2016年 2 月 29日　Corey Nachreiner 著

セキュリティ業界には、IAM、UTM、NGFW、MFA、EDR といった略語が次々に登場します。その理由はおそらく、複雑な言葉を簡単に表記したいという、大多数の人間の傾向によるものでしょう。情報セキュリティのような常に変化し続ける業界では、時の移り変わりと共に、これらの用語やグループの名称から大きな問題が生まれることがあります。新たな脅威が毎年登場し、セキュリティのイノベーションが進んで異なる解決方法が開発されますが、それらの脅威や解決方法が生まれるたびに、過去に定義されたグループのいずれかに無理やり分類しようとし、結果として、新しく開発されたテクノロジーの価値が損なわれ、エンドユーザーを混乱させることも少なくありません。その 1 つとして、ネットワークセキュリティプラットフォームを 2 つの異なるグループ、すなわち、次世代ファイアウォール（NGFW：Next Generation Firewall）または統合型脅威管理（UTM：Unified Threat Management）のいずれかのアプライアンスに無理やり分類しようとする例が挙げられます。最近では両者の区別が困難になったことから、昨年の Gartner 社主催の Security and Risk Management Summit で、まさにこの話題が議論されることになりました。ネットワークに対するセキュリティの脅威を解決してくれる優れたセキュリティは、ほぼすべてのエンドユーザーに共通する願いですが、実際のところ、それが NGFW または UTM のどちらであるかを気にする人は少ないでしょう。そこで今日は、この 2 種類のアプライアンスの違いのわかりにくさを多少なりとも解消し、UTM による保護によってセキュリティの測定可能な効果が向上する理由を数量的に示すいくつかのデータをご紹介します。

UTM と NGFW の違いは何か

アナリストがこれら 2 つの製品分野を最初に定義した段階では、明確な機能的相違があり、だからこそ、それぞれが別々に定義されたはずです。おおまかに言えば、NGFW アプライアンスは、侵入防止システム（IPS）とアプリケーションコントロールの機能を備えたファイアウォール、UTM アプライアンスは、IPS、アンチウィルス（AV）、URL フィルタリング、およびアンチスパムの機能を備えたファイアウォールという定義でした。 ところが、両方の市場の組織構造が時間の経過と共に進化し、変化を遂げて、今では、両方のソリューションがほぼ同じ中核機能を提供するようになりました。 たとえば、一部の NGFW ソリューションには、以前は UTM に分類されていた（マルウェア検出のような）セキュリティコントロールが新たに追加されています。その一方で、UTM にも、アプリケーションコントロールなどの NGFW 市場という言葉が定義されるきっかけとなったセキュリティ機能がすべて採用されるようになり、それぞれに新たなセキュリティサービスがさらに追加されたことで、両者の違いがさらに曖昧になりました。

このように、NGFW と UTM の機能セットの違いが曖昧になったことで、製品の差別化がさらに困難になりましたが、今でも存在する明確な違いを 1 つ上げることができると思います。UTM ソリューションは、可能な限り多くのセキュリティコントロールを 1 つに統合することで、管理の作業とコストの効率化を可能にすることを重視するのに対し、NGFW ソリューションは主として、限られたコントロールの機能、特に、大規模データセンター環境などの特定の用途で最も重要である機能だけを統合することを目標にしています。簡単に言えば、UTM の方が NGFW よりも多くのセキュリティを備えたソリューションである傾向があります。

多層型 UTM によるセキュリティで防御力がどのように強化されるのか

UTM の中核となるバリュープロポジションは、本質的には、多くのセキュリティコントロールが 1 つに統合されることで、セキュリティの効果を向上させ、他では実現できない機能を求める組織に多層型セキュリティを提供することにあります。このような特性が十分に活用するには、多層型セキュリティによって自社のセキュリティ対策の有効性がなぜ向上するのかを理解しておく必要があります。

