UTM導入後のメンテナンス・運用は？

UTMで多層防御、でも導入後の運用は？

多層防御となるファイアウォールとIDS/IPS。このセキュリティ対策を2台の機器で実施した場合、それぞれのハードウェア運用の手間がそれだけ増えます。セキュリティ対策は企業に求められる社会的な責務ですが、直接的な利益を生むわけではないため、できるだけ運用負荷を軽減したいところです。そのための有効な手段のひとつがUTMの活用です。
UTMはファイアウォール、IDS/IPSに加え、アンチウィルスやアンチスパム、Webフィルタリング、アプリケーションコントロールの機能を加え、多機能になり、統合型セキュリティ対策として進化します。
ところが、1台に集約されているからといって、運用が無くなるわけではありません。ハードウェアの定期的な点検や買い換えが必要です。これらハードウェアのメンテナンスをどうすればいいのでしょうか。

参考：UTMの運用方法とは？　アプライアンス型とクラウド型のUTMの運用を比較

セキュリティ運用も必須

ハードウェアは壊れたら修理が必要です。また、停電等により給電がなくなれば機能停止し、セキュリティレベルが低下します。
これらハードウェアの運用課題を解消するのがクラウド型UTMです。クラウド型UTMはUTMのセキュリティ機能をサービスとしてクラウドで提供します。ハードウェアの選定や調達・導入の手間、稼働後のハードウェアメンテナンスも不要となります。

しかし、クラウド型UTMによって一切の運用から解放されるわけではありません。セキュリティの運用は求められます。ウィルス感染、不正アクセス、迷惑メール送信など、セキュリティインシデントが発生すれば、早急な対処が必要になります。IPS、Webフィルタリング、アンチウィルス、アンチスパム等のログを確認し、分析と対策が必要になります。設定によってIDS/IPSは、過検知・誤検知が多くなり、きめ細かなチューニングが必要です。

高いセキュリティ知識のある人材は希少

セキュリティインシデントは初動の対応を間違えてしまうと、被害を拡大させてしまう危険性があります。インシデントが発生したら、すぐに対応しなければならず、場合によっては緊急での分析・設定の変更が必要になります。
これには、専任の知識・経験の豊富な運用担当者を置くのが理想ですが、多くの中小企業にとってその余裕はありません。他の業務との兼任では、異常を察知するのに時間がかかったり、経験不足などから正しい対応がとれない場合も少なくないでしょう。担当者がセキュリティに関する知識・ノウハウの習得に十分に時間を確保できないかもしれません。

大企業であれば情報システム部門も充実しており、システム・セキュリティ運用の専任担当者を置くことが可能な場合も多いでしょう。セキュリティインシデント情報を収集し、その対策をあらかじめ準備しておくこともできます。中小企業において同様のことを行うのは簡単ではありません。この課題をどうやって解決すればいいのでしょうか。

セキュリティオペレーション機能

ＮＴＴスマートコネクトがクラウド型UTMサービスのオプションメニューとして用意しているのが、セキュリティオペレーション機能です。セキュリティオペレーション機能は、セキュリティ運用や機器のログ監視・分析を、プロフェッショナルが引き受けるアウトソーシングサービスです。
サイバー攻撃に対処するには、高度な技術を有する人材が必要となります。さらには、分析・解析する「環境（システム）」も必要です。このような技術を兼ね備えた人と環境を、中小企業が単独で自社内に用意することは簡単ではありません。
セキュリティオペレーション機能では、専門のプロフェッショナルを配置し、依頼された企業を24時間365日監視して、早期の攻撃検知と初動措置（緊急遮断措置）を実施します。