[UTMの機能①]今必要な多層防御・セキュリティ対策に対応するUTM
UTMを解説してきた本コラムですが、ここからUTMの具体的な機能を取り上げ解説していきます。
最初にUTM(統合脅威管理)のコンセプトとなる「多層防御」について紹介しましょう。多層防御の考え方が生まれた背景や必要性は「多層防御が求められる中で登場したUTM」で取り上げましたが、ここではさらに多層防御を構成する各機能にフォーカスします。
目次
「多層防御」で防ぐ① ファイアウォール
「多層防御」とは幾重もの対策でセキュリティ攻撃を防ぐ考え方です。年を追うごとにサイバー攻撃は激しさを増し、その手口は巧妙になっています。防ぐ側も、現れた攻撃に対処できる複数の仕組みを開発してきました。
これら複数の仕組みを合わせるのが、多層防御です。
多層防御をそれぞれ単体の装置で実施していては、運用が複雑になってしまうことから、開発されたソリューションがUTMというわけです。
この多層防御として、ここではファイアウォールとIDS/IPSを取り上げています。
ファイアウォールは外部から不正に侵入しようとする通信をブロックするソフトウェアです。日本語に訳すと「防火壁」となり、インターネットと社内ネットワークの境界に置く「門番」の役割を持っています。
門番であるファイアウォールは、外部から社内ネットワークに入ろうとしている「データ=不審者」の入館証(ヘッダ=荷札)に記されているポート番号やIPアドレスなどをチェックして、許されていないもの侵入を防ぎません。
たとえば、インターネットの通信では、利用できるポート(門)が決まっており、そのルールに従ってデータを振り分けています。ファイアウォールは利用できないポートをふさいで、空いているポートを探して忍び込もうとする不審なデータをはね返しています。
ファイアウォールの詳細については「[UTMの機能②]ファイアウォールで不正アクセス防止」で紹介します。
「多層防御」で防ぐ② IDS/IPS
当初はファイアウォールによるポート番号やIPアドレスの検問で不正なアクセスを防御できたのですが、悪意ある攻撃者は次第に巧妙になってきました。正しいポート番号とIPアドレスをファイアウォール(門番)に見せるのです。
ファイアウォールはその入館証に記されているポート番号とIPアドレスなどしか見ませんので、そのまま通してしまいます。正常なアクセスと不正なアクセスを区別することはできないため、不審者はファイアウォールをくぐり抜け、内部に侵入してしまいます。
ここでファイアウォール以外に新たな検出機能が必要になってきました。そこで用意されたのがIDS/IPS(不正通信防御/検知システム)です。IDS(Intrusion Prevention System)は忍び込んだ不審者を見つけ、通知するシステムです。IPSは一歩進んで、不審者を見つけた場合は通信を遮断し防御します。
その見つけ方ですが、2通りあります。1つは不審者の「パターン(シグネチャ)」を記憶し取り締まること(不正検出)。指名手配者の顔写真を記憶しているようなものです。
もう1つは正常な通信にはない「不審な動き」を見つけて取り締まる方法(異常検出)です。たとえば社内のサーバーに忍び込もうとしているデータを不審者として検挙します。
IDS/IPSの詳細については「UTMの機能③IDS/ IPSで不正アクセスやゼロディ攻撃を防止」で紹介します。
コストと人の課題をUTMが解決
多層防御には2つの課題があります。それが「コスト」と「人」です。
ファイアウォールはソフトウェアで提供されることもハードウェアと一体化されたアプライアンスで提供されることもあります。いずれにせよ投資が必要となります。これはIDS/IPSも同様です。
セキュリティレベルの維持に投資は付きものとはいえ、それぞれにコストを割くのは効率的ではありません。ここで開発されたのがUTM「統合脅威管理」です。多層防御を個々に行うのではなく統合して実施します。
「人」も大きな課題でした。セキュリティ対策機器の導入後における運用を、個々に行っては手間と時間がかかります。これもUTMが解決します。複数の機能を統合して導入することができ、複数のソフトウェアから上がってきたエラーを統合されたUIで確認できます。運用負荷が大幅に軽減され人的コストを最適化できます。このことは人材の有効活用やコスト削減にもつながります。
ポイントまとめ
多層防御を効率的に実現するUTM
UTMを活用することで、多層防御を効率的に実現できます。アプライアンス型UTMはクラウド型UTMへと進化し、NTTスマートコネクトの提供するクラウド型UTMは世界トップシェアのFortigateをベースとしています。