ローカルな事務機屋さんが複合機に変わる商材として数年前から中小企業へ営業をかけているのがUTM(統合脅威管理)です。何をするものかと言えば、様々な手法で情報セキュリティを確保するツール(機器)になります。
一般的なUTMが持つ機能としては以下になります。
- アンチウイルス機能
- ファイアウォール機能
- IPS/IDS(不正侵入遮断/検知)機能
- ウェブフィルター機能
- アンチスパム機能
- アプリケーション制御機能
但し、中小企業向けの安価な機器で、これらの機能を全て有効にすると通信速度が格段に落ちるため、実際には必要最低限の機能を有効にする例が殆どです。
さて、そんなUTMですが正しく機能を有効にしないと宝の持ち腐れというか、単なるお飾りになる可能性があります。そんな事件が発生したので御紹介したいと思います。
ある団体で使っているパソコンがEmotetに感染し、5万件もの個人情報を流出させてしまう事件が発生しました。その団体のネットワークにはUTMが設置されていたそうです。それにも関わらず感染し、流出までさせてしまったわけです。UTMが機能していなかった事例と言っても良いでしょう。発表によると対策として「サンドボックス機能(アンチウイルス機能)を追加する」そうです。
団体の発表ではUTMを「ファイアウォール」と記載していることからファイアウォール機能のみ有効にしていた可能性があります。ただ、現在の情報セキュリティの考え方とは全く合致しない使い方ですので、非常にもったいない使い方をしていたと言えます。
現在の情報セキュリティの考え方では「侵入を防ぐ」よりも「侵入された際に被害を最小限に止める」事に主眼を置くようになっています。この考え方に立てば、IPS/IDS機能を有効にすべきと言えるでしょう。不正な通信を検知し遮断するのは情報漏洩を防ぐ意味においても重要なポイントになります。今回の事件もUTMでIPS/IDS機能を有効にしていれば感染は防げなかったとしても、情報流出は防げた可能性があります。但し、IPS/IDS機能を有効にすると格段に通信速度が落ちるため実際には有効にされていない所が多いのではないでしょうか。
そう言った意味では、対策として発表されているサンドボックス機能(アンチウイルス機能)を有効にするは、Emotet対策としては有効に作用しない可能性があります。もちろん、サンドボックス機能は普通のアンチウイルス機能とは違い、仮想環境で実際に実行してふるまいを見てウイルスかどうかの判断をするので有効性は高いため全く無意味というわけではないのですが、万一すり抜けてしまった場合を考えるとIPS/IDS機能を有効にする方が意味があると考えます。両方を有効にするのがベストではありますが、どちらか一方を選ぶというのであればIPS/IDS機能を有効にして欲しいところです。できればC&C通信制御機能がある機種を選び、それを有効にする方が一層有効です。
結論としては、UTMを設置する際には通信速度低下は受け入れた上で「IPS/IDS機能」を有効にして欲しいという事になります。一番安価な機材は実質的に使い物にならないので、中位クラスの機材を導入することをお勧め致します。