SIEMとUTM

セキュリティ機器を導入する場合ですが、それぞれのメリット/デメリットをまとめてみました。

Firewall, Antivirus, IPS, Mail Scanner(+ SandBox)など、それぞれ異なるメーカーの機器でそろえることももちろん可能です。

例えば上記4種類の機器を4つのメーカーで導入した場合、下記のような問題が発生します。

  1. セキュリティ機器メーカーによって、セキュリティについての言葉の定義が同じではない。そういった点を乗り越えて、それぞれの機器の仕様、機能、性能を理解しなければならない。
  2. 4つの機器を導入すると、4種類の異なる管理画面の利用方法をマスターしなければならない。
  3. 導入してから、時間がたつと、それぞれの機器のOSのバージョンアップが発生するが、どう対応するのか(いつバージョンアップするのか)、運用面、費用、安定性などについて検討する必要がある。
  4. 保守サービス/ライセンスの期限の管理、それらに付随する予算の申請などについて、4つの機器についてそれぞれ検討および実施しなければならない。
  5. アラートへの対応、ログの管理についても、台数が増えた分、複雑化するが、どのような手続きでセキュリティーポリシーに沿った対応を行うのかについて立案、検討、策定しなければならない。
  6. 通信トラブル、または、何らかのトラブルが発生した場合、即座に切り分けができる保証はない。特に、メーカーがばらばらで、サポートするリセラーがばらばらである場合、エンドユーザー側にネットワークとセキュリティ機器全般を見渡すことができるスキルの高いエンジニアがいなければ、事態を収拾することができなくなる可能性がある。

では、Cisco, Fortinet, Palo Altoのような単一のメーカーによるUTM(+同一メーカーの必要機器)で構成した場合はどうなるでしょうか。

  1. 仕様、機能、性能を表現する用語にブレが発生しないので、非常にわかりやすい。勉強する時間を大幅に削減できる。
  2. 単一メーカーであれば、日々の運用/管理業務について、一つの統合された管理者用Webサイトでほぼすべてに対応できる。また、OSのメジャーバージョンアップなどで、管理画面の見え方が大幅に変わってしまう場合でも、一つなので対応しやすい。
  3. 単一メーカーの場合、バージョンアップする際も、検討する内容がわかりやすく、結論を出しやすい。例えば、UTM本体とアナライザー(ログの管理、分析ができる機器)の互換性など、事前にメーカーから情報が公開されている場合が多く、動作検証などを全部または一部省略化できる。
  4. 保守サービス/ライセンスの期限の管理についても、検討が容易で、結論を出しやすい。
  5. アラートへの対応、ログの管理について、しなければならないことは同じだが、そのメーカーの統合的なログ管理アプライアンス/ツールなどがあれば、そういったものを利用することで、簡素化できる。
  6. 単一メーカー、単一リセラー(購入窓口)である場合、問題が発生したら、リセラーのエンジニアと相談すればよい。

他にも面倒なことがあると思いますが、端的にいうと、UTM(または単一メーカーで揃える場合)に比べて、上記のようにメーカーが異なる4種類の機器を導入すると、人数としては機械が増えた分だけ余分にセキュリティ技術者(運用スタッフ)が必要になるでしょう。

特に、本格的なSIEMの導入を検討する場合、セキュリティ技術者が10人以下の企業では、最初からかなり無理があります。

セキュリティ技術者(運用スタッフ)が15人以上いるような規模の事業者であれば、検討する価値はあるかと思います。