ファイアウォールだけでは甘い？中小企業に合ったセキュリティ対策

中小企業がファイアウォールを扱う際の注意点

中小企業がファイアウォールを扱うときは、どのような点に注意すれば良いか見ていきましょう。

設定・運用が複雑になりやすい

中小企業でファイアウォールを扱う際は、設定や運用が複雑になりやすい懸念があります。

中小企業は大企業と違い、専門的な知識や技術を持つエンジニアがいない可能性が高いです。大企業であればファイアウォールの設定を行い運用する担当者がいますが、中小企業はエンジニアの数が少なく管理が難しいでしょう。

また、複数のリスクに応じてセキュリティポリシーを追加していくと、管理が複雑化していきます。このような状態で担当者が変わると設定内容の確認すら困難になりかねません。実際に、ポリシーが整理されていないため、追加や修正する際は一から作業が必要になるでしょう。

このように、中小企業がファイアウォールを導入するときには、運用面を考慮する必要があります。

ファイアウォールだけではセキュリティが不十分

多くの中小企業は最低限のセキュリティ対策としてファイアウォールを選択しますが、それだけでは十分な対策とはいえません。もちろんファイアウォールは基本的な対策になるため必要ですが、守備範囲は限られており全ての攻撃を防げるわけではありません。

例えば、ファイアウォールは通信内容を確認できないだけでなく、メール型のウイルスも防げず危険です。さらに従業員がダウンロードしてしまえば、不正なソフトでもファイアウォールを通過してしまいます。

標的型攻撃などの対象には中小企業も含まれるため、自社に合ったセキュリティ対策を行う必要があります。

中小企業向けのセキュリティ対策

中小企業には中小企業に合ったセキュリティ対策を行わなければなりません。ここからは中小企業に適したセキュリティ対策を説明していきます。

ファイアウォールを含めた多層防御による対策

ファイアウォールだけでは守備範囲が狭いため、複数の脅威を防御するための多層防御が必要です。多層防御を行うためには、防御対象が違う複数のセキュリティツールを導入します。それでは多層防御の例について確認しましょう。

• ■Webアプリケーションを使う場合はWAFを導入する
• ■IDS／IPSを使ってネットワークを監視し、不正アクセスを検知する

【多層防御のメリット】

• ■マルウェアなどに感染するリスクが下がる
• ■不正アクセスなどを検知しやすくなる
• ■トラブルが発生したときに対応しやすくなる

【多層防御のデメリット】

• ■ツールを導入しただけど機能が統合せず、セキュリティレベルが低くなる
• ■運用するためには担当エンジニアを配置しなければならない
• ■複数のツールを導入するため、その分費用がかかる

UTM（統合脅威管理）による対策

中小企業に合ったセキュリティ対策はUTMで行うと効果的です。UTMとは「統合脅威管理」のことで、１台で複数のセキュリティ対策を行えます。例えば、ファイアウォールだけではなく、ウイルス対策やIDS／IPSなどの機能を搭載しているものもあるでしょう。

【UTMのメリット】

• ■１台でセキュリティ対策できるため、導入コストを抑えられる
• ■運用をベンダーに任せられる場合もある
• ■セキュリティツールの相性を考えなくても良い

【UTMのデメリット】

• ■一度に複数の機能を使うとパフォーマンスが落ちる可能性がある
• ■UTMがダウンするとネットワークの機能も失われる
• ■セキュリティ機能の組み合わせは決まっており、変更できない

UTMの選び方

UTMは中小企業にとって適したセキュリティ対策になります。セキュリティ対策を強化したい場合は、自社に合ったUTMを選定しなければなりません。では、UTMを選ぶときにはどうすれば良いか見ていきましょう。

自社に合った機能があるか確認する

UTMであれば何でも良いというわけではなく、自社に合った機能を搭載したUTMを選ばなければなりません。中小企業でも会社によって業務内容や導入しているシステムの構成も変わってきます。

必要な機能を持つUTMはもちろん、自社に不要な機能を持つUTMを導入すると無駄にコストがかかってしまいます。特に中小企業の場合は、大企業よりも社内の設備は少ないため、必要な機能を持つUTMを慎重に選ばなければなりません。

サポート体制や運用できるか確認する

中小企業がUTMを導入するときはベンダーのサポート体制を確認しておきましょう。

UTMは海外製品が多くベンダーのサポート対象外のことも少なくありません。サポート体制が充実しているUTMを導入すれば、UTMの運用負荷も減らすことができるでしょう。

例えば、製品のアップデートをベンダーが行ったり、トラブル発生時に対応してくれることもあります。社内の状況を明確にし、導入後もどのように運用していくか決めることが大切です。

せっかく効果的なUTMを導入しても、適切な運用ができなければ意味がないでしょう。

総合的なセキュリティ対策をしましょう！

ファイアウォールだけでは防ぎきれない攻撃があるため、UTMなどでセキュリティを強化する必要があります。

中小企業の場合、まずはセキュリティ対策の必要性を把握し、自社には何が必要なのか明確にすることが大切です。導入の際には機能やベンダーのサポート体制も参考に自社に合ったUTMを選定し、総合的なセキュリティ対策を行いましょう。