UTM装置と、UTMという考え方（441号）

このメルマガでは、ネットワーク機器のお話をときどき書いています。

ネットワーク機器が、見ためだけでは目的や機能がサッパリわからないから、というのが理由なのですが、現実には、そこに運用だとか責任体制なんてのも、複雑にからんでいます。

結果、ますますわかりにくくなります。

今回は、ネットワーク機器の中でも運用が難しいUTM装置についてお話します。
（今回は、組織向けの内容ですので、事業主さんにはピンと来ないかもしれません。ご容赦ください）


1. UTM装置ってナニ？

UTM装置というのは、ネットワークの裏側を支える装置で、外部（インターネット）から入ってくるデータや出ていくデータを監視して、「怪しい動きはないか」「危険な相手と通信しようとしていないか」「ウイルスなど変なデータが入ってこようとしていないか？」といったサイバー攻撃の兆候を監視する、“見張り役”です。

ちょっと技術的に説明すると、こんなことができる機器です。（個々の内容はわからなくてもOKです。）

  1. ファイアウォール：どの通信を通し、どれを止めるかを制御する
　2. 侵入検知／防御（IDS/IPS）：不正な通信パターンを検知・遮断する
　3. マルウェア対策：ウイルスなどの悪意あるデータを検出する
　4. 不正サイト対策：危険とされる外部サイトへの接続を防ぐ
　5. ログ／通知機能：異常の兆候を記録し、管理者に知らせる


2. やっぱり高価な装置は高機能なの？

この回答は当然ながらYes、です。
ただですね、ここに大きな誤解というか違和感を筆者は感じています。

例えば、自動車を買うとします。

子供が多いから７人乗りにしたい、荷物が多ければラゲージの大きい方がいい、走りにこだわるのであれば、スポーツタイプだな…などなど。

こういった要件を予算とにらめっこしながら決めますよね。

人数が多いからといってバスは買いませんし、荷物が多いといっても大型トラックも買いません。一般道を走れないようなレーシングカーも買いません。

高価だからいいはずだ、機能は多い方がいいんだ、という選択はしませんよね。
これはネットワーク機器についても全く同様です。


3. 機能を使いこなすにも技量はいる

パソコンが10台しかないのに、32台や48台を接続できる装置があっても使い道がありません。子供が多いからと言ってバスを買わないのと同じです。

また、機能がたくさんついている方が、安心に見えますが、使いこなせない機能がたくさんあったって、使わなければ、ないのと同じです。

楽器を買う場合を考えてください。

高価なバイオリンやピアノを活かすには、それなりの腕が必要です。腕がなければ、その楽器を有効活用できません。安い楽器でたくさん練習すると、そのうち（安い楽器では）納得のいく音が出せなくなる。だから、高価な楽器を購入するのです。

UTM装置に限らず、ネットワーク機器も「これでは足りない、守れない」と明確に説明できるようになってから購入を検討すべきです。

自分たちの技量を上回るような装置を購入しても、結局はその機能が生かせないからです。


4. 使いこなしが難しい侵入検知機能

使いこなしが難しい具体例を一つ上げておきます。

多くのUTM装置にはIPS/IDSという侵入検知機能があります。

「侵入検知なんてことができるのか！」と思われるかもしれませんが、実はこの機能、使いこなすのが非常に難しい機能です。（大企業の専任者ですら設定ミスすることがあるレベル）

何が難しいかというと「どんな通信を侵入と判断するか？」を自分たちで決めなければならない点です。

つまり、「外部からこんな通信がきた場合は拒否する」といった定義を自分たちでしなければなりません。

それも、「Web画面でパスワードを入れた時」といった説明しやすい形ではなく、その裏側でどんな風にデータ通信が行われているかを調査した上で、どの通信データをどう止めるかを指定しなければなりません。

さらに、この設定は間違う可能性をゼロにはできません。思ってもいないようなパターンでの通信が起きた場合、正当な通信を「不正」と判断し、最悪の場合、業務停止にもつながります。

そのため、侵入検知の設定を適切に行える中小企業は非常に限られています。外部業者に頼むにしても、どんなケースでの検知を行うか（何を遮断するべきか）は、自分たちで考えるしかありません。

結局、せっかくの侵入検知機能も、誤検知（設定間違いによる業務停止）を避けるために、使わないままの組織は決して珍しくないのです。


5. じゃあ、どうするべきか？

楽器の例でも書いたように、組織でのネットワークやセキュリティ理解度が上がることによって、「今まで気にしていなかったけど、組織を守るには○○機能が必要だ。それができる機種を導入しよう」となるのが理想的なスタイルです。

つまり、「最近はこんな攻撃が増えてるみたいだね」「今のUTMでもかなりは防げるけど、もっと確実に防ぎたいよね」「IPSという仕組みがあればできそうだね」 「じゃあ次期予算に、IPS機能を持つUTMの費用を加えよう」というロジックなら、とても健全です。

