UTM(統合脅威管理)は、様々なセキュリティ対策機能を一つに集約したもので、とても優秀で優れた機器であるといえます。
ただ、中小企業においては、セキュリティ対策をUTMに頼りすぎであると私たちは思っているのもまた事実です。
UTMを販売している営業マンは、「UTMを導入すれば企業のセキュリティ対策は万全です」とUTMの機能に依存しきった提案をするため、多くのユーザもその様に誤解をしていしまいます。
確かにUTM自体は、メーカや性能をしっかり吟味すれば、決して悪いものではなく、活用の仕方次第では、企業のセキュリティ対策の負担を十分に補完してくれます。
ここで私が「補完」と申し上げたのは、必要十分条件を満たしている訳ではないということです。
そうです。UTMを導入したからと言って、企業のセキュリティ対策が十分になるわけがありません。
UTMを導入しても、PC端末には何かしらのセキュリティソフトは動かす必要がありますし、OSのアップデートも定期的に実施する必要があります。
また、様々な対策を一台で処理しますので、どうしても負荷がかかりやすくなります。接続台数によっては、負荷がかかりすぎて処理しきれなくなる事態も考えられます。対策を万全にするためには、機器のスペックを適正に判断して導入をすることが望ましいでしょう。
最近では、クラウドサービスを利用するユーザが増えていますが、パスワードの定期的な変更や複雑化を行なうことでセキュリティの精度は非常に高まります。
クラウドサービス自体のセキュリティ対策はサービス提供者が行っている事が多く、利用者側で行なう設定は限られています。具体的には、PWの定期的な変更、複雑化、接続元のIPアドレスを制限するような対策を行なうことで一定のレベルを保つことができます。
クラウドサービスの普及で便利になった反面、いつでもどこでもサービスに接続できることが逆に問題になるケースがあります。
例えば、個人のスマホ端末での接続や、野良Wi-Fiでの接続、漫画喫茶や他人のPC端末での接続でログイン履歴を残したり、ログイン状態で席を離れてしまうことで情報漏えいのリスクは高まります。
そこで、先程お伝えした、接続元のIPアドレスの制限が有効になったりします。
繰り返しになりますが、「UTMを設置したからセキュリティ対策が万全になる」ことは、絶対にありえません。
あくまで、補完的な位置づけとして導入し、基本的な対策と掛け合わせながらセキュリティ対策を実施していただきたいと思います。
営業マンもユーザもUTM自体に依存することなく、きちんとした対応と対策が必要になるでしょう。