要なセキュリティ情報を収集する装置のことです。

UTMの導入とは管理手法の導入が主目的であって、UTM装置はその付帯物です。

余談
　アプライアンス（appliance）は機器とか設備という意味で、apply（用いる、適用する）の名詞形です。
　ネットワーク機器のようなコンパクトなハードウェアを指す場合によく使われます。
　アプリ（application）も同様にapplyの名詞形ですが、こちらはソフトウェアを指すのが一般的ですね。
　なお、連合や同盟を指す「アライアンス（alliance）」はally（味方）の集合体を示す単語で全く関係ありません。

UTMの多くは「サービス提供型」

インシデント発生時には、その重要度や意味合いを組織メンバが短時間で把握することが必要です。
UTM装置が提供してくれる情報は具体的なインシデント（事故、事件）の情報は詳細かつ専門的であり、一般の方が短時間で読み解けるものではありません。

そんなことができる人材が組織内にいるなんてことは、まずないでしょう。

UTM装置に情報を集めさせたところで、その内容を理解できなければ宝の持ち腐れです。
とはいえ、UTM装置の販売元もそんなことは百も承知です。

UTMを適切に運用するため、UTM装置の販売業者は少数派で、多くはサポート契約を結び、トラブル発生時には電話やメールで連絡をしたり、ある程度の相談に乗ってくれる形約となっています。

UTMのサポート契約の内容

では、サポート契約を行うとどんなサービスを提供してもらえるのでしょうか？

業者によって内容は様々ですが、おおむね以下のようなものです。
　・UTM機器レンタル
　・サポートセンターによるUTM装置監視
　・毎週or毎月のレポート提供
　・トラブル発生時の連絡（電話やメール）
　・トラブル発生時の相談
　・トラブル発生時の保険（損害保険）

費用は月額で数千円あたりが相場ですので、中小企業でも導入は比較的容易です。

UTMは「統合」脅威管理というだけあって、様々なセキュリティ対策機能が盛り込まれていることが多いです。
どうせ契約するなら多機能なものを、と考えるのはごく自然ですが、多機能であればあるほど、利用者側の知識も必要ですし、運用も複雑になります。

ものすごく乱暴なことを言えば、どのメーカのUTMでも似たようなものです。

そんなことよりももっと大切なことがあります。

導入前にやっておくべきこと

UTMを導入するとアラート（警告）発生時にはスグに連絡がもらえます。
「だからこれで安心」というのは早すぎます。

　連絡を受けた後にどうするかは決まっていますか？

　連絡を受けた方がセキュリティ担当でない場合はどうしますか？

　マルウェア警告であった場合、どんな対応を取るべきですか？

　それが夜間や休日だった場合、どうするのですか？

　上司や責任者に連絡が取れない場合はどうしますか？

「そんなの、その場で判断するしかないよ」というのはかなり危険です。

アラートが上がってきた時点で、何らかの攻撃を受けている可能性があります。
被害がこれ以上広がらないようにするには、適切な手を打たなければなりません。

その場の思い付きで適切な手なんて打てるはずがありません。

攻撃を受けた（かもしれない）場合に「何をするべきか、何はしてはいけないか」という指針はあらかじめ明確に決めておかないと、スピーディな対応ができず攻撃者に良いように踊らされてしまいます。

そういった指針は一般に「危機管理マニュアル」などと呼ばれます。

こういったマニュアルは単なるお題目ではありません。
実際にコトが起きた時に手元に置いて、その手順通りに対応を進められる程度に具体的な記述が必要です。

その検証のためには、違った立場の担当者による読み合わせも必要でしょうし、災害訓練と同様に訓練も必要です。

この危機管理マニュアルについては、本メルマガで2020年にかなり長期間連載しました。ご興味のある方は以下のバックナンバーをご覧ください。

　No169 手順書作成はお手軽なセキュリティ事故対策
　　https://note.com/egao_it/n/nd6fc88810287

　No170 手順書作成は効果的なセキュリティ事故対策（２）
　　https://note.com/egao_it/n/n02c8416036f4

　No171 セキュリティ事故対策の手順書を作ろう（３）
　　https://note.com/egao_it/n/n418508289097

　No172 セキュリティ事故対策の手順書を作ろう（４）
　　https://note.com/egao_it/n/n5887cb79a99f

　No174 セキュリティ事故対策の手順書を作ろう（５）
　　https://note.com/egao_it/n/n420cd80e65aa

　No176 セキュリティ事故対策の手順書を作ろう（６）
　　https://note.com/egao_it/n/n518865d9bd0b

　No177 セキュリティ事故対策の手順書を作ろう（７）
　　https://note.com/egao_it/n/n037609b8fdda

まとめ

UTMと呼ばれるネットワーク機器があります。
　
ですが、UTMは「統合脅威管理」の略で機器名ではなくサービス名となります。

サービスですので、多くの場合は毎月支払いを行ういわゆるサブスク型での提供となっています。

もし、何らかの怪しげな動きをUTM機器が検出すると、すぐに電話やメールで連絡が来るようになっています。

とはいえ、UTMのサービス提供は基本的にここまでです。
実際のトラブル対応や対応方針は組織として事前に対応手順書として決めておくべきです。
こういったトラブル発生時は手順書は最も頼れる武器です。

戦いをするなら、準備の時点で武器を用意します。
敵に攻め込む段になってから鍛冶屋に作ってくれでは遅すぎますよね。

情報セキュリティ対策も同様で、事前の準備が非常に大切です。

いざ、インシデント（事故、事件）が起きてしまうと時間があっという間に過ぎてしまいます。それに手順書なしで対応しようというのは、武器なしで攻め込むのと大差ありません。

UTMの導入をお考えの場合は、自分達で対応手順書を作るようにしてください。

今回はUTMというものの概要と導入での注意点について解説しました。

次回もお楽しみに。

（本稿は 2023年4月に作成しました）

このNoteは筆者が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html