第10回 ファイアウォール今昔物語 境界防御が生まれた日：日本型セキュリティの現実と理想（3/3 ページ）

[武田一城，ITmedia]

UTMは欧米で失敗作の象徴に

　しかし、このUTMにはいくつか問題があった。日本でそれほどは言われないものの、欧米ではUTMという存在自身がセキュリティ製品としては失敗作の象徴として捉えられているという。

　欧米がUTMを失敗とする理由は大きく2つある。1つ目の失敗は、猛烈な勢いで増え続ける脅威に対して、その当時の企業や組織のシステム部門のエンジニアでは運用し切れないことだった。例えば、UTMの一機能であるIPS/IDS（不正侵入防御／検知システム）の場合、誤検知やネットワークの停止を恐れて、通信を止めずアラートのみを上げる設定にしている場合が多い。

そして、結局はセキュリティの運用経験値の少ない担当者がアラートさえ見ずに放置してしまう。情報システム部門の運用が回らず、UTMの機能を事実上無効化してしまうような残念な状況が多く見られた。

　このような状態は今でも散見されるので、UTMに限らない根本的な問題ともいえる。セキュリティ人材の育成の不備や、対策製品を入れただけで事実上放置してしまうようなセキュリティマネジメントの軽視が原因であり、非常に根の深い問題だ。

　そして2つ目の失敗は、UTMに複数の機能を集約した結果、スループットが大きく低下してしまったことである。これは各機能の一つひとつの処理が多いということもあるが、これとはまったく別の、意外な理由が引き金だった。結果的にUTMの性能が日常的な運用に耐えることができないレベルにまで落ちてしまった。

　その意外な理由とは、シリコンバレーのIT企業のM&Aだ。ファイアウォールメーカー各社がUTM化に必要な機能を獲得すべく、別の新興メーカーを争って買収した。

　当然ながら、1台のUTMに異なる企業の設計したエンジンが複数積まれることになった。それぞれの機能が別々のエンジンで個別に動作することでオーバーヘッドが多くなり、CPUリソースを消費してしまう。実際のスループットはカタログ公称値の10分の1以下という状況もしばしば発生してしまったのだ。

　なお、これらの問題を解決して本当の意味でオールインワンとなり、統合的に脅威への対策が打てるファイアウォールは、UTMでは実現されなかった。その実現は2008年に国内で発売が始まった「次世代型ファイアウォール」の登場を待たなくてはならない。

　次回はこの次世代ファイアウォールと、現在まで続く巧妙な攻撃手法や防御のための環境変化などの状況について述べる。

・NetScreenは、Juniper Networks, Inc.の登録商標です。

・FireWall-1は、CHECK POINT SOFTWARE TECHNOLOGIES LTD.の登録商標です。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）