統合セキュリティ対策 UTM入門
インターネットには危険がいっぱいです。無防備な状態で利用すると、 インターネットから様々な脅威が襲ってきて、コンピュータなどの 情報システムに予想もしなかった被害をもたらせます。 このため、インターネットに潜在する脅威を防御することが重要となります。 しかし、様々な脅威を防御するには、一つ一つの脅威に応じた対策を講じていかなければならないため、 システムが複雑化してきていることが現状です。 このため、1つの装置でファイアーウォール(FW)、アンチウイルス、WEBコンテンツ・フィルタリング(URLフィルタ)、IDS/IPS、等の様々な対策が可能な UTM(Unified Threat Management:統合脅威管理)アプライアンスが注目されています。 本資料では、UTMアプライアンスが出現した背景であるインターネット上の脅威から、 UTMの提供する具体的な機能までを解説します。
これまでの掲載
-
第1回目 1. インターネットには危険がいっぱい
2. 現出する脅威第2回目 3. 危険への対策 第3回目 4.UTMとは
目次
- <第1回目>
- はじめに
- 1. インターネットには危険がいっぱい
- 2. 現出する脅威
-
- 2.1. 情報漏洩の脅威
- 2.2. ウイルスの脅威
- 2.3. 脆弱性を狙った脅威
- 2.4. 業務妨害を狙った脅威
- 2.5. 業務効率低下の脅威
<第2回目>- 3.危険への対策
-
- 3.1. 情報漏洩
- 3.2. ウイルス
- 3.3. 脆弱性を狙った攻撃
- 3.4. 業務妨害を狙った攻撃
- 3.5. WEBアクセス
<第3回目>- 4. UTM(Unified Threat Management:統合脅威管理)
-
- 4.1. なぜ、UTMは必要なのでしょうか?
- 4.2. ファイアーウォール(FW)からUTMへ
- 4.3. UTMが提供する機能
- 4.4. 富士通が提供するUTM
- 付録:UTM入門 用語解説
4. UTM(Unified Threat Management:統合脅威管理)
UTMとは、一般的にインターネットとイントラネットを結ぶ場所に潜む様々な危険や脅威 (詳細は、 「2.現出する危険」を参照)への対策を一台で実現する製品 (アプライアンス装置あるいはソフトウェア)のことを言い、 統合型のセキュリティ対策製品と考えられます。
UTMという言葉自体は、調査会社の米IDC社が定義したと言われています。
UTMでは、以下のセキュリティ対策機能を装備しています。 さらに、これらの機能を統合的に管理する機能を備えています。
- ファイアーウォール(FW)
- VPN通信
- IPsec-VPN
- SSL-VPN
- ゲートウェイ型アンチウイルス
- アンチスパム
- 不正侵入防御(IPS)
- WEBコンテンツ・フィルタリング(URLフイルタ)
個々の機能については、 「4.3. UTMが提供する機能」で説明します。
4.1 なぜ、UTMは必要なのでしょうか?
