UTMのコア機能の役割と基本設定の考え方
UTMのコア機能はそれぞれ異なる種類の脅威に対応しており、組み合わせることでネットワーク全体を保護します。
ファイアウォールとIPS/IDSがネットワーク境界への不正アクセスを防ぐ基盤になる
ファイアウォールは送受信するパケットのIPアドレス・ポート番号・プロトコルを基準にして、許可・拒否のルールを適用する機能です。業務に必要な通信だけを通して不要な通信を遮断する「ホワイトリスト型」の設定が、不要なポートからの侵入を防ぐ基本的なアプローチです。IPS(不正侵入防止システム)・IDS(不正侵入検知システム)は、正常に見えるパケットの内容を解析して既知の攻撃パターンと照合し、不正な通信を検知・遮断します。ファイアウォールが「通信の入口・出口の管理」で、IPS/IDSが「通信の中身の検査」という役割分担です。
IPS/IDSのシグネチャ(攻撃パターン)は定期更新が必要で、更新が止まると新しい攻撃手法への対応ができなくなります。IPS/IDSの設定では、検知精度(誤検知の少なさ)とパフォーマンス(スループット)のバランスが課題になります。感度を高く設定すると誤検知が増え、低くすると検知漏れが増えるため、自社のネットワーク環境に合ったチューニングが必要です。資料請求では、IPS/IDSのシグネチャ更新頻度・誤検知調整のチューニング手順・IPS/IDS有効時のスループット低下の目安を確認してください。
アンチウイルスとアンチスパムがマルウェアとフィッシングの侵入を防ぐ検査機能になる
UTMのアンチウイルス機能は、対応する通信やファイル転送を検査して既知のマルウェアを検出・遮断します。エンドポイント(PC・スマートフォン)のウイルス対策ソフトと組み合わせることで、ネットワーク入口での検知と端末側での検知の2層防御を実現できます。アンチスパム機能はスパムメール・フィッシングメールをネットワーク境界でフィルタリングし、メールサーバーへの不要なメールの流入を削減します。
UTMのアンチウイルスが検知できるのは「既知のマルウェア(シグネチャが存在するもの)」が中心です。ゼロデイ攻撃(シグネチャが未登録の新種マルウェア)には、サンドボックス解析機能(疑わしいファイルを仮想環境で実行して挙動を確認する機能)が対応します。サンドボックス機能は追加ライセンスが必要な製品が多いため、高度な標的型攻撃への対応を重視する場合は機能の有無を確認することが重要です。資料請求では、サンドボックス機能の有無と追加費用・アンチウイルスのスキャン対象ファイル形式と検知率の説明を確認してください。
Webフィルタリングとアプリケーションコントロール機能の設定と活用
これら2つの機能は、ネットワーク上の通信の「内容」と「用途」をコントロールします。
Webフィルタリング機能の設定方法と業務通信を誤ブロックしない設定の考え方
Webフィルタリングは、ウェブサイトをカテゴリ(ギャンブル・アダルト・SNS・動画など)に分類して、カテゴリ単位でアクセスの許可・拒否を設定する機能です。設定の粒度は製品によって異なり、全社一律のルール設定のみの製品から、部署・ユーザー・時間帯ごとに異なるポリシーを設定できる製品まであります。業務に関係するSNS(採用・マーケティング目的)や動画(教育・ウェビナー)までブロックしないためには、カテゴリ単位のブロックではなく、ホワイトリスト(許可するURLの明示)とブラックリスト(禁止するURLの明示)を組み合わせた設定が有効です。
Webフィルタリングの設定は「まずログ記録のみモードで運用し、ブロックすべき通信の実態を確認してからブロック設定を適用する」という段階的なアプローチが業務への影響を最小化します。ブロック設定後に業務担当者からの「このサイトが使えなくなった」というクレームを収集し、ホワイトリストへの追加対応で精度を高めていく運用が定着のポイントです。資料請求では、ログ記録のみモードでの試験運用の対応可否・ユーザー・部署別のポリシー設定の操作手順を確認してください。
アプリケーション制御機能がファイアウォールでは制御できない通信を管理する役割を担う
アプリケーション制御は、ポート番号やIPアドレスではなく「アプリケーションの種類(Zoom・Slack・YouTube・BitTorrentなど)」を識別して通信の許可・帯域制限・遮断を行う機能です。ファイアウォールはポート443(HTTPS)を通す・遮断するという制御しかできませんが、アプリケーション制御は同じポート443を使う「業務用SaaS(許可)」と「業務と無関係な動画配信(帯域制限)」を識別して異なる制御を適用できます。帯域を多く消費するアプリケーション(動画配信・P2Pファイル共有)に帯域制限を設けることで、業務通信の品質を確保できます。
