UTMで「知らないうちに加担する」サイバー攻撃を弾き飛ばす：IT導入完全ガイド（5/5 ページ）

　では次に、最新UTMの選び方のポイントを考えてみる。UTMの機能はほぼ横並びで、機能の有無だけでは判断できないことがほとんどだろう。各製品やベンダーの細かい特徴やサポートを注視する必要がある。以下では特に注目したい3ポイントを記す。

SSLインスペクション機能に注目しよう

　暗号化通信であるSSL（HTTPSなど）は通信経路の安全性を高める重要な技術だが、一方でパケット内容をチェックするUTMにとっては厄介なもの。暗号化されたパケットからは宛先IPアドレスやURLしか分からないからだ。これを利用して、攻撃者側はSSL通信でウイルスを送りつけたり、社内の感染PCから攻撃者側のサーバへの通信を暗号化したりして、発見を難しくする手を使うようになった。

　そこでUTMは、暗号を復号してからパケットのチェックを行う「SSLインスペクション機能」を備えるようになってきた。これは負荷の高いプロセスになり、UTMのスループット改善のネックにもなっていたが、現在ではSSLアクセラレータ機能を強化したASIC、あるいは汎用（はんよう）マルチコアCPUの機能を活用して性能がかつてよりも段違いに向上している。

　この機能に特に注目したいのは、2015年11月には無償のSSLサーバ証明書の一般への配布が始まりそうだからだ。そもそも「全ての通信をSSL化する」機運は高まっていたが、無償証明書によりそれが急加速する可能性がある。

　アカマイ・テクノロジーズやシスコシステムズ、モジラなどの著名企業が参加する非営利団体ISRG（Internet Security Research Group）の「Let’s Encrypt」プロジェクトが無償証明書の配布元だ。SSL通信が急速に増えていく将来を見越し、UTMにはSSLインスペクション機能があるもの、そしてその性能が高いものを選びたい。

性能の見極めはどうする？

　ゲートウェイに設置して外部との全ての通信が経由することになるUTMだけに、そこでの遅延は大問題だ。自社のトラフィックに即して適切な性能の製品を選ぶ必要がある。しかし事前に十分な性能のレベルを見極めるのは難題だ。

　カタログにはスループットの数字が載ってはいるが、企業個別のトラフィックの条件によって大きく変動するのが実態のようだ。正確を期すには、実機でのテストが最も確実だ。ベンダーによっては、適切なサイジングをアドバイスしてくれた上、テスト機を貸し出してもらえる場合がある。特にメーカー中立なベンダーでは、異なるメーカーの製品を幾つか貸し出してくれることもある。2週間あるいはそれ以上の期間をかけて、実際の状況を確認、評価して選ぶのがお薦めだ。

サポートの手厚さにも注意

　UTMは導入時の設定と、定期的、あるいは必要に応じた変更が必ず要る。自社のネットワーク利用状況に合わせて常に最新、最適な設定に保つ必要があり、また日々のパターンファイルやシグネチャ、危険なURL情報やIPアドレス情報の更新は、適切に反映されなければならない。その運用手順や設定内容は、新規導入では多くの場合担当者を悩ませる。

　そこでベンダー側からのサポートやアドバイスが重要だ。自社の担当者が自由に会話や議論ができる先方の担当者がいるかどうかは大事なポイントだ。特にIPSやWAF機能、IPレピュテーション機能、アプリケーション制御機能などは1つ間違うと業務に必要な相手先に接続できなくなり、通常のビジネスに悪影響を与えてしまう可能性がある。十分に専門家とともに検討して、トラブルのない導入と運用を図りたい。

　なお、万一の故障の場合には通信が止まることになるかもしれない。UTMの2重化は中堅・中小企業にはなかなか投資額の面で難しいだろう。ベンダーのフィールドサポートによって代替機との切替などを迅速に実行してもらえるか否か、かけつけてくれるまでの時間、あるいは対応可能な日程など、必要な条件を提示して、ベンダーと折衝するのがよいだろう。