ネットワークに潜む様々な危険による脅威からシステムを防御するためには、 それぞれの危険に対応した一つ一つのセキュリティ対策を行わなければなりません。
セキュリティ対策には、前章でも記述したように人為的な原因を減少させる間接的な対策と、 危険そのものを防御または回避する機器による直接的な対策があります。
間接的な対策は、ルールの作成と運用、ルール厳守やモラル向上の教育等となります。
直接的な対策は、 インターネットと イントラネットを結ぶ場所に、ネットワークに潜む 危険に対応した対策機能を備えた製品を設置するような対策になります。
UTMは、直接的な対策を行う場合に利用する製品です。
前述したとおり、ネットワークに潜む危険に対しては、一つ一つの専用のセキュリティ対策製品を 準備しなければなりません。
このため、図17に示すように複数製品の組合せによる構築が必要となります。
図17.セキュリティ対策専用製品の組合せ
複数装置の組合せによる構築では、以下のようなデメリットが発生します。
- セキュリティ対策機器数が増加し、導入コストや管理コストが高くなります。
- セキュリティ対策機器の構成が複雑化し、運用工数や管理工数がかかります。
- セキュリティ対策機器の設置スペースが増加します。
- セキュリティ対策機器数が増加し、障害率が高くなります。
そこで、ファイアーウォール(FW)、ゲートウェイ型アンチウイルスや不正侵入防御などの セキュリティ対策機能を一台の機器に装備させたUTMを導入することで、 上記のデメリットが解消されます。
図18にUTM(アプライアンス製品)のメリットを示します。
図18. UTM(アプライアンス製品)のメリット
しかし、UTMにもメリットだけではなく、デメリットもあるということを踏まえて、 導入する必要があります。
UTMのデメリットとしては、以下のものが考えられます。
- セキュリティ対策機能のどこかで障害が発生した場合にUTM自体の 障害となり、システム全体に影響を及ぼします。 障害が発生した機能だけを切り離すことができません。
- 自社のセキュリティ対策にあわせて、個々の最適なセキュリティ対策機能を持った 製品を選択し、システムを構築することができません。
- 複数のセキュリティ対策機能を一台のハードウェア装置に組み込んで 動作させるため、機能単位での性能拡張ができません。
4.2 ファイアーウォール(FW)からUTMへ
ファイアーウォール(FW)は、通過するパケットのデータをリアルタイムに検査し、 その検査結果に基づいて、通過の許可や廃棄などのアクションを実行します。 また、管理者へアクションの実行などを通知する機能があります。
しかし、 「1.インターネットには危険がいっぱい」の図1で示したように、 最近の複雑かつ高度化したネットワークに潜む危険からは、ファイアーウォール(FW)だけでは 防御できなくなっています。
複雑かつ高度化した危険から情報システムを守り、 十分なセキュリティを確保するためには、複数の防御対策を組み合わせて、 統合的なセキュリティ対策を行わなければなりません。
このため、ファイアーウォール(FW)市場が減少し、UTM市場が急速に拡大しています。
つまり、近年のネットワークに潜む危険に対しては、 従来の単機能型のファイアーウォール(FW)では セキュリティ対策が十分に行えないという認識が広まり、 統合的なセキュリテュイ対策を行う必要があり、 そのために統合セキュリティ対策製品であるUTMの導入を促しているものと考えられます。
4.3 UTMが提供する機能
UTMは、前述した以下の危険をもたらす原因となる脅威を防御します。
- 情報漏洩
P2Pアプリケーション、 ウイルス、 フィッシング - ウイルス
メール型ウイルス、 WEB型ウイルス、 不正アクセス - 脆弱性を狙った攻撃
OSの 脆弱性を狙う攻撃・侵入、WEBアプリケーションの脆弱性を狙う攻撃・侵入 - 業務妨害を狙った攻撃
DoS/DoS攻撃、 スパムメール、 プロトコル規約を違反した攻撃 - WEBアクセス
フィッシング、WEB型ウイルス、不正アクセス
図19に上記の危険を引き起こすネットワークに潜む脅威とその対策機能を示します。
図19. 主な脅威とその防御対策機能
以下に各機能について説明します。
- ファイアーウォール機能(FW)
外部のコンピュータネットワーク(インターネットなど)から 内部のコンピュータネットワークを守るために、送られてきたパケット情報を判定し、 フィルタリング(通過させるか否かの判断)する機能です。 フィルタリングには、パケットフィルタリング方式、アプリケーションゲートウェイ方式や サーキットレベルゲートウェイ方式があります。
- パケットフィルタリング方式
