クラウド型UTMとは？ アプライアンス型との違いやメリット・デメリットを比較

「UTM（統合脅威管理）」とは、企業の社内ネットワークを守る製品のひとつです。UTMは、ハードウェアとして提供される「アプライアンス型」が一般的ですが、「クラウド型UTM」も存在します。
この記事では、クラウド型UTMとアプライアンス型UTMの違いについて解説します。社内ネットワークの安全性を高めたい方は、ぜひご一読ください。

UTM（Unified Threat Management：統合脅威管理）とは、社内ネットワークの保護を目的とする「境界型防御」の一種です。ファイアウォール、Webフィルタリング、アンチスパムといった、社内ネットワークを守る複数のセキュリティ機能が1つの機器に統合されています。
通常、異なる脅威に対するセキュリティ機能は、それぞれ個別に導入・運用する必要があります。UTMであれば、1つのアプライアンスを導入するだけで、複数のセキュリティ機能を一元管理できるわけです。なお、アプライアンスとは、特定の用途にのみ使用する機器を意味します。クラウド型UTMと区別する際、一般的なUTMは「アプライアンス型UTM」と呼ばれます。

UTMは、社内ネットワークとインターネットの境界に設置します。ルーターの内側にUTMを設置し、「社内からインターネットへ接続する通信」と「外部から社内ネットワークに接続する通信」の双方をUTMに経由させます。ルーター機能を持つUTMもありますが、仕組みは同じです。UTMは、経由する通信内容を監視し、不正な通信をブロックして正常な通信のみ許可します。

注意点として、通信内容を解析できないように暗号化する「SSL暗号化通信」の場合、UTMは通信内容を確認できません。SSL暗号化通信にマルウェアのような脅威が含まれていても、UTMは見逃してしまう可能性があります。ただし、UTMの中でも「SSLインスペクション機能」がある製品であれば、SSL暗号化通信を復号して通信内容を検査できます。

UTMの主な機能は、次の7つです。

ファイアウォールとは、通信の情報を検証し接続の可否を決定するシステムです。通信内容は検証せず、通信の接続先や発信元といった情報から安全性を判断します。

Webフィルタリングとは、危険性の高いWebサイトへのアクセスを遮断する機能です。攻撃者が作成したWebサイトへの接続をブロックし、マルウェア感染の被害を防ぎます。

アンチウイルスとは、コンピューターウイルスやワームといったマルウェアへの感染を予防するシステムです。マルウェアを検知し、社内ネットワークやPCへの侵入を阻止します。

アンチスパムとは、迷惑メールや標的型攻撃メールをブロックする機能です。メールの送受信に用いる通信プロトコルやメールの送信元、メール本文のURLなどの要素を検査し、不審なメールを検知します。

IDS（Intrusion Detection System：不正侵入検知システム）とは、通信内容を検査し不審なアクセスを検知するシステムです。一方、IPS（Intrusion Prevention System：不正侵入防御システム）は、検知した不審なアクセスのブロックも行います。

アプリケーション制御とは、Webアプリケーションへの接続を監視し不要な接続をブロックする機能です。業務に無関係なWebアプリケーションの利用や、データの持ち出しなどの防止に効果的です。

UTMの中には、VPN機能を持つ製品があります。第三者がアクセスできない仮想ネットワーク上で通信するため、安全なデータの送受信が可能です。

クラウド型UTMとは、従来のアプライアンス型UTMと同様の機能を提供するクラウドサービスです。セキュリティベンダーのクラウドサーバー上にあるUTMを利用するため、自社によるUTM機器の調達やネットワーク構成の変更といった作業が必要ありません。ほとんどの場合、セキュリティベンダーがクラウドUTMの導入から運用保守まで担います。

クラウド型UTMを導入した場合、ユーザーは一旦クラウド型UTMを通過してからインターネットへアクセスする仕組みです。反対に、外部から社内ネットワークに接続する際も、クラウド型UTMを経由します。したがって、基本的な構成はアプライアンス型UTMと同じです。
なお、クラウド型UTMへアクセスする際の通信は、インターネットから隔離された「閉域網」を利用します。閉域網とは、許可を得たユーザーしかアクセスできない専用ネットワークです。クラウド型UTMへの接続時も含め、常に安全な通信を保てるように設計されています。

