Fortinet商品など
UTMのネットワーク設定について
UTM(Unified Threat Management)は、ファイアウォール、侵入防御(IPS/IDS)、ウイルス対策、VPN、Webフィルタリングなど複数のセキュリティ機能を統合したネットワーク防御の中核装置です。
この1台で「通信制御」「マルウェア対策」「外部侵入防御」などを一元管理できるため、中小企業から大規模組織まで幅広く導入されています。
本稿では、UTM導入時に押さえるべきネットワーク構成・ポリシー設計・運用管理のベストプラクティスを詳しく解説します。
ネットワーク構成の基本設計
UTMはネットワークの境界(ゲートウェイ)に設置され、社内LANとインターネットの間で通信を制御します。
インターネット
│
[WAN]───UTM───[LAN]
│
社内ネットワーク
主なインターフェース設定
| インターフェース | 役割 | 設定内容の例 |
|---|---|---|
| WANポート | 外部接続(ISP側) | グローバルIP、DNS、デフォルトゲートウェイ |
| LANポート | 社内ネットワーク | プライベートIP、DHCP、VLAN設定 |
| DMZポート | 公開用セグメント | Web・メール・FTPサーバ用(外部アクセス可) |
補足: DMZは「社内ネットワークを守る中間層」。外部公開サーバをDMZに置くことで、内部LANの侵入リスクを最小化できます。
ルーティングとNAT(アドレス変換)
UTMは単なるゲートウェイではなく、「どの通信をどの経路へ通すか」を判断するルーティング設定と、「内部・外部で異なるアドレス体系をつなぐNAT設定」が必須です。
スタティックルート(静的ルート)
特定ネットワークへの経路を手動で指定します。
例:本社から支社(192.168.20.0/24)へのVPN通信
宛先ネットワーク:192.168.20.0/24
ゲートウェイ:VPNトンネルインターフェース
VPNがルートベース型の場合、ルート設定を明示。
ポリシーベースVPNの場合は暗号化ポリシーがルーティングを兼ねます。
NAT(Network Address Translation)
内部のプライベートIPを外部通信で使えるグローバルIPに変換する仕組みです。
| 種類 | 用途 | 内容 |
|---|---|---|
| SNAT(送信元NAT)/PAT | 内部→外部通信 | 社内LAN→インターネット時の変換。多くは1つのグローバルIPを共有(Port変換含む) |
| DNAT(宛先NAT) | 外部→内部通信 | 外部からの通信を内部サーバ(DMZなど)へ転送 |
| Hairpin NAT | 内部から外部FQDN経由で内部サーバへアクセスする際に利用(NATループバック) |
注意: DNAT設定だけでは通信は通りません。対応するファイアウォールポリシー(WAN→DMZ/LAN)の許可設定が必須です。
セキュリティポリシー設計(通信制御の要)
UTMの中心機能は「通信をどの条件で通すか」を決めるセキュリティポリシーです。
ポリシーの構成要素
| 項目 | 内容 |
|---|---|
| 送信元ゾーン | 通信の発信元(例:LAN) |
| 宛先ゾーン | 通信の行き先(例:WAN、DMZ) |
| サービス/ポート | 通信の種類(例:HTTP/HTTPS/SMTP) |
| アクション | 許可(Allow)/拒否(Deny) |
| ログ出力 | 通信履歴の記録設定 |
ルール例
| 優先度 | 送信元 | 宛先 | サービス | アクション |
|---|---|---|---|---|
| 1 | LAN | WAN | HTTPS (443) | Allow |
| 2 | WAN | DMZ | HTTP (80) | Allow |
| 3 | Any | Any | Any | Deny(デフォルト) |
ポイント
LAN→WAN方向も“全許可”ではなく、業務上必要な通信(例:HTTP/HTTPS/NTP/SMTPなど)に限定するのが原則です。
高度なセキュリティ機能の設定
UTMはファイアウォールに加えて多層防御を実現します。
Webフィルタリング
- アダルト、ギャンブル、SNSなどカテゴリ別に制御
- ホワイトリスト/ブラックリスト併用が可能
IPS(侵入防御システム)
- 既知の攻撃パターン(シグネチャ)をリアルタイム検知・遮断
- 通常はLAN→WANだけでなくWAN→DMZにも適用
アンチウイルス/アンチスパム
- メール・Webトラフィックをスキャン
- HTTPSを含む通信の検査にはSSL/TLS復号(Deep Inspection)が必要
※ただし証明書ピンニングやプライバシー保護上の例外設定が必要です
VPN設定
| 種類 | 用途 |
|---|---|
| サイト間VPN | 本社⇔支社などの拠点接続 |
| リモートアクセスVPN | テレワーク・外部社員の安全な接続 |
運用・管理のベストプラクティス
UTMは導入後の運用管理がセキュリティ品質を左右します。
運用ルール
- ログ監視:Syslog/SIEMに転送し、異常通信を可視化
- ルール最適化:ヒットカウントを確認し、不要ルールを整理
- 定期バックアップ:設定変更前に必ず取得、年次でリストア検証も実施
- 管理アクセス制限:MFA導入・RBAC権限管理・特定IPからのみ許可
- ファームウェア更新:事前検証→メンテ時間内適用→ロールバック計画を用意
性能最適化
- 高負荷なSSL検査・IPSを段階的に導入
- ハードウェアアクセラレーション(AES-NI, NP, CP)活用
- QoS(帯域制御)で業務トラフィックを優先
- 不要機能を無効化してスループット確保
IPv6・最新環境への対応
- IPv6環境ではNATを使わず、ステートフルFWルールで制御
- NAT代替としてNPTv6(Network Prefix Translation)を活用するケースあり
- IPv6を有効化する場合、DNS64/NAT64設定も検討対象になります
主なUTM製品の特長(例)
| メーカー | 管理画面URL例 | 特徴 |
|---|---|---|
| Fortinet FortiGate | https://192.168.1.99/ | 高性能・FortiViewによるトラフィック可視化が強力 |
| Sophos XGS | https://172.16.16.16:4444/ | GUI操作が直感的、アプリ識別制御が得意 |
| WatchGuard Firebox | https://10.0.1.1:8080/ | ポリシーベース構成が明確で中小企業に人気 |
| Palo Alto Networks NGFW | https://192.168.1.1/ | アプリ識別と脅威インテリジェンスが先進的 |
※UTMとNGFW(次世代ファイアウォール)は近年ほぼ同義。
UTM=多機能統合型、NGFW=アプリ層識別型という傾向が残る程度です。
まとめ:安全で持続可能なUTM運用の鍵
UTMのネットワーク設定は、単なる“つなぐ”作業ではなく、セキュアな情報基盤の設計そのものです。
- ゾーン構成(WAN/LAN/DMZ/管理ネットワーク)を明確化
- NATとポリシーを連携し、通信経路を厳密制御
- SSL復号・IPS・Webフィルタで多層防御を構築
- 管理アクセス・ログ監視・バックアップを定常化
- IPv6・VPN・高負荷対策も含めた長期的運用を設計
以上、UTMのネットワーク設定についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