送られてきたパケットのヘッダー部に含まれるプロトコル、送信元アドレス、 送信先アドレスやポート番号等の情報を判定して、フィルタリングする方式です。
この方式を拡張したアプリケーションレベルのデータ通信を判定する ステートフルインスペクションという方式もあります。 - アプリケーションゲートウェイ方式
通信を中継するプロキシサーバを利用して、 内部のコンピュータネットワークと外部の コンピュータネットワークの間を直接通信できないようにする方式です。 - サーキットレベルゲートウェイ方式
TCP/IPなどの OSI参照モデルの4層(トランスポート層)で 通信を代替し、制御する方式です。
- パケットフィルタリング方式
- VPN(Virtual Private Network)通信機能
インターネットなどのセキュアではないネットワーク上で 機密情報を交換する際、機密情報を「他者からの盗聴」、「改ざん」、 「なりすまし(スプーフィング)」などの脅威から完全に保護して、 安全性の極めて高い通信を保障する機能です。 安全性の高い通信は、送信する側はデータを暗号化して流し、 受信する側は受信したデータを復号化して確認するという暗号化通信で実現します。 VPN通信には、以下の方式があります。
- IPsec-VPN(IP Security-Virtual Private Network) 方式
「IPsecトンネル」または「VPNトンネル」とも言われます。 IPsecは、IPネットワーク上で暗号化通信を実現する 複数のプロトコルの総称で、 IPsec(IP Security)プロトコルと IKE(Internet Key Exchange)プロトコルの2つのプロトコルで構成されます。 - SSL-VPN(Secure Socket Layer-Virtual Private Network)方式
WEBブラウザなどに搭載されている SSL(Secure Socket Layer)プロトコルと 呼ばれる暗号技術、認証技術を使用して、インターネット上で 安全にリモートアクセスを実現する機能です。
- IPsec-VPN(IP Security-Virtual Private Network) 方式
- ゲートウェイ型アンチウイルス機能
ゲートウェイとして設置し、ウイルス、ワーム、トロイの木馬 (以降、単にウイルスと略します。)をリアルタイムで高速検出することにより、 ウイルスの感染や拡散を防止する機能です。ウイルスは、 インターネットによる電子メールやWEBアクセスによる情報収集などが、 企業活動に不可欠となった現在、様々な形でコンピュータを狙っており、 その防御対策もまた不可欠なものとなっています。 ウイルスの判定は、一般的にウイルスパターン定義ファイルとして 提供されるファイルとの比較で行われます。
その他として、利用者がカスタマイズした条件で判定することもできます。 - アンチスパム機能
宣伝や勧誘など受信者が望まないにもかかわらず、 大量に送りつけられてくるスパムメール(迷惑メール)を防御する機能です。 スパムメールは、メールの受信者が迷惑するだけではなく、 ネットワークの過負荷やメールスプールのオーバーフローによる システムダウンなどにもつながりますので、防御する必要があります。
スパムメールの判定は、一般的に以下の方法で行われます。 - 不正侵入防御(IPS)機能
ネットワークシステムへの悪意のある侵入やサービス妨害攻撃を検知、 防御する機能です。 不正侵入は、OS、WEBアプリケーションやデータベース言語の脆弱性を突いて行われ、 企業の個人情報や機密情報等を盗まれる可能性があるため、 また、サービス妨害攻撃は不正侵入を行うための手段として使われる可能性があるため、 防御する必要があります。 不正侵入を防御する方式には、 アノマリ型と シグネチャー型の2種類があり、 多くの製品ではシグネチャー型を装備しています。 - WEBコンテンツ・フィルタリング(URLフィルタ)
内部ネットワークからインターネットへのWEBアクセスに対する規制を行う機能です。 一般に有害サイトと呼ばれるホームページへのアクセスをフィルタリングすることは、 学校などの教育機関では必須の要件となっていますが、 一般企業でも、業務に関係のないサイトへのアクセス防止により、 情報漏洩の防止、労働生産性の向上、やネットワーク負荷の軽減などの リスク軽減が期待できます。
フィルタリングの判定は、WEBページの情報をカテゴリごとに分類した データベース(以後、URLデータベース)を利用して、 禁止・許可のアクセス制御を行っています。
なお、URLデータベースは、日々増加する有害サイトにあわせて更新されます。
4.4 富士通が提供するUTM
富士通は、IPCOM EXにオプション機能を装備することでUTMアプライアンス製品として提供します (但し、IPCOM EX LBシリーズは除きます)。
