UTMが脅威を見逃す原因とその対策
UTMを導入していても特定の攻撃が通過するケースには、技術的な設定上の盲点が存在します。
SSL復号化なしではHTTPS通信内のマルウェアを検知しにくい
現在のウェブ通信の大部分はHTTPS(SSL/TLS暗号化)で行われており、マルウェアもHTTPSで暗号化された通信を使って侵入するケースが増えています。SSL復号化機能がないUTM、またはSSL復号化が有効化されていないUTMは、HTTPSトラフィックの中身を検査できずにそのまま通過させてしまいます。EC事業者・金融機関・クラウドサービスを多用する企業では、SSL復号化への対応がUTMの脅威検知精度を左右する最重要な設定です。
SSL復号化の有効化は処理負荷が高く、スループットが低下するため、機器のスペックが不足している場合は通信速度が大幅に下がるリスクがあります。また、SSL復号化を有効にするとオンラインバンキング・医療システムなど証明書のピン留めを行っているサービスへのアクセスが遮断される場合があり、除外リストの整備が必要です。資料請求では、SSL復号化対応の有無・有効時のスループット低下の目安・標準の除外リストの内容を確認してください。
シグネチャ更新の停止が既知のマルウェアにも対応できない状態を作り出す
UTMの脅威検知はシグネチャ(既知の脅威のパターン情報)のデータベースと照合することで行われます。シグネチャが最新状態に更新されていないと、すでに世の中で広く知られているマルウェアですら検知できなくなります。特に、ライセンス更新を忘れてシグネチャ更新が止まった状態で運用を続けているケースは、導入当初のセキュリティ水準を大きく下回ります。シグネチャの自動更新が有効になっているか・ライセンスの有効期限を定期確認する仕組みがあるかが、UTMの基本的な運用要件です。
ライセンス切れによるシグネチャ更新停止は、「UTMは動いているのに守られていない」という最も危険な状態です。ライセンス期限の30日前・7日前にアラートメールを送信する機能があると、更新漏れを防ぐことができます。資料請求では、シグネチャの自動更新設定の仕組み・ライセンス期限通知機能の有無・ライセンス切れ後の動作(検知機能の停止タイミング)を確認してください。
UTMの誤検知・過検知が引き起こす運用上の課題
正常な通信を脅威と判定する誤検知は、業務の妨害とセキュリティの形骸化の両方を引き起こします。
Webフィルタリングの過剰設定が必要な業務通信まで遮断して現場のクレームを生む
UTMのWebフィルタリング機能でカテゴリごとにブロックする設定を行う際、設定が広すぎると業務に必要なクラウドサービス・動画サービス・外部APIへのアクセスまでブロックされます。特に「SNS全カテゴリをブロック」という設定では、Facebook・LinkedInを使った業務連絡・採用活動・マーケティング活動も遮断されます。業務通信への影響を確認せずにカテゴリブロックを有効化すると、現場からのクレームが増加し、IT担当者がブロック除外対応に追われる状況になります。
Webフィルタリング設定のベストプラクティスは「まずログだけ記録(ブロックなし)モードで2週間運用し、ブロックすべき通信の実態を確認してからブロック設定を適用する」ことです。この手順を踏むことで、業務通信への影響を事前に把握できます。資料請求では、ブロックなし・ログのみモードでの試験運用の対応可否・カテゴリ設定の変更が管理者自身で行える操作手順を確認してください。
アラートの多発が担当者の確認放棄を生む「アラート疲れ」の課題を防ぐ方法
UTMが大量のアラートを発報する状態が続くと、担当者が「どうせまた誤検知だろう」と判断してアラートの確認を省略するようになります。この状態では実際の攻撃が発生しても気づかないリスクが高まり、UTMが形骸化します。アラート疲れの主な原因は「しきい値が低すぎるIDS/IPS(不正侵入検知・防止)の設定」「ホワイトリストに業務用通信が登録されていないことによる誤検知の多発」の2点です。
アラート疲れの解消には、アラートの重大度別分類と通知先の整理が有効です。全アラートを同一の通知先に送るのではなく、高重大度のアラートだけをリアルタイム通知し、低重大度のアラートは週次サマリーにまとめて確認する運用に変えることで、担当者の確認負荷を大幅に減らすことができます。資料請求では、アラートの重大度設定の操作方法・ホワイトリスト登録の手順・アラートサマリーレポートの自動配信機能の有無を確認してください。
UTMのスループット不足とネットワーク遅延への対処法
