■UTM導入のメリット・デメリット
無償のUTMがあるということで導入を検討するに当り一応UTM自体の導入メリット・デメリットを整理してみる。個人のみならず、SOHOや中小企業向けという視野で思いついたことを書いておく。
自サーバを導入する際に同時にUTM製品を導入するメリット
・アンチウイルス&アンチスパムをUTMに任せられるので自サーバの負荷が軽減できる
・UTM製品の仕様にもよるがSMTPだけでなくWeb/POP/IMAP/FTP等も対象になる
・受信送信の双方向で透過的にチェックができる
・透過的にチェックされるのでヘッダの修正等が最小限になる
・透過的故に自サーバに導入するソフトウェアの機能的メリットがスポイルされない
・構成によるがネットワーク全体が包括的に保護されるので安心感が高い
・Bridgeモードであれば導入も容易
・ネットワーク上で起きている攻撃等セキュリティ問題の把握が容易になる
・トラフィック状況などがより視覚的に把握できる
・ロードバランス機能が含まれている場合冗長化構成時にも有利
自サーバを導入する際に同時にUTM製品を導入するデメリット
・UTM自体の運用管理が増える
・構成要素が増えて障害ポイントが増えることになる
・障害が複雑化する可能性がある(透過的故に見えない&再現や比較が難しい)
・暗号化された通信は対応していないプロトコルが多くチェックできない(結局サーバにも対策が必要)
・UTMは比較的高価かつランニングコストも高め(商用製品はSOHO利用キツイ…)
・サーバへのスループットは下がる(チェックするから。Firewall100M,UTM35Mのスループットくらい)
・管理しなければいけない事象が増えることになる(本来デメリットではないが…)
・心理的安心感でサーバ自体のセキュリティ設定がおろそかになる(ありがち(‘A`))
有名どころを見る限り暗号化通信にUTMとして有効なのは
Fortigate https/smtps/pops
Sonicwall https
Astaro https
untangle なし
という状況なので、商用はもちろん、無償のuntangleでメッセージングをセキュアにという方向には一工夫必要になりそう。SSLラッパをうまく活用して、ブリッジモードのUTMが非暗号化通信をチェックできるような構成をちゃんと設計しないといけないかなぁと。
[クライアント]→SMTPS→[SSLラッパ]→SMTP→[UTM]→SMTP→[メールサーバ]
みたいな構成か。やっぱり構成要素が増えるばっかりだなぁ…。
とりあえずhttpsのラッパは比較的導入が容易なのでWebMailなんかはちゃんと対策したいところ。
まだ未検証だけどAstaroの個人向け無償ライセンスがhttpsのスキャンに対応していると素晴らしいなぁ。
FortigateはさすがUTMの草分けなだけありますね。高いけどw