UTMは機能を押し込んだファイアウォールだ
さて、ファイアウォールの基本的な役割としては、まず複数のネットワークを物理的に接続するゲートウェイとして機能する点だ。次に、アクセス制御を行って、通過させて良い通信と通過させてはいけない通信を判断する。そして危険な兆候を検出したら、管理者に警告を発する。また、通信の許可あるいは不許可、警告などのログを記録するなどの機能を持つ。
ファイアウォールの中継機能には、大きく2つの方式がある。1つがパケットフィルタ方式であり、これはルーターやスイッチと同じACL(Access Control List)を用いて、発信元のIPアドレスと宛先を参照してフィルタリングする。もう1つがProxy方式。Proxy方式のファイアウォールは、それ自体がパケットを中継することはない。中継させたいHTTPなどのプロトコルごとにProxy(代理)サーバを立て、このProxyサーバがACLを用いて代理通信を行う。
最近のほとんどのファイアウォールが備えている機能としては、まずユーザー認証機能がある。動的にIPアドレスが割り当てられるようなユーザーからのアクセスに対して、IPアドレスではなくユーザー名とパスワードによる認証を行い、アクセスを許可する。認証したIPアドレスに対して特定のポリシーを適用することで、柔軟なアクセス制御が行える。
また、一般的なファイアウォールの場合、パケットのヘッダーだけを見て通過の可否を決めているが、パケットのペイロードを見て、たとえば通信にウイルスが含まれていないか、禁止されたキーワードが含まれていないか、スパムメールではないかなどを調べるウイルス防御機能や、コンテンツの内容やURLを調べて接続をブロックするコンテンツフィルタリング機能を持つファイアウォールも珍しくなくなった。
そのほか、暗号通信を行うVPNゲートウェイ機能や、侵入検知、侵入防止機能を備えるファイアウォールも増えている。こうした多彩な機能を1つの箱に収めたオールインワンのファイアウォールのことを「UTM(Unified Threat Management)装置」などと呼ぶようになった。
UTM装置の登場は、ネットワーク機器ベンダーが、ファイアウォールやセキュリティベンダーの買収を進め、それらの機能モジュールをネットワーク機器に統合した結果といえる。さまざまな機能を1つの装置にまとめることは、合理的で意味のあることだ。ただ、ウイルス防御機能など処理負荷が高い機能については、トラフィックの多い組織では切り離した方が良いこともある。その適用は慎重に検討すべきだろう。