ネットワーク・セキュリティの分野では、数年ほど前から、統合脅威管理(UTM)アプライアンスと呼ばれる製品が登場してきています。UTM アプライアンスは、複数のセキュリティ機能を1つの機器に統合し、限られた管理リソースしか持たない企業や組織でも最小限の負担でITセキュリティ機能を管理できるようにする効率的な手段として注目を集めています。通常、これらの製品は、ファイアウォール、アンチウイルス、侵入検出/侵入防御の各機能を1つの機器に搭載しています。 第1世代の UTM アプライアンスは、規模を問わずさまざまな企業で導入されていますが、主流となっているのは中小規模の企業と、大規模企業の支社・支店環境です。このように、UTM アプライアンスの導入は進む一方となっていますが、専門家らの間では、「多くの場合、UTM アプライアンスが提供する機能だけでは全く不十分であり、機能を追加してネットワーク全体のセキュリティを強化する必要がある」との指摘がなされているのも事実です。
しかしここ最近、このような弱点を克服した製品も登場しつつあります。最新世代の UTM アプライアンスは、アンチウイルスなどの基本機能に加えて、企業ネットワークのコア部分を保護し、インフラストラクチャの各部を強化するより高度な機能を搭載しています。具体的には、特定 Web サイトの閲覧の禁止、インスタント・メッセンジャー(IM)やピア・ツー・ピア(P2P)アプリケーションの保護、リモート・サイトへの SSL/VPN 接続などの機能が提供されます。また、複数の UTM アプライアンスを集中管理して、ネットワーク全体をより確実に制御することも可能になっています。
ファイアウォールでの Web コンテンツのフィルタリング
最新世代の UTM アプライアンスが備える中心的な機能としては、クロスサイト・スクリプティングやディレクトリ・トラバーサル、SQL
インジェクションなどの攻撃をブロックする Web アプリケーション・ファイアウォールが挙げられます。また、これらの
UTM アプライアンスでは、組織があらかじめ定義した Web サイトの利用規定に則り、企業ネットワーク内から
Web サイトにアクセスする場合に、どのサイトの閲覧を許可するかを指定することもできるようになっています。不適切な
Web サイトの閲覧は、スパイウェアやウイルスなどのマルウェアが企業ネットワークに侵入するきっかけとなるおそれがあることから、この
Web フィルタリング機能は極めて重要です。最新世代の UTM アプライアンスは、この種のサイトへのアクセスをブロックすることで、スパイウェアなどがネットワークの境界を越えて侵入してくる可能性を最小限に抑えます。
Web フィルタリングには、これ以外にもさらなるメリットがあります。ビジネス上のリスクがある Web サイトの閲覧をカテゴリごとブロックできるため、各種の法律や規制に違反して、企業として法的責任を問われる可能性を大幅に低減することができるのです。例としては、社員によるアダルト・サイトの閲覧などが挙げられます。最新世代の UTM アプライアンスを使用してあらゆるアダルト・サイトへのアクセスをブロックすれば、経営者は、社員が勤務中に違法なコンテンツをダウンロードすることを心配せずに済むようになります。またWebフィルタリングの機能は、プライバシーに関する法規制を遵守するうえでも役立ちます。これは、今後の時間的、金銭的なコストを削減することにもつながります。
ポピュラーなアプリケーションの保護
最新世代の UTM アプライアンスで新たに提供されるようになったのは、Web フィルタリングの機能だけではありません。
これらの製品は、IM や P2P ファイル共有アプリケーション(KaZaA や Morpheus など)の保護にも対応しており、ネットワークの安全性をさらに高めます。管理者は、ユーザのアクティビティを監視して必要に応じてブロックするプロトコルを指定することができます。重要なのは、これらの機能では、アプリケーションを単純にブロックするのではなく、「制御」するということです。
そのメリットは3つあります。まず、これは言うまでもないことですが、ファイル共有を監視して、ユーザが意図せず悪意あるファイルをネットワークに招き入れてしまうのを防ぐことができます。
