Scribble at 2021-08-19 09:35:38 Last modified: 2021-08-19 12:25:03

そんなの自明だよ。中小企業なんて UTM どころか、情報セキュリティのマネジメント・システムを社内規程や手順のレベルでも整備することは非常に難しいし、そもそもトップ・マネジメントの大半が必要を感じていないだろう。弊社のように対外的なブランディングなり会社の方針として一定のセキュリティを確保するというコミットメント（つまりはプライバシーマークの使用許諾を受けたり、僕らのような人員を社内に維持する予算を確保するということ）は、たいていの中小企業の財務状況では現実的じゃないよ。

弊社では既に使っていないが、２年ほど前までは Fortigate という UTM を使っていた。取引先から５年リースで導入してもらい、いつものことだが基本的なセットアップだけをお願いして、後はポリシーの作成とか管理は全て僕が担当していた。上の記事で書かれているように、確かに使っていた（動いていた）機能の多くはファイアーウォールだが、それは当たり前と言えば当たり前なのだ。なぜなら、当社には DMZ がないため、WAN 側（インターネット側）からの通信は全てルータの YAMAHA RTX3500 が遮断しているからだ。UTM に届く前に全て叩き落としているため、IDS のような機能は実質的にルータがやっているのである。

そして、実際の運用ではこの方がいいとも言える。なぜなら、Fortigate に全ての監視・ロギング・通信制御を任せると、当然だがスループットの性能が低下するし、通信機器の常として熱暴走を起こして通信が切れてしまうことがあるからだ。これは RTX3500 単独で事実上のファイアーウォールのような役目も担わせていた頃も、よく起きていたのである。ゆえに、UTM を導入した理由の一つはネットワーク機器の役割分担も含まれていた。ここで、それならもっと高性能な Fortigate を使えばいいと言えるのは、恐らくあなたが上場企業や超のつく大企業のシス管やネットワーク技術者だからだ。中小企業の財務では、Fortigate 90D や 80E のような30万円前後（加えてライセンスの更新料金がかかる）の UTM を導入して現実に運用するだけでも大変である。僕はもともといる人材として片手間でも Fortigate だろうがシスコのルータだろうが運用できるからいいが、たいていの中小企業にそんな人材はいない。よって、取引業者に年間契約でメンテナンスを依頼するしかないため、更に費用がかかる。

ISMS の運用に携わっている（まともな）実務家であればお分かりのとおり、これ一つで万全のセキュリティ対策になるなんて製品などないし、そもそもそういう発想自体が原則から言って馬鹿げているのだ。なぜなら、〈その１点〉が全ての通信や操作内容を監視したり制御し対策するということは、つまるところ〈その１点〉が攻撃されたり故障すれば全てのセキュリティ対策が停止したり無効になってしまうからである。逆に、オール・イン・ワンだのワン・ストップだのという対策や機器を宣伝している人間こそ、現代の情報セキュリティの原則である多層防御がリスク分散という意味を含んでいることを理解していない素人なのである。

よって、この記事に登場する人々が「多層防御」という概念を複数のゲートによって異なる動作基準で通信を監視したり制御するという、〈機能の合成〉という意味でしか理解していないのが非常に残念だ。これだけ著作も出していて、いちおう国内では「有名人」の部類にある人々ですら、かように狭い観点でしか理解できていないのである。