アプリケーション制御の精度は、製品が持つアプリケーション識別データベースの規模と更新頻度に依存します。新しいSaaSツールや暗号化されたアプリケーションの通信を正確に識別できるかどうかが製品差として現れます。資料請求では、識別できるアプリケーションの種類数・データベースの更新頻度・業務用SaaSアプリ(Microsoft 365・Google Workspace・Zoomなど)の識別精度を確認してください。
UTMの機能別エラーの原因と初期対処の手順
UTMの機能が原因で発生するエラーには、機能ごとの典型的なパターンがあります。
UTMで発生しやすい機能別のエラーと原因特定のための初期確認手順
UTMで発生する代表的な機能別エラーとして「特定サイトへのアクセスが突然できなくなった(Webフィルタリングによるブロック・IPSの誤検知)」「メールが届かなくなった(アンチスパムフィルターが誤判定)」「ネットワーク速度が突然低下した(IPS/IDSの処理負荷増大・SSL復号化の有効化後のスループット低下)」があります。エラー発生時の初期確認手順は「管理コンソールのログでブロックされた通信の記録を確認する→対象の機能(Webフィルタリング・IPS・アンチウイルス)を一時的に無効にしてエラーが解消するか確認する→原因の機能を特定してから設定を修正する」という順序で進めることが有効です。
エラーの原因特定を迅速に行うには、管理コンソールのログで「いつ・どのIPアドレスへの・どのプロトコルの通信が・どの機能によってブロックされたか」を確認できることが重要です。ログの表示が見づらい・フィルタリング機能がないと、大量のログから原因を探すのに時間がかかります。資料請求では、ログ確認画面のUIと検索・フィルタリング機能の説明・ログの長期保存期間の設定を確認してください。
機能更新後に発生する設定の競合と通信障害を解消するための手順
UTMのファームウェア更新・シグネチャ更新・新しいセキュリティポリシーの適用後に「それまで問題なかった通信がブロックされるようになった」という設定の競合が発生することがあります。特に、IPSのシグネチャ更新後に特定の業務アプリケーションの通信が攻撃パターンと誤って一致してブロックされるケースは、更新直後に発生しやすい問題です。ファームウェア更新は業務時間外に実施して、更新直後に主要業務通信の疎通確認を行うことが障害リスクを低減します。
設定の競合が発生した場合の対処法は「更新前の設定にロールバックできるか確認する」ことが第一歩です。ファームウェアやポリシーの変更前の設定を自動バックアップし、ロールバックできる機能があると復旧速度が大幅に向上します。資料請求では、ファームウェア更新前の設定自動バックアップ機能の有無・ロールバック操作の手順・更新後の通信疎通確認の推奨手順を確認してください。
UTM(統合脅威管理)のコア機能に関するFAQ
ここではUTMについて、よくいただくご質問と回答をまとめました。
- ■Q1:UTMの機能をすべて有効にすると処理速度に影響しますか?
- 影響します。UTMは機能を多く有効にするほどパケット処理の負荷が高まり、スループット(通信処理能力)が低下します。特にIPS/IDS・SSL復号化・アプリケーション制御の3機能は処理負荷が高く、全機能有効時(FullUTM)のスループットは最大スループットの20~50%程度になるケースがあります。導入前にFullUTM時のスループット値と自社の回線速度を比較することが重要です。
- ■Q2:UTMのIPS/IDSとエンドポイントのウイルス対策ソフトを二重に入れる必要はありますか?
- 2つは補完関係にあり、それぞれ異なる防御層を担います。UTMはネットワーク通過時(外部からの侵入)を検査し、エンドポイントセキュリティは端末上でのマルウェアの動作を検知します。UTMをすり抜けた脅威(USBメモリ経由・すでに侵入済みのマルウェア)はエンドポイントセキュリティが担当します。どちらか一方だけでは対応できない脅威があるため、両方を組み合わせた多層防御が推奨されます。
- ■Q3:UTMのWebフィルタリングが特定のサイトを誤ってブロックした場合の解除手順は何ですか?
- 手順は(1)管理コンソールにログインし、Webフィルタリングのログで対象URLがブロックされていることを確認(2)対象URLをホワイトリスト(例外許可リスト)に追加(3)ブラウザのキャッシュをクリアしてアクセスを再試行、の3ステップが一般的です。ユーザーが自分でホワイトリスト申請できるセルフサービスポータル機能がある製品は、IT担当者への問い合わせを削減できます。
まとめ
UTMのコア機能はファイアウォール・IPS/IDS・アンチウイルス・Webフィルタリング・アプリケーション制御の5つが中心で、それぞれ異なる種類の脅威に対応します。機能別のエラー発生時は管理コンソールのログで原因機能を特定してから設定修正を行うことが最も確実な対処法です。機能を有効にするほどスループットが低下するため、自社の回線速度に対応したスペック選定と機能の優先順位設定が重要です。