ですが、

「次期予算は○○円だから、その中で一番いい機種を買おう」 「IPSとかいう機能も付いているみたいだね」「せっかくだから、勉強して設定してみよう」

そして、設定ミスや想定外の挙動によって、ブロックの必要がない通信を遮断してしまい、業務停止してしまう――。

これは、外部からの攻撃ではないにもかかわらず、自分達で業務を止めてしまうという、自滅パターンです。

悲しいのは、こういった事象が「がんばろう」とする前向きな組織ほど陥りがちな点です。「がんばりすぎない」精神はこういう場面でも有用です。

自分たちが十分に理解できるようになってから「背丈に見合った機器」を導入することはとても健全なことです。


6. UTM装置はUTMの一部

さて、UTM装置を設置して、何か攻撃の兆候らしきものが見つかった場合、UTM装置は何をしてくれるのでしょうか？

通常は、メールで、兆候を発見したという事実を伝えてくれます。UTM装置単体では、それ以上のことはしてくれません。

これだけでは、不安だという方が多いため、多くのUTM装置を提供しているベンダーは、UTM装置を24時間体制で監視し、異常発見時に電話連絡をするサービスを有償オプションで提供しています。

さて、問題はここからです。

そういった電話を受けて、皆さんの組織では何をするべきかが決まっているでしょうか？

「電話を受けた人がそこで考える」では全く間に合いません。それこそ今まさに攻撃を受けている瞬間なのかもしれないのです。

ここでの初動（通報を受けた直後の体制やアクション）が、その後数か月の趨勢を決めるといっても過言ではありません。


7. UTMとは「装置」ではなく、考え方

一般に、UTM装置のことをUTMと称することが多いですが、これは誤解を招く習慣だと筆者は考えています。

UTMは Unified Threat Management の略で、日本語では、統合脅威管理と呼ばれるものです。決して、ネットワーク機器の名前でもなく機能名でもありません。

サイバー攻撃などの脅威から自分たちを守る戦略そのものです。

この対義語ともいえるのが「泥縄式」です。これは泥棒をつかまえてから、（泥棒を拘束するための）縄をなう（作る）、という本末転倒な状況を言います。

UTMというのは、「泥縄式」を止め、脅威の顕在化に備えよう、事前に準備をしよう、という考え方です。そのUTMを支える技術基盤がUTM装置なのです。

じゃあ、UTMというのは何をすればいいのでしょうか？

これも細かく書くと大変なのですが、中小企業の場合は、以下の取り組みこそが重要だと筆者は考えます。

　1. 守るべきデータの範囲を決める。（情報資産の定義）
　2. 攻撃を受けた場合、兆候を見つけた場合の初動を決め、全員で共有する。
　3. 防災訓練として、攻撃を受けた際の初動の訓練する

UTM装置の導入なんて後でもいいのです。
「自分たちはどんな方針でどんな形でデータを守り、業務継続できるようにするのか？」を定めることこそがUTMの根幹なのです。

UTMの対象となるのは主にサイバー攻撃ですが、機器故障（ネットワークが通じなくなった、サーバが動かなくなった）などもUTMの対象として構いません。

UTM装置の導入は、自社の方針を決めておけば、おのずと決まります。これこそが正しい手順です。


8. 自分達の方針を決めるのは自分達

そんなこと決めるのは難しくないか？という疑問はごもっともです。

ですが、自分達の組織の方針なのですから、自分たちで決めるしかありません。

キャリアコンサルタントの人に「私が一番向いている職種はなんでしょうか？」と聞くと、「じゃあ、それをいっしょに考えましょう」となりますよね。

初対面なのに、「あなたは不動産業の営業がベストチョイスです」なんて言われると不気味ですよね。

UTMだって同じです。何をどの程度守りたいか？守る必要があるのか？これを知っている、決められるのは組織内部の人に決まっています。
この定義を外注することは不可能ですし、それは極めて無責任な行為です。

とはいえ、これを自力で全て決めるのが難しいのも事実。ですから、外部の専門家の協力を得ることはお勧めします。それでも、決定できるのは自分たちしかいないと腹をくくってください。

なぜなら、この答えは組織によって異なるからです。


9. まとめ

UTM装置はサイバー攻撃対策に有用な道具の一つです。でも、それを入れただけで、セキュア（安全）になる、というものでもありません。

セキュアを確保するには、その装置から出てくる警報をどのように解釈して、どのように組織として対応するかという、体制や手順を事前に決めておく必要があります。

これをUTM（統合脅威管理）と呼びます。

単にUTM装置を導入しても、脅威への体制や初動が決まっていないと「泥縄式」にならざるを得ません。ここでの初動のまずさが、後になって復旧の大変さにつながるケースも少なくありません。

ことが起きてから「あの時、ああしておけばよかった」と後悔しても遅いのです。

適切な答えは組織によって異なります。
当たり前の話ですが、責任を外注はできない、のですね。

今回は、UTM（統合脅威管理）という考え方についてお話しました。

次回もお楽しみに。

今日からできること：
・自分達の組織に合ったUTM、脅威への対応範囲を決めましょう。
　→UTM装置の選択はそれからでも遅くありません。
・管理方針を決めるだけでなく、定期的に防災訓練（セキュリティ訓練）を行いましょう。
　→訓練は座学よりも効果的です。

（本稿は 2026年1月に作成しました）