最終的には、UTM による多層型セキュリティが最良の防御方法である理由として、次の 2 点を挙げられるでしょう。

1. 完全無欠のセキュリティコントロールは存在しない
   – 情報セキュリティがいつまでも終わらない「軍拡戦争」であることは、歴史によって証明されています。攻撃からの防御を可能にする新たなセキュリティコントロールが発明されたとしても、しばらくすると、その防御策を突破して侵入する新たな方法をハッカーが発見します。アンチウィルス（AV）は、その良い例です。セキュリティ業界では、シグネチャベースのソリューションを最初に開発し、当初は高い効果を上げていましたが、ハッカーも進化して、リアクション型のシグネチャベースのソリューションを迂回する新たな侵入の手口を発見するようになりました。今では、さらに進化した、挙動ベースの AV ソリューションが開発されましたが、これらの新たなソリューションを巧みに欺く攻撃方法が既に見つかっています。つまり、ほとんど完璧と思われるようなセキュリティコントロールであっても、いずれはそれを迂回する方法が発見されるため、UTM アプライアンスにセキュリティのレイヤー（層）を追加して、不十分であった部分を補えるようにすることが重要です。
2. 最近の混在型攻撃には複数の異なる段階が存在する
   – 最近のネットワーク攻撃は、複数の段階に分けて考えることができます。たとえば、最初の攻撃準備の段階、攻撃する弱点を見つけて突破する段階、攻撃に使うデータやマルウェアを送り込む段階、攻撃者へのコールホームの段階などが存在します。セキュリティエクスパートはよく、これらの段階をキルチェーンと呼んでいます。これらの段階は、2 つの重要性を秘めています。1 つ目は、攻撃を発見する機会としての各段階の重要性です。最初の段階で見逃してしまったとしても、次の段階で食い止められる可能性があります。 また、それぞれの段階によって、異なるタイプの防御が必要になります。たとえば IPS は、マルウェアを発見するものではなく、ソフトウェアエクスプロイトをブロックするものです。ウォッチガードの UTM は、攻撃の各段階に必要な異なるタイプの防御を多層型の防御に統合し、ある段階で発見できなかった場合も別の段階でブロックできるようにすることで、前述のキルチェーンを分断します。簡単に言えば、攻撃の段階が増えて防御の機会が増えるほど、全体としての防御の有効性が高くなり、ある防御策を迂回した新たな脅威であっても防御が可能になります。

ウォッチガードでは、UTM、多層型セキュリティ、NGFW という型に当てはめてそれぞれのソリューションを提供することが重要であるとは考えていません。重要なのは、我々が最新のネットワークのさまざまな段階で攻撃を発見できるメカニズムを開発し、攻撃からの保護のこれらの方法を多層化して提供することで脅威をブロックしているという事実です。

有効性を証明する外部データ

ウォッチガードの多層型 UTM ソリューションの価値を理解するのは、理論的にはとても簡単ですが、アナリストや科学的視点を持つ人にとっては、数量的な根拠がなければどのような理論も信用できないでしょう。セキュリティ製品テストを専門とする世界有数の独立系研究機関である NSS Labs が最近、多層型 UTM セキュリティの価値を証明する、新しい脅威警告サービス/テストの方法論を発表しました。

NSS Labs の CAWS（Cyber Advanced Warning System）を利用すると、ネットワークセキュリティソリューションによるリアルタイムのセキュリティ脅威対策の有効性を、ベンダーやエンドユーザーの視点で確認できます。このシステムの利用者は、いくつかの異なるプロファイルで動作する異なるソリューションの有効性を確認できます。たとえば、ベースプロファイルとは、前述のいわゆる NGFW と呼ばれる機能だけが有効なプロファイル、アドバンスプロファイルとは、上記の例で説明したような、ベンダーによる UTM の付加価値サービスを利用するプロファイルで、ウォッチガードは後者に該当します。

ウォッチガードは、この CAWS サービスに数か月間にわたって積極的に参加し、自社製品のセキュリティの有効性を向上させる指針としてだけでなく、UTM による防御の有効性を数量的に証明する方法としても紹介してきました。以下にご紹介する表は、約 1 ヵ月間の新しい CAWS 攻撃に対するウォッチガードの「ブロック率」を示したものです。

図 1： NSS Labs CAWS システム提供

上記の表で下の方に表示されているオレンジ色の線は、主として IPS のみを脅威対策に使用する、従来型の NGFW を表し、上の方に表示されているベージュ色の線は、UTM の全機能セット（これには、GAV や APT Blocker のようなマルウェア対策サービス、およびウォッチガードのすべての URL フィルタリングサービスが含まれます）を使用する、ウォッチガード製品を表しています。

注目すべきは、ウォッチガードの IPS のみによるブロック率が 1 月 31 日近辺で落ち込んでいる点です。いくつかの理由が考えられますが、一般的には、新たな攻撃が発生して IPS では発見できなかったと推測されます。それでは、この時期になぜ注目する必要があるのでしょうか。ベージュ色の UTM の線を見ると、IPS が最初は発見できなかった何らかの新たな攻撃が発生した可能性があるにもかかわらず、比較的高いブロック率を維持しています。IPS のブロック率の毎日の上下にかかわらず、UTM による毎日の新しい脅威のブロック率は 90 % を優に超えており、この事実からも、ウォッチガード以外のベンダーからも提供されている IPS での落ち込みと比較した場合の多層型アプローチの重要性を再認識できます。

強力なセキュリティ、多層型セキュリティはもう古いという意見もあり、最近は何らかのセキュリティ対策を導入している企業や組織が攻撃されたというニュースを多く耳にすることから、その主張がやはり正しかったとする人もいるでしょう。しかしながら私自身は、多層型セキュリティは依然として、大多数の攻撃をブロックする最も効果的な方法であると考えます。完全無欠の防御策がないことから、今後もデータ流出がなくなることはありませんが、NSS Labs の CAWS によるウォッチガードのテスト結果は、UTM アプライアンスの多層型セキュリティがセキュリティの総体的な有効性を向上させ、ある層で発見できなかった攻撃を他の層でブロックできることを証明しています。 － Corey Nachreiner, CISSP (@SecAdept)