現在、アプライアンス型UTMを使用している場合でも、クラウド型UTMへの移行は可能です。多くの場合、アプライアンス型UTMの設定をそのままクラウド型UTMへ反映できます。そのため、新規導入と移行のどちらにせよ、クラウド型UTMはスムーズに導入できるでしょう。

クラウド型UTMとアプライアンス型UTMは、以下6つの観点から違いが挙げられます。

1. 導入期間
2. コスト
3. 運用方法
4. 拡張性
5. セキュリティ機能
6. トラブル時のリスク

アプライアンス型UTMは、自社の利用規模に適したUTM機器の選定と購入が必要です。UTM機器の設置作業も行うため、クラウド型UTMよりも導入期間が長くなります。

対するクラウド型UTMの方が、導入期間は短いです。クラウド型UTMは機器の設置が不要なため、すばやく利用開始できるでしょう。

アプライアンス型UTMは、はじめにUTM機器を「購入」「リース」「レンタル」の3つから選んで料金を支払います。加えて、セキュリティ機能を使うためのライセンス費用やサポート費用などの料金も発生します。

一方のクラウド型UTMは、初期費用＋契約プランごとの月額料金を支払う形態です。必要なリソースに合わせて契約内容を柔軟に変更できるため、アプライアンス型UTMよりコストの最適化がしやすいでしょう。

アプライアンス型UTMは、拠点ごとにUTM機器を設置します。また、拠点ごとにメンテナンスを行うため、一括管理は基本的にできません。

クラウド型UTMは、クラウドサーバー上のUTMを使用します。セキュリティベンダーが運用し、定期的にメンテナンスを行います。こうした運用方法の違いにより、自社による運用負荷はクラウド型の方が少ないといえます。

アプライアンス型UTMは、リソースを拡張するために機器の買い替えが必須です。そのため、従業員や拠点が増加するたび、導入コストと負担が生じるでしょう。

対するクラウド型UTMは、リソースの拡張がしやすいです。ユーザー数やトラフィック量が増えた場合、契約プランの変更のみで簡単に拡張できます。

アプライアンス型UTMは柔軟性が高く、自社が必要とするセキュリティ機能を持つ製品を自由に選べます。既存のセキュリティシステムとの兼ね合いも考慮し、最適なUTM製品を導入できます。

クラウド型UTMの場合、ベンダーが提供するセキュリティ機能を利用します。柔軟なセキュリティ設定を求める企業にとって、アプライアンス型UTMほどの自由度はありません。

アプライアンス型UTMは、1つの機器に障害が起きても、他の拠点に影響は出ません。したがって、トラブル時のリスクはアプライアンス型UTMの方が低いです。

一方のクラウド型UTMは、セキュリティベンダー側にシステム障害が起きると、全拠点のUTMに影響が出ます。インターネット接続の危険性が高まるため、復旧するまでクラウドサービスの利用を停止しなくてはいけないでしょう。

クラウド型UTMとアプライアンス型UTMのメリット・デメリットを、表にまとめて比較しました。

続いて、それぞれのメリット・デメリットを詳しく説明します。

クラウド型UTMのメリットは、導入と運用の負担が少ない点です。
ハードウェアの選定・購入・設置といった手間がかからず、契約後からすぐにUTMを導入できます。運用もセキュリティベンダーに任せられるため、情報システム管理者の負担を抑えることが可能です。また、自社に情報システム部門がない企業でも、クラウド型UTMであれば導入しやすいでしょう。

対するデメリットとして、セキュリティレベルはベンダー側に依存します。
セキュリティベンダーの保守管理が甘い場合、システムダウンのような障害リスクが高まります。UTMが使えなくなれば、支社も含めて組織全体でインターネットを一時的に利用できなくなるでしょう。システムダウン時の影響が大きいため、クラウド型UTMを選ぶ際はベンダーの保守体制のチェックが不可欠です。

アプライアンス型UTMは自社で管理できるため、セキュリティ環境を外部に依存することがありません。ゆえに、システムダウン時の障害が少なく、トラブル時に強い点がメリットです。
拠点ごとに情報システム部門がある企業であれば、問題なく運用できるでしょう。