第2に、特定のユーザが貴重なネットワーク帯域を際限なく消費してしまうことのないように、制限をかけることができます。そして第3に、ユーザが著作権のあるコンテンツを違法にダウンロードしたり交換したりできないようにすることで、企業が法的責任を問われる(告訴されるなど)可能性を低くすることができます。企業の資産と信用を同じように保護する──これが、最新世代の UTM アプライアンスの特徴です。
アドオン機能への組み込み
最新世代の UTM の機能を拡張するためには、SSL/VPN 保護および VoIP (Voice over
Internet Protocol) セキュリティをアドオンとして統合します。UTM ソリューションに
SSL/VPN を統合することで、複雑な VPN クライアント・ソフトウェアを配布してインストールすることなく、リモート環境の社員に素早く安全にリモート・アクセスを提供できます。スタンドアロンの
SSL/VPN ゲートウェイほど堅牢ではありませんが、ネットワーク・セキュリティの面で妥協することなく、素早く費用をかけずに
SSL/VPN を実装する方法の1つです。
VoIP についても、UTM でさらに保護を行うことで、脅威に対する防御機能の保護下に VoIP サーバを含めることができ、帯域への需要が高まった場合でも品質が劣化しないことを保証するサービス・プロトコルを確立できます。後者の機能のメリットは明らかです。管理者が UTM を使用して遅延を監視することで、ユーザの VoIP 通話が切断されないようにすることができます。その結果、VoIP を有効に活用でき、コスト削減目標の達成にまた一歩近づきます。
管理を一元化するメリット
最新世代の UTM を実現すると、UTM アプライアンスが提供する機能を利用して、ネットワークを保護している他のデバイスを一元的に管理できます。これまで、このような拡散した環境で
UTM を機能させるには、管理サーバを別に設置する必要がありました。しかし、この最新のアプローチでは、従来は必須だった管理サーバ専用のハードウェアを設置することなく、多数のデバイスやサイトを同じコンソールから管理できます。最新世代の
UTM アプライアンスなら、管理ソフトウェアを同じハードウェアで実行でき、UTM をより安価で、よりシンプルに導入・管理できます。
一元化された管理コンソールでは、セキュリティ・ポリシーを集中管理し、これらのポリシーをインフラストラクチャ全体に配布することもできるため、各サイトやゲートウェイを個別に管理する必要がなくなります。これにより、管理者の負担を軽減し、設定ミスが起きる可能性を低く抑えることが可能になります。ネットワーク管理者は、これらのコンソール・ダッシュボードを使用することで、ファイアウォール・セキュリティ、NAT(ネットワーク・アドレス変換)、QoS(サービス品質)、VPN を定義および管理できるだけでなく、セキュリティ・アップデートを一元化することもできます。
場合によっては、監査や素早いロールバックを目的として、ダッシュボードでセキュリティ・オブジェクトやセキュリティ・ポリシーのバージョン管理を行うことも可能です。つまり、最新世代のUTMであれば、より少ない労力でより広範な管理が可能になります。このメリットは、どのようなネットワークでも享受できます。
チェック・ポイントのアプローチ
最新世代の UTM デバイスの性能は、これまでのUTMに比べ大幅に向上しています。チェック・ポイント・ソフトウェア・テクノロジーズが提供する
UTM-1 アプライアンスは、最新世代の UTM のすべての機能をカバーするだけでなく、さらに多彩な機能を備えています。
UTM-1 は、実績に裏打ちされた妥協のないセキュリティを提供すると同時に、導入の効率化を実現します。UTM-1
を使用することで、ネットワーク全体の管理を一元化できます。さらに、SmartDefense サービスにも対応しており、シグネチャをリアルタイムに更新することで、チェック・ポイント・インフラストラクチャ内のあらゆるデバイスの事前対応的なセキュリティ機能を常に最新の状態に維持できます。
UTM-1 で最も注目に値するのは、付属のセットアップ・ウィザードを使用してわずか10分ほどで導入できる点です。IT リソースが限られている企業でも簡単に導入でき、本当にシンプルなセキュリティの恩恵を享受できます。数年前までのネットワーク・セキュリティの世界では、Web フィルタリング、IM や P2P のセキュリティ、VoIP の保護、SSL/VPN といった UTM 機能を複雑な設定なしで実現することは夢物語でした。 今、その夢が現実になったのです。