IPCOM EX では、シリーズ毎に標準搭載機能としてファイアーウォール機能(FW)、 P2Pアプリケーション遮断機能およびアノマリ型IPS機能などを提供しています。
オプション機能では、VPN通信機能としてIPsec-VPN機能およびSSL-VPN機能を、 サービスによる機能としてアンチスパム機能を含むアンチウイルス機能、 WEBコンテンツ・フィルタリング(URLフィルタ)機能とシグネチャー型IPS機能を提供しています。
IPCOM EXをUTM化する狙いは、
「統合」を進化させ、「安全・シンプル・安定」を更に強化します。
具体的には、以下の通りです。
(1) 安全の強化-多様化する脅威への対応力強化(UTM化)
(2) シンプルの強化-UTM搭載ロードバランサの提供
(3) 安定の強化-装置追加なしで機能拡張を段階的に実現
それぞれの特長について説明します。
(1) ウイルス対策、WEBアクセス対策の強化
UTMアプライアンスとして、IPCOM EXシリーズを提供。
- 外部からのウイルス侵入の防御。
- 内部からの情報漏えい、ウイルス拡散の抑止。
図20. 多様化する脅威への対応力強化
(2) サーバ集約ポイントで一括した脅威対策の実現
業界初のUTM搭載ロードバランサとして、IPCOM EX INシリーズを提供。
- サーバアクセスの抜け道をシャットアウト。
- 万が一、サーバが乗っ取られても、それを踏み台にした他のサーバへの攻撃を阻止。
- 乗っ取られたサーバを負荷分散の対象から外すことで隔離。
(3) 必要機能でスモールスタート
新たな装置を追加することなく短手番で機能拡張が可能なようにオプションとして EX2300/2500モデルではINシリーズ移行キットを提供。
IPCOM EX2300/2500 SC、IPCOM EX2300/2500 NW、IPCOM EX2300/2500 LBから IPCOM EX2300/2500 INへの移行が可能です。
- ファイアーウォール装置の導入から初めて、機器追加なしでアンチウイルスや WEBコンテンツ・フィルタリング(URLフィルタ)、シグネチャー型IPS等のUTM機能の追加が可能。
※ IPCOM EX1100/EX1200/EX2300/2500 SC、IPCOM EX1300/2300/2500 NW、IPCOM EX2300/2500 IN - ファイアーウォール装置の導入から初めて、機器追加なしでUTM機能や サーバ負荷分散(ロードバランサー)機能の追加が可能。
※ IPCOM EX2300/2500 SC、IPCOM EX2300/2500 NW - 負荷分散装置の導入から初めて、機器追加なしでUTM機能の追加が可能。
※ IPCOM EX2300/2500 LB
図21を参照してください。
図21.装置追加なしで機能拡張を段階的に実現
さらに、IPCOM EXシリーズには以下の特長があります。
- IPCOM EXシリーズは、開発から製造、サポートまで、 全てを日本国内で実施している国産品です。 このため、サポートにおいても、素早い対応が可能であり、 海外製品に対する保守面での不満を解消します。
- お客様の運用負荷の軽減と安定稼動を実現するために、 IPCOM EXシリーズのセキュリティ運用をお客様に代わって行う、 「IPCOM セキュリティ運用サービス」を提供します。
詳細につきましては、下記のURLをご参照願います。
IPCOM セキュリティ運用サービス
富士通が提供するUTMでは、アプライアンス製品(IPCOM EXシリーズ)から 運用サービスまでトータルな利用環境を用意しています。
目次
- <第1回目>
- はじめに
- 1. インターネットには危険がいっぱい
- 2. 現出する脅威
-
- 2.1. 情報漏洩の脅威
- 2.2. ウイルスの脅威
- 2.3. 脆弱性を狙った脅威
- 2.4. 業務妨害を狙った脅威
- 2.5. 業務効率低下の脅威
<第2回目>- 3.危険への対策
-
- 3.1. 情報漏洩
- 3.2. ウイルス
- 3.3. 脆弱性を狙った攻撃
- 3.4. 業務妨害を狙った攻撃
- 3.5. WEBアクセス
<第3回目>- 4. UTM(Unified Threat Management:統合脅威管理)
-
- 4.1. なぜ、UTMは必要なのでしょうか?
- 4.2. ファイアーウォールからUTMへ
- 4.3. UTMが提供する機能
- 4.4. 富士通が提供するUTM
- 付録:UTM入門 用語解説
富士通のUTM装置(IPCOM)のラインナップ
富士通のUTM装置 IPCOMシリーズは、システムに合わせて搭載機能を追加し、段階的な統合を可能にすることにより、常にシステムに最適なネットワーク環境を実現します。