一方、運用リソースが不足している企業にとって、アプライアンス型UTMは負担が大きいでしょう。
導入の手間がかかる上に自社で管理・運用しなくてはいけないため、セキュリティ担当者の運用負荷が重くなります。
また、リソースを最適化しづらく、「将来的にユーザー数を増やしたい」「スモールスタートしたい」などの企業にも不向きです。

UTMは、1つの機器やサービスにセキュリティ機能を統合できます。個別にセキュリティ機能を導入しなくてよいため、専任のセキュリティ担当者がいない中小企業でも導入しやすいシステムです。多くの企業が導入しているUTMですが、現在は様々な課題が指摘されています。よくある課題は、次の3つです。

1. ボトルネックになりやすい
2. 一部のセキュリティ機能しか使わなくなる
3. 事後対策できない

以下では、順番に理由を説明します。

UTMは数多くの機能が搭載されており、1つの機器であらゆるセキュリティ機能を処理する仕組みです。それゆえに、処理能力が低いUTMはボトルネックになりやすく、処理に時間がかかってしまいます。
結果的にネットワークの遅延などの問題が生じ、業務に支障をきたす恐れがあります。仮に業務用の高速インターネットを導入しても、UTMによって遅延が起きれば本来の性能を発揮できません。

UTMがボトルネックになると、遅延を解消するために一部のセキュリティ機能を無効にしてしまう可能性があります。「アンチウイルスの動作中に遅延が起きるため無効にした」と、遅延が起きるたび機能を無効にしていくと、最終的にはファイアウォールといった一部機能しか使用しなくなるでしょう。コストが無駄になるばかりか、使っていない機能による保護範囲が無防備になる危険性も生じます。

UTMには、事後対策向けの機能が備わっていません。社内ネットワークへの侵入を防ぐ、いわば「事前対策」の製品です。
例えば、ファイアウォールは通信を監視し、不正侵入を防ぎます。アンチウイルスは、マルウェア感染を予防する役割です。こうした事前対策を行うUTMを導入しただけでは、マルウェアや不正アクセス被害の事後対策が後手に回ってしまうでしょう。

UTMがカバーできない領域を守るためには、「EDR（Endpoint Detection and Response）」のような事後対策ソリューションの導入が必要です。EDRとは、サイバー攻撃被害を受けた後の対処を支援するセキュリティ製品です。近年の高度化したサイバー攻撃を100％阻止するのは困難であり、EDRによる事後対策の重要性が高まっています。ここでは、どのような企業でも導入しやすいEDR製品を3つ紹介します。

EDR「VMware Carbon Black Cloud」は、次世代アンチウイルス機能を搭載しています。ほとんどの脅威をブロックし、侵入した脅威はEDR機能がリアルタイムに検知します。クラウド型であるため、リモートワーク端末の保護も可能です。
VMware Carbon Black Cloud（EDR）導入支援サービス

「Sophos Intercept X Advanced」とは、高性能AI（人工知能）を搭載したEDRです。AIによる自動化が優れており、EDRの脅威検知からマルウェア駆除、復旧作業まですべてオートで実行します。被害の原因特定も自動化されるため、再発防止策の早急な立案にも役立ちます。
Sophos Intercept X Advanced導入支援サービス

「CrowdStrike Falcon」は、軽量なシングルプラットフォームが特徴的なEDRソリューションです。1つのプラットフォームに複数の機能が搭載されており、単一の管理画面から効率的に各機能を管理できます。次世代アンチウイルスとEDRを兼ねているため、同製品のみで事前対策と事後対策を行えます。
CrowdStrike Falcon導入支援サービス

EDRについて、以下の関連記事でも詳しく解説しています。
▼ 「EPP」と「EDR」の違いとは？ エンドポイント対策の目的や機能について解説
▼EDR製品でどのようなセキュリティを実現できる？ 概要や仕組み、具体的な製品を紹介

UTMは、社内ネットワークの保護に重きを置いた製品であり、アプライアンス型とクラウド型の2種類があります。どちらの種類にしても、UTMの役割はマルウェア侵入などを防ぐための事前対策です。被害を受けた後の対応はできないため、EDRのような事後対策に特化した製品の導入が必要になります。事前と事後のセキュリティ対策を徹底することで、安全な通信を実現できるでしょう。
テクバンは、お客様のEDR導入を支援いたします。製品の資料請求やご相談など、ぜひお気軽にお問い合わせください。