UTMを入れてるのに感染する会社、実はここを設定してない

クラウド・ネットワーク

「うちはUTM入れてるから大丈夫です」

そう言っていた会社が、ランサムウェアに感染する。
実はこれ、珍しい話ではありません。

原因の多くは、“UTMを導入しただけ”で止まっていること。

UTMは万能ではありません。
正しく設定・運用されて初めて意味を持ちます。

今回は、実際に多くの企業で見落とされている
「UTMを入れているのに感染する会社の共通点」を紹介します。

① IPSが更新されていない

UTMには「IPS(不正侵入防御)」という機能があります。

これは、既知の攻撃パターンを検知してブロックする機能。

しかし――

更新されていないIPSは、古いワクチンと同じ。

最近の攻撃には対応できません。

実際、

  • 初期導入後そのまま
  • ライセンス切れ
  • 自動更新OFF

になっている会社は少なくありません。

“UTMがある”ではなく、
“最新状態で動いているか”が重要です。

② SSLインスペクションを設定していない

今のマルウェア通信の多くは「HTTPS(暗号化通信)」です。

つまり、SSLインスペクションをしていないUTMは、

“暗号化された脅威”を素通ししている状態。

になります。

導入時のまま、

  • HTTPSを検査していない
  • 証明書配布をしていない
  • 一部通信しか見ていない

というケースは非常に多いです。

これでは、危険な通信を検知できません。

③ 管理画面を外部公開している

意外と多いのがこれ。

UTMの管理画面がインターネットから見えている。

しかも、

  • パスワードが弱い
  • MFA未設定
  • 接続元制限なし

という状態も珍しくありません。

これは“セキュリティ機器自体が攻撃対象”になっている状態です。

UTMは守る側ですが、
設定を誤れば入口にもなります。

④ ログを誰も見ていない

UTMは大量のログを出しています。

しかし現実は――

  • アラート未確認
  • 毎日見ていない
  • 異常通信に気づかない
  • 保存期間が短い

という企業がほとんど。

つまり、

「防犯カメラはあるけど、誰も映像を見ていない」

のと同じです。

感染は“防げなかった”のではなく、
“気づけなかった”ケースも多いのです。

⑤ GeoIP制限を使っていない

海外との通信が不要なのに、

  • 全世界アクセス許可
  • 特定国ブロックなし
  • RDPやVPNが海外から接続可能

になっている会社もあります。

実際、多くの攻撃は海外IP経由。

GeoIP制限だけでも、
不要な攻撃をかなり減らせます。

「導入しただけセキュリティ」が一番危ない

UTMは、置いただけでは守ってくれません。

重要なのは、

  • 正しい設定
  • 継続的な更新
  • ログ監視
  • 運用ルール

です。

“セキュリティ機器を入れた安心感”が、
逆に危険になることもあります。

本当に見るべきは「導入済み」ではなく「運用状況」

もし今、

  • 導入後チェックしていない
  • ベンダー任せ
  • 設定を把握していない
  • 数年前から触っていない

なら、一度見直した方がいいかもしれません。

感染する会社は、
“UTMがない会社”ではなく、

“UTMを過信した会社”です。

コメント

タイトルとURLをコピーしました