製造業と医療機関で特に重要になるUTMの要件
製造業と医療機関は、業務に直結するシステムへの攻撃が物理的な被害・患者への影響につながるため、UTMに求める要件が特に厳しくなります。
製造業でOT(制御システム)ネットワークを守るにはIT・OT両対応のUTMが必要になる
製造業では、工場の生産設備を制御するOT(Operational Technology)システムへのサイバー攻撃が増加しています。OTネットワークは、PLCや産業用機器が使う独自通信プロトコル(Modbus・DNP3など)を使っており、汎用のITセキュリティ機器では通信内容を正しく解析できない場合があります。IT側のオフィスネットワークとOT側の工場ネットワークを同一のUTMで保護しつつ、OT特有のプロトコルを「異常トラフィック」として誤検知・遮断しない設定ができるかどうかが製造業向けUTMの重要な評価軸です。
製造業でUTMを導入して生産設備の通信が誤遮断されるトラブルは、OT環境を考慮せずにIT向けのデフォルト設定でUTMを稼働させたケースで発生します。導入前に工場内の通信プロトコルとUTMの互換性を確認すること、OT環境での導入実績をベンダーに確認することが重要です。資料請求では、OTプロトコルへの対応範囲・工場環境での導入事例・IT/OTネットワーク分離設計の支援内容を確認してください。
医療機関で電子カルテを守るにはランサムウェア対策と通信量増加への耐性が選定軸になる
病院・クリニックでは電子カルテシステムを標的にしたランサムウェア攻撃が増加しており、感染すると診療業務が停止する深刻な被害が発生しています。UTMによるネットワーク出入り口でのマルウェア検査・不正アクセス防止が電子カルテ保護の基本対策ですが、電子カルテのクラウド化が進むにつれてインターネット通信量が増加し、処理能力が不足したUTMが通信ボトルネックになるケースがあります。スループット(通信処理能力)が自院のトラフィック量に対応できるスペックかどうかを確認することが必要です。
医療機関向けUTMの選定では、医療情報システムの安全管理に関するガイドライン(厚生労働省)への対応実績があるかどうかも確認すべきポイントです。医療分野での導入実績が多いベンダーは、医療機関特有の要件に詳しく、導入時の設定支援が充実しているケースがあります。資料請求では、医療機関での導入実績・スループットのスペックと目安となる院規模の関係・電子カルテ連携時の設定注意点を確認してください。
教育機関・自治体が優先すべきUTMの機能と実績要件
教育機関と自治体は、守るべき対象と法的要件が民間企業と異なるため、特有の選定基準が必要です。
学校・教育機関ではWebフィルタリングの設定精度が最重要の評価軸になる
学校・教育機関でUTMを導入する主な目的の一つは、生徒・学生が有害サイト(アダルト・ギャンブル・過激な暴力コンテンツなど)にアクセスするのをブロックするWebフィルタリングです。しかし、フィルタリングを厳しく設定すると、授業で使うYouTubeの教育動画・調べ学習のウェブサイト・学習管理システムまでブロックされて授業に支障が出るトラブルが発生します。教育用コンテンツを誤ブロックせず有害コンテンツを確実にブロックする設定精度と、教師が例外許可を簡単に設定できる管理機能が教育機関向けUTMの評価軸です。
教育機関でのWebフィルタリング設定では、学年・クラス・学習目的に応じてフィルタリングルールを細かく変更できる柔軟性が求められます。GIGAスクール構想で導入されたChromebook・iPadへの対応(クライアントレスでのフィルタリング)も確認が必要です。資料請求では、教育機関向けのフィルタリングカテゴリ一覧・教師による例外許可の設定手順・GIGAスクール端末(Chromebook等)への対応状況を確認してください。
自治体・官公庁では政府の強靭化要件と認証取得が選定の前提条件になる
自治体・官公庁のネットワークには、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」や政府の強靭化要件への適合が求められます。これらの要件を満たすUTMの選定には、政府・官公庁・自治体での導入実績と関連認証(CC認証・FIPS 140など)の取得状況が重要な評価軸です。また、自治体のネットワーク構成(インターネット接続系・LGWAN系・マイナンバー利用事務系の三層分離)に対応した設定支援ができるベンダーかどうかも確認が必要です。
