UTMとは
UTM(Unified Threat Management / 統合脅威管理)は、ファイアウォール、IPS/IDS、アンチウイルス、Webフィルタリング、VPN等の複数のセキュリティ機能を1台の機器に統合したアプライアンスです。
中小企業では個別にファイアウォール、プロキシ、VPNアプライアンスを導入・運用するのは人的・コスト的に困難です。UTMなら1台で多層防御を実現でき、管理画面も統一されるため情シスの負担を最小化できます。
UTM vs 次世代ファイアウォール
| 項目 | UTM | 次世代ファイアウォール(NGFW) |
|---|---|---|
| 概念 | 複数のセキュリティ機能を統合 | アプリケーション識別に特化した高度なFW |
| 主な機能 | FW + IPS + AV + Webフィルタ + VPN + アンチスパム | FW + IPS + アプリケーション制御 + SSL復号 |
| 性能 | 機能を全て有効にするとスループット低下 | 高スループットを維持しつつ高度な検査 |
| 適した規模 | 〜300名の中小企業 | 300名〜の中堅・大企業 |
| 費用 | 10〜50万円/年(ライセンス込み) | 50〜300万円/年 |
実際には、FortiGate等の主要製品はUTMとNGFWの両方の機能を備えているため、中小企業では「UTM/NGFW」として1台で対応するのが一般的です。
必要な機能
| 機能 | 内容 | 優先度 |
|---|---|---|
| ファイアウォール | IPアドレス・ポート番号に基づくパケットフィルタリング | 必須 |
| IPS/IDS | 不正侵入の検知・防止。既知の攻撃パターンをシグネチャで検出 | 必須 |
| アンチウイルス | ネットワーク通過するファイルのマルウェアスキャン | 必須 |
| Webフィルタリング | 危険なサイト・業務に不要なサイトへのアクセスをブロック | 高 |
| アプリケーション制御 | アプリケーション単位でのトラフィック制御(P2P、SNS等) | 高 |
| SSL/TLSインスペクション | HTTPS通信の中身を復号して検査(暗号化通信に潜む脅威を検出) | 高 |
| VPN | リモートアクセスVPN、拠点間VPN | 必要に応じて |
| サンドボックス | 未知のファイルを仮想環境で実行し、マルウェアを検出 | 推奨 |
製品比較
| メーカー | 製品 | 特徴 | 中小企業向けモデル | 年間費用目安 |
|---|---|---|---|---|
| Fortinet | FortiGate | 国内シェアNo.1。コスパ◎、FortiCloudで一元管理 | FortiGate 40F / 60F / 80F | 15〜40万円 |
| Sophos | Sophos Firewall | EDR(Intercept X)との連携が強み。Synchronized Security | XGS 87 / 107 / 116 | 15〜40万円 |
| WatchGuard | Firebox | 中小企業に特化。WatchGuard Cloudで管理が容易 | Firebox T25 / T45 / T85 | 15〜35万円 |
| Palo Alto | PA-Series | NGFW市場のリーダー。高度なアプリ制御 | PA-410 / PA-440 | 30〜80万円 |
| Cisco | Meraki MX | クラウド管理型。ゼロタッチ展開、SD-WAN統合 | MX67 / MX68 | 20〜50万円 |
💡 中小企業にはFortiGate 60Fが定番
50〜200名規模の中小企業にはFortiGate 60Fが最もコストパフォーマンスの高い選択です。UTM機能をすべて有効にしても十分なスループットを確保でき、FortiCloudでリモート管理も可能です。
サイジングの考え方
- ファイアウォールスループット:インターネット回線速度の2〜3倍を目安に選定
- UTMスループット:全機能有効時のスループットを確認(FWスループットの1/3〜1/5が目安)
- 同時セッション数:ユーザー数 × 100〜200セッションが目安
- VPN同時接続数:リモートワーク人数の1.5倍を確保
ネットワーク設計
基本構成
- WAN側:インターネット回線(光回線)に接続
- LAN側:社内ネットワーク(L2/L3スイッチ経由でPCや無線APに接続)
- DMZ:外部公開サーバーがある場合に隔離ゾーンを設置
- ゲストWi-Fi:UTMのVLAN機能でゲスト用ネットワークを社内から分離
推奨ポリシー
- アウトバウンド:必要なポート(HTTP/HTTPS/DNS等)のみ許可。それ以外は拒否
- インバウンド:原則すべて拒否。VPN接続のみ許可
- ログ:全トラフィックログを取得し、90日以上保持
SASE時代の境界防御
クラウドシフトとテレワークの普及により、従来の「社内ネットワークの入口を守る」境界防御だけでは不十分になっています。SASE(Secure Access Service Edge)は、ネットワークとセキュリティをクラウドで統合する新しいアーキテクチャです。
- 現在のUTMを維持しつつ、リモートアクセスはZTNA(ゼロトラストネットワークアクセス)で対応
- SaaS利用が主体なら、CASB(Cloud Access Security Broker)でSaaSのセキュリティを管理
- 将来的には、UTMの機能をSASEに統合し、場所を問わないセキュリティを実現
まとめ
中小企業のネットワーク境界防御にはUTM(FortiGate等)の導入が最もコスト効率に優れています。ファイアウォール + IPS + アンチウイルス + Webフィルタリングの多層防御を1台で実現し、SSL復号とサンドボックスで暗号化通信に潜む脅威にも対応しましょう。