MENU
ITと事業計画の経営コンサルティング
お問い合わせ
  1. ホーム
  2. コラム
  3. UTMは古い!無用の長物は本当なのか、中小企業のサイバーセキュリティについて忖度無しに解説します。

UTMは古い!無用の長物は本当なのか、中小企業のサイバーセキュリティについて忖度無しに解説します。

コラム
UTMを連想させるサーバールームの写真
UTM 古い いらない

2023年3月24日、経済産業省から『サイバーセキュリティ経営ガイドラインVer3.0』が公開されました。https://www.meti.go.jp/policy/netsecurity/mng_guide.html

これはこれで間違いでは無く精神論とまでは言いませんが、「具体的に」何すれば良いのかは書かれていない文章です。システムの専門家にはともかく、一般的な経営者が何をすれば良いのか、参考にならないのが現実では無いでしょうか?

情報セキュリティの世界では、孫子の「敵を知り、己を知れば、百戦殆(あや)うしからず」を例に説明する人が昔から多いのですが、私も親和性が非常に高いピッタリな考え方だと思っています。

しかし経営者がシステムの専門家であるケースは少数派で、孫子をやっている時間もありません。

そこで、特に中小企業におけるセキュリティ対策として「UTM(Unified Threat Management:統合脅威管理)」の導入が切り札的に使われてきた過去の経緯がありました。

背景として、大企業や自治体や大学などの大きな組織では、セキュリティの考え方が『ゼロトラストネットワーク構築』に変わりました。こうなるとUTMなんかで制御できる範囲を超えています。そこでUTMを売ってるITベンダーや代理店は、中小企業向けセールスを中心にすることになります。

「UTMさえ導入すればセキュリティ管理者が不在でも大丈夫!今なら補助金が使えます!」って感じで営業に来ます。

目次

UTMとは?

UTMとは、大雑把に言えば「複数のセキュリティ機能を一つに統合した箱」で、一昔前まで主流だったファイアウォールのセキュリティ範囲を広げた物のイメージで大丈夫です。
https://www.ntt.com/business/services/network/internet-connect/ocn-business/bocn/knowledge/archive_07.html#cont01

UTMでのウイルス対策は気休め

HTTPSの普及(SSL化)により、現在では、そもそものWeb上のトラフィックが暗号化されています。SSLに対応していない非HTTPSページへのアクセスを、ブラウザがブロックするのも最近では普通になりました。

ですから、今の時代にWebトラフィックの内容を見ているだけのUTMがウイルスを検知しようとしても、暗号化されている通信なのでUTMでの検知は無理です単純に意味が無いのです!

UTM自体がボトルネック化する

現在では暗号化により意味が無いにも関わらず、UTMは通信の中身を監視しようとします。当然ながら処理できる量には限度がありますから、どうしても速度低下の原因になりがちです。Web会議が妙に繋がらない時などUTMが疑わしいケースです。またUTM自体の障害(ソフトウェアアップデートがあるので、ネットワーク機器の中ではダントツに多い)が出ると、そもそも通信が出来なくなります。

そもそもUTMはサーバーがある社内ネットワークが前提だった

Google Workspace やOffice365に代表されるクラウドサービスなどが全盛の現在、そもそもファイルサーバーやグループウェア用に自社サーバーを建てる意味が、特に中小企業では無くなっています。UTMのサーバー攻撃に対する防御機能は、後ろに守るべき社内サーバーがなければ意味ありません。

また「クラウドストレージを使うとPマークが取れない」の話も一部に根強いですが、現在では都市伝説に変わっています。問題ありません。

UTMを使いこなすには、専門の担当者が必要になる

機能が多過ぎ、導入効果も測れず、その評価も分からないので、中小企業が買った場合にはただ入れただけの高価な箱になっていたケースが、最もよく見られます。ネットワークが絡む製品は、担当者が使いこなすのに比較的難しく、また後から触りたくないのが一般的なことも背景です。

さらに「情シス担当者がいない中小企業のセキュリティ対策の切り札!」なる意味不明な営業トークも一時期に流行りました。罪深いですね。

UTM導入の話は聞いても「UTMがあったから攻撃を防げた!」という話を聞くことは稀です。セミナー案内や営業が来ても無視すれば良いのですが、今でも『中⼩企業サイバーセキュリティ対策継続⽀援事業』https://security-keizoku.metro.tokyo.lg.jp/のような自治体の補助金事業(実質的にUTMの購入に対する支援)なんかが昔と同じ無内容で続けられています。「IT導入支援事業者」に認定されているので補助金が使えます!が定番のトークスクリプトですので、お布施にならないようにしましょう!

松濤bizパートナーズでは、中小企業のためのセキュリティ対策のご相談、IT化・DX導入に伴うセカンドオピニオンとしてのご利用などを承っております。20,000円/90分のお求めやすい価格に抑えた定額料金制コンサルサービスの「ITアドバイザリー」では、お客様の状況に合わせたご提案が可能です。どうぞお気軽にご相談ください。

あわせて読みたい
「ITアドバイザリー」は、定額料金のコンサルティングサービスです。初めてコンサルを利用する方や、お試し感覚で利用したい方などに安心してご利用いただけます。
コラム
ITアドバイザリー UTM コンサル サイバーセキュリティ システム セキュリティ 中小企業のセキュリティ対策 松濤bizパートナーズ 社内インフラ 経営計画ジャーニー
よかったらシェアしてね!
目次