自治体向けUTMの調達では、入札・競争参加資格の要件とあわせて、政府機関等の統一基準やIT製品の調達におけるセキュリティ要件リストを参照し、必要なセキュリティ要件を満たすか確認することがあります。資料請求では、自治体・官公庁での導入実績件数・政府強靭化要件への対応状況・三層分離ネットワーク構成への対応設計の支援内容を確認してください。
EC事業者とIT企業が見落としがちなUTM選定のポイント
インターネットを業務の中心に使う業種には、汎用UTMでは対応できない特有の要件があります。
EC事業者はSSL復号化(HTTPS通信の検査)対応を必ず確認する必要がある
EC事業者のウェブサイトやシステムはHTTPSで暗号化されたSSL通信を使いますが、マルウェアの通信もHTTPSで暗号化して侵入するケースが増えています。SSL復号化(HTTPS通信を一度解読して検査し、再暗号化して転送する処理)に対応していないUTMは、HTTPS通信内に隠れたマルウェアを検出できずに素通りさせてしまいます。EC事業者のネットワーク保護には、SSL復号化に対応したUTMが不可欠です。ただし、SSL復号化は処理負荷が高く、スループットが低下するため、対応時の性能スペックも確認が必要です。
SSL復号化を有効にすると、特定のサイト(オンラインバンキングなど)を検査対象から除外する「SSL復号化除外リスト」の設定が必要になる場合があります。初期設定でどの程度の除外リストが用意されているかも確認のポイントです。資料請求では、SSL復号化対応の有無・SSL復号化有効時のスループット低下の目安・除外リストの標準提供の有無を確認してください。
IT企業ではエンジニアの通信を阻害しない柔軟なルール設定が選定の重要な軸になる
IT企業のエンジニアは、GitHub・クラウドプロバイダー・VPN・テスト環境など特殊な通信を業務で使います。汎用のUTMをデフォルト設定で稼働させると、こうした開発・テスト用の通信が不審とみなされてブロックされ、エンジニアの業務を阻害するケースがあります。IT企業向けのUTM選定では、部署・ユーザー・宛先アドレス単位でルールの例外設定ができる細かいポリシー管理機能が重要な評価軸です。
エンジニアの通信への例外設定が煩雑なUTMでは、セキュリティ担当への問い合わせが増えて管理工数が増大します。例外設定の申請・承認ワークフローが簡単にできる製品は、セキュリティと業務効率のバランスを保てます。資料請求では、ユーザー・グループ・宛先単位のポリシー例外設定の操作手順・IT企業での導入事例と設定の工夫の紹介を確認してください。
UTM(統合脅威管理)の業種別選定に関するFAQ
ここではUTMについて、よくいただくご質問と回答をまとめました。
- ■Q1:業種に関係なく、すべての企業が共通して確認すべきUTMの選定ポイントは何ですか?
- 3点が共通の確認事項です。(1)自社のインターネット回線速度に対応するスループット(機器の通信処理能力)があるか(2)日本語のサポートとファームウェアの定期更新が提供されるか(脅威情報の更新が止まると保護が形骸化する)(3)管理画面が日本語対応で、設定変更を自社担当者が行えるか。業種特有の要件はこの3点を確認した後に絞り込む追加条件です。
- ■Q2:複数の業種にまたがるグループ会社でUTMを統一管理する場合の注意点は何ですか?
- グループ全社を一元管理する場合、各社のネットワーク構成・通信量・セキュリティポリシーの違いを一つのUTMで対応する設定の複雑さが課題になります。製造子会社と一般オフィスの事業会社でセキュリティポリシーが異なる場合、拠点別にポリシーを独立して設定できる多拠点集中管理機能があるUTMが適しています。資料請求では、多拠点での一元管理機能と拠点別ポリシーの独立設定の対応状況を確認してください。
- ■Q3:UTMを導入したが、業種特有の攻撃が増えてきた場合に機能を追加できますか?
- 多くのUTM製品はライセンス追加によって機能を拡張できます(サンドボックス解析・高度な脅威インテリジェンス・追加のWebフィルタリングカテゴリなど)。ただし、アプライアンス型のUTMは処理能力に上限があり、機能を追加するとスループットが低下するケースがあります。機能追加の柔軟性とスループットへの影響については、資料請求でライセンスオプションの一覧と、追加時の性能への影響を確認してください。
まとめ
UTMの業種別選定では、製造業のOTプロトコル対応・医療機関のスループットとランサムウェア対策・教育機関のWebフィルタリング精度・自治体の強靭化要件適合・EC事業者のSSL復号化対応・IT企業の柔軟なルール設定という業種ごとの要件を確認することが重要です。汎用的な機能だけで選定すると、業種固有の課題に対応できないリスクがあります。
