UTMは古い!無用の長物は本当なのか、中小企業のサイバーセキュリティについて忖度無しに解説します。
2023年3月24日、経済産業省から『サイバーセキュリティ経営ガイドラインVer3.0』が公開されました。https://www.meti.go.jp/policy/netsecurity/mng_guide.html
これはこれで間違いでは無く、精神論とまでは言いませんが、具体的に何すれば良いのかは書かれていない文章です。システムの専門家にはともかく、一般的な経営者が具体的に何をすれば良いのか参考にならないのが現実では無いでしょうか?
情報セキュリティの世界では、孫子の「敵を知り、己を知れば、百戦殆(あや)うしからず」を例に説明する人が昔から多いのですが、私も親和性が非常に高いピッタリな考え方だと思っています。しかし経営者がシステムの専門家であるケースは少数派で、孫子をやっている時間はありません。
そこで、特に中小企業におけるセキュリティ対策として「UTM(Unified Threat Management:統合脅威管理)」の導入が切り札的に使われて来ました。
背景として、大企業や自治体や大学などの大きな組織では、セキュリティの考え方が『ゼロトラストネットワーク構築』に変わりました。こうなるとUTMなんかで制御できる範囲を超えています。そこでUTMを売ってるITベンダーは、中小企業向けセールスを中心にすることになります。「UTMさえ導入すればセキュリティ管理者が不在でも大丈夫!今なら補助金が使えます!」って感じで営業に来ます。
UTMとは?
UTMとは、大雑把に言えば「複数のセキュリティ機能を一つに統合した箱」で、一昔前まで主流だったファイアウォールのセキュリティ範囲を広げた物のイメージで大丈夫です。
https://www.ntt.com/business/services/network/internet-connect/ocn-business/bocn/knowledge/archive_07.html#cont01
UTMでのウイルス対策は気休め
HTTPSの普及(SSL化)により、現在では、そもそものWeb上のトラフィックが暗号化されています。ですから、トラフィックの内容を見ているだけのUTMがウイルスを検知しようとしても、暗号化されている通信なのでUTMでの検知は無理です。単純に意味が無いのです!
UTM自体がボトルネック化する
現在では暗号化により意味が無いにも関わらず、UTMは通信の中身を監視しようとします。当然ながら処理できる量には限度がありますから、どうしても速度低下の原因になりがちです。Web会議が妙に繋がらない時などUTMが疑わしいケースです。またUTM自体の障害(ソフトウェアアップデートがあるので、ネットワーク機器の中ではダントツに多い)が出ると、そもそも通信が出来なくなります。
そもそもUTMはサーバーがある社内ネットワークが前提だった
Google Workspace やOffice365に代表されるクラウドサービスなどが全盛の現在、そもそもファイルサーバーやグループウェア用に自社サーバーを建てる意味が、特に中小企業では無くなっています。UTMのサーバー攻撃に対する防御機能は、後ろに守るべき社内サーバーがなければ意味ありません。
UTMを使いこなすには、専門の担当者が必要になる
機能が多過ぎ、導入効果も測れず、その評価も分からないので、中小企業が買った場合にはただ入れただけの高価な箱になっていたケースが最もよく見られる。ネットワークが絡む製品は担当者が使いこなすのが難しく、後から触りたくないのが一般的。
UTM導入の話は聞いても「UTMがあったから攻撃を防げた!」という話を聞くことは稀です。セミナー案内や営業が来ても無視すれば良いのですが、今でも『中⼩企業サイバーセキュリティ対策継続⽀援事業』https://security-keizoku.metro.tokyo.lg.jp/のような自治体の補助金事業(実質的にUTMの購入に対する支援)なんかが昔と同じ無内容で続けられています。「IT導入支援事業者」に認定されているので補助金が使えます!が定番のトークスクリプトですので、お布施にならないようにしましょう!
松濤bizパートナーズでは、中小企業のためのセキュリティ対策のご相談、IT化・DX導入に伴うセカンドオピニオンとしてのご利用などを承っております。1コマ15,000円/90分のお求めやすい価格に抑えた定額料金制コンサルサービスの「ITアドバイザリー」では、お客様の状況に合わせたご提案が可能です。どうぞお気軽にご相談ください。