UTM導入後にネットワークが遅くなる問題は、スペック選定の誤りと通信量の変化が原因です。
通信量増加でUTMがボトルネックになる問題は導入前のスループット確認で防げる
UTMアプライアンスの処理能力(スループット)は、全機能を有効にした状態では仕様書の値より大幅に低下します。例えば、製品仕様の最大スループットが1Gbpsでも、IPS・アプリケーション制御・SSL復号化をすべて有効にすると実効スループットが200~300Mbpsになるケースがあります。社内のインターネット通信量(特にクラウドサービスへのトラフィック)が多い環境で過小スペックのUTMを導入すると、インターネット接続が遅くなるというクレームが発生します。
スループットの確認では「FullUTM(全機能有効時)のスループット」を仕様書で確認することが重要です。カタログに記載されている最大スループットは多くの場合、特定機能のみ有効時の値です。資料請求では、全機能有効時(FullUTM)のスループット値と自社の回線速度との比較・SSL復号化有効時のスループット低下の目安を確認してください。
クラウドサービスへのトラフィック集中がアプライアンス型UTMの限界を顕在化させる
Microsoft 365・Salesforce・Zoom・Google Workspaceなどのクラウドサービスの利用が増えると、すべての通信がUTMを経由するため、UTMの処理負荷が急増します。アプライアンス型UTMでは処理能力の追加拡張が難しく、機器の買い替えまでスループット不足の状態が続く問題が発生します。クラウドサービスへの直接接続(ローカルブレイクアウト)を設定して、信頼できるクラウドサービスへの通信をUTMの検査対象から除外することで、UTMへの負荷を大幅に下げることができます。
ローカルブレイクアウトの設定では、信頼できるクラウドサービス(Microsoft・Google・Salesforceなど)の公式IPアドレスリストを使って除外設定を行います。クラウドベンダーが提供するIPアドレスリストの自動更新に対応している製品は、IPアドレスの変更があっても手動更新が不要です。資料請求では、ローカルブレイクアウト設定の対応可否・クラウドサービスのIPリスト自動更新機能の有無を確認してください。
UTM(統合脅威管理)の課題解決に関するFAQ
ここではUTMについて、よくいただくご質問と回答をまとめました。
- ■Q1:UTMを導入後にネットワークが遅くなった場合、最初に確認すべき項目は何ですか?
- 3点を順番に確認することを推奨します。(1)UTM管理コンソールでCPU・メモリ使用率が高い状態が続いていないか(高ければスループット不足)(2)SSL復号化が有効になっていてその処理負荷が大きくないか(3)クラウドサービスへのトラフィックがUTMを経由しており、ローカルブレイクアウト設定が未設定になっていないか。この3点を順番に確認することで、原因を絞り込みやすくなります。
- ■Q2:UTMのWebフィルタリングで特定のサイトだけを例外許可する方法はありますか?
- 多くのUTM製品では「ホワイトリスト(許可リスト)」または「URLベースの例外設定」に対応しています。ドメイン単位・URL単位・IPアドレス単位で特定の宛先を検査対象から除外できます。ユーザー・グループ別に例外を設定できる製品は、特定の部署だけにアクセスを許可するきめ細かい設定が可能です。設定操作の手順は製品ごとに異なるため、資料請求で管理コンソールの例外設定の操作方法を確認してください。
- ■Q3:UTMで防げる攻撃と防げない攻撃の違いは何ですか?
- UTMが得意とする防御はネットワーク境界での脅威(外部からの不正アクセス・マルウェアのダウンロード・フィッシングサイトへのアクセス)です。防げないのは社内ネットワーク内での横展開(感染した端末が社内の他の端末に攻撃を広げる動き)・USBメモリ経由のマルウェア侵入・すでにUTM設置前に侵入していた潜伏型マルウェアの活動です。UTMと組み合わせてEDR(端末のエンドポイントセキュリティ)を導入することで、UTMが防げない攻撃への対応力が高まります。
まとめ
UTM導入後の課題は「HTTPS通信のすり抜け・シグネチャ更新停止・誤検知によるアラート疲れ・スループット不足」の4つが主なものです。それぞれの原因は導入前の製品選定・初期設定・運用設計の段階で対処できます。課題が発生した場合は原因を特定してから対処法を選ぶことで、機器の入れ替えなしに解決できるケースもあります。
