最近、UTMに関する記事を書くことが多く、記事を読んでくださった方から、感想やご意見をいただきます。
中には、UTMは不要であると言ったご意見もいただいておりまして、非常に参考になります。
UTMは必要だと訴える、セキュリティベンダーに対して、不要論を唱えるSEさんもいます。
私個人としては、UTMの販売をすることが目的ではないので、比較的中立な立場の販売業者を自負しており、その立場の意見を言わせてもらうと、費用対効果の一言に尽きるのではないかと思ってます。
UTM自体は、機能としては優れているのは事実であって、それ自体を否定するのはナンセンスです。
SEさんが、セキュリティバッチをきちんと当てて、端末のウイルスソフトを最新化し、社内端末でのUSB接続を禁止する。そして、ログの監視やチェックを行う。
このような行為が一定のサイクルで対応できるのであれば問題ないでしょう。
しかし、人の手や人の目には限界があります。
一定のレベルにおいて機械化をすることは、業務効率上、非常に有意義なことであり、その時間を他の業務に回せるとしたら、UTM自体は価値のあるものになります。
私たちがセキュリティ対策において、最低限行わなければならない事は以下の内容になります。
- Windows端末に定期的にバッチをあてて、最新の状態を保つ
- 端末にウイルスソフトを導入して定期的なスキャンを実施
- 導入したウイルスソフトの最新化
- ファイアウォールの設定(不要なポートは閉じておく)
- ヒューマンエラー防ぐために一人ひとりの教育を実施
- USBの利用禁止
- ログの採取
などになります。最低限のレベルは企業によって異なりますが、少なくともセキュリティの脆弱性を解消するためには1〜3は必須であり、4についても行う必要があります。
5.6についてはヒューマンエラーによるセキュリティインシデントを防ぐためには必要な対策になります。7のログの採取についてはやや専門性の高い業務になりますが、必要でしょう。
要するにこれらの業務を抜かりなく行うことで安全性はある程度担保されるのです。
これを、中小企業で営業活動と並行しながら、きちんと実施するのは、正直難しいと思います。
普段から、色々な企業を見てきていますが、セキュリティ対策まできちんと考えている会社はそう多くはありません。
機密情報や個人情報を多く扱う、士業に至っても、ザルなところが多いのが実情です。
それであれば、対策の抜け漏れがあった際に(実際多くの組織が抜け漏れがあります)、機械的に検知、ブロックしてくれるサービスは必要なのかなと思っています。
対策の抜け漏れやミスは誰にでも起こり得るわけですが、“その時を想定したリスクヘッジができているかどうか”これが必要なセキュリティ対策なのではないかと私は考えています。
