UTMだけで大丈夫?クラウド時代のセキュリティ ― 境界防御の限界とID中心型多層防御への移行【2026年版】
「セキュリティ対策はUTMを入れているから大丈夫」 ―― 中小企業の経営者・情シス担当者から今でもよく聞く言葉です。しかし、社員の多くがクラウド・SaaS・リモートワークで業務をする2026年現在、UTMだけでは守れない攻撃が圧倒的多数になっています。
問題は「UTMが悪い」ではなく、「UTMで守れる範囲が、業務の実態と合わなくなった」ことです。本記事では、UTMの限界を構造的に整理した上で、ID中心型の多層防御へ移行するロードマップを解説します。
UTM(統合脅威管理)とは ― おさらい
UTM(Unified Threat Management)は、複数のセキュリティ機能を1台の機器に統合した境界防御アプライアンスです。一般的に以下の機能が含まれます。
- ファイアウォール(FW)
- VPN(IPsec / SSL-VPN)
- アンチウイルス(ゲートウェイ型)
- IDS / IPS(侵入検知・防止)
- Webフィルタリング
- アンチスパム
- アプリケーション制御
設置場所は**社内ネットワークの境界(WAN〜LANの間)**で、「外から内」「内から外」のトラフィックを検査します。
UTMの「前提」 ― 境界防御モデル
UTMは、以下の前提で設計されています。
前提1|業務は社内ネットワーク内で行われる
社員のPC・サーバ・データはすべて社内LANにあり、外部とのやりとりはUTMを必ず通過する。
前提2|社外からのアクセスはVPNで境界を通過する
リモートワーク・出張先からのアクセスはVPN経由で社内に「入って」から業務する。
前提3|攻撃は外から来る
脅威は社外から社内へ侵入してくるため、境界で止めれば守れる。
これが**境界防御モデル(Perimeter Defense)**の前提です。
UTMで守れる領域・守れない領域
UTMで守れる領域(◯)
- 社内LANから社外へのWebアクセスのフィルタリング
- 社内サーバへの外部からの不正アクセス遮断
- ゲートウェイ型のマルウェア検査(メール添付・ダウンロード)
- 既知の攻撃パターン(IDS/IPS)の遮断
- 社内拠点間のサイト間VPN
UTMで守れない領域(✕)
以下はUTMの設計範囲外であり、いくらUTMを高機能化しても守れません。
- クラウドサービス(M365 / GWS / Salesforce 等)への直接アクセス ― トラフィックがUTMを通らない
- 社員のクラウドアカウント乗っ取り ― IDとパスワードが盗まれたら、UTMの内側/外側に関係なく不正ログインできる
- リモートワーク端末からSaaSへの直接アクセス ― 自宅 → クラウドの経路にUTMは存在しない
- シャドーIT(社員が勝手に使うSaaS) ― 把握不能
- 正規IDの不正利用 ― 退職者の残存ID、フィッシングで盗まれたID
- ランサムウェアの内部横展開 ― 既に内側に侵入された後の横移動
- エンドポイント上の挙動異常検知 ― マルウェア実行後の振る舞い
クラウド時代の業務実態 ― なぜUTMが「片手落ち」になるのか
データ1|業務トラフィックの行き先
中小企業の業務トラフィックの80%以上は、現在以下のクラウドサービスに向かっています(情シス365クライアント実績ベース)。
- Microsoft 365(Exchange Online / Teams / SharePoint / OneDrive)
- Google Workspace(Gmail / Drive / Meet)
- 業務SaaS(Salesforce / kintone / Slack / freee 等)
- IaaS(Azure / AWS / GCP)
これらのトラフィックは、社内LANを経由せず直接クラウドへ飛びます。UTMの内側/外側に関係なく業務が成立します。
データ2|攻撃のトレンド
2025年以降の攻撃インシデントの傾向(IPA、JPCERT/CC、各セキュリティベンダーの公開資料を総合):
- フィッシングによるID詐取:全インシデントの40〜50%
- ランサムウェア(VPN/RDP経由の侵入):20〜25%
- ビジネスメール詐欺(BEC):10〜15%
- クラウドサービスの設定不備による情報漏えい:10%前後
- 境界突破型の純粋なネットワーク攻撃:10%未満
UTMが本領を発揮する「境界突破型のネットワーク攻撃」は、全体の1割未満まで減少しています。
データ3|働き方の変化
- リモートワーク導入企業:中小企業の70〜80%
- 自宅・カフェ・出張先からのSaaSアクセス:日常化
- BYOD(個人端末利用):徐々に拡大
「全員が社内オフィスでPCを使う」前提は、すでに過半数の企業で崩れています。
構造的に「UTMの買い替え」は最適解にならない
ハードウェア販売型のIT保守ベンダーは、セキュリティ強化=UTMの上位機種への買い替えを提案する傾向にあります。しかし、上記のとおり現代の脅威の大半はUTMの守備範囲外です。
UTMを200万円のモデルから500万円のモデルにアップグレードしても、フィッシング・ID詐取・クラウド設定不備による事故は1件も減りません。これは機種の性能の問題ではなく、設計思想(境界防御モデル)の射程外の問題です。
ID中心型多層防御(Zero Trust)への移行
クラウド時代のセキュリティの正解は、**「IDを起点に多層で守る」**設計です。Zero Trust(ゼロトラスト)と呼ばれる考え方で、Microsoft / Google / NIST が公式に推奨しています。
基本原則
- 常に検証する(Never trust, always verify):社内ネットワーク内からのアクセスでも認証・認可を毎回確認
- 最小権限の原則:必要な権限だけ、必要な期間だけ付与
- 侵害を前提とする:「もう侵入されている」前提で、被害を最小化する設計
実装すべき7つの対策
1. 全社員MFA(多要素認証)の必須化
最重要・最初にやる対策。フィッシングでパスワードが盗まれても、MFAがあれば不正ログインを防げます。
- ツール:Microsoft Authenticator / Google Authenticator / FIDO2セキュリティキー
- 対象:M365 / GWS / 業務SaaS / VPN / リモートデスクトップ ― すべて
- コスト:M365 Business Standard以上、GWS Business Standard以上に標準搭載
- 導入期間:1〜2週間
2. 条件付きアクセス(Conditional Access / Context-Aware Access)
「誰が/どこから/どの端末で/どのアプリに」アクセスするかを条件にして、認証ポリシーを動的に変える仕組み。
- 例:社内IPからは通常認証、社外IPからはMFA必須、未管理端末からは拒否
- ツール:Microsoft Entra ID(旧 Azure AD)の Conditional Access、Google Workspace の Context-Aware Access
- コスト:Entra ID P1(M365 Business Premium に同梱)、GWS Enterprise
- 導入期間:2〜4週間
3. EDR(Endpoint Detection and Response)
エンドポイント(PC/サーバ)上の振る舞いを監視し、マルウェア実行・ランサムウェアの横展開を検知・遮断する仕組み。従来のアンチウイルスでは止まらない攻撃を止められます。
- ツール:Microsoft Defender for Endpoint / CrowdStrike Falcon / SentinelOne
- コスト:1ユーザー月額1,000〜3,000円
- 導入期間:1〜2週間
4. 特権アカウントの分離・管理(PIM / PAM)
「グローバル管理者」「ドメイン管理者」など特権アカウントを、日常用と分離。必要時のみ昇格させる Just-In-Time 設計。
- ツール:Microsoft Entra Privileged Identity Management、CyberArk
- コスト:Entra ID P2(M365 E5 等に同梱)
- 導入期間:4〜6週間
5. SSO(シングルサインオン)でID基盤を集約
業務SaaSを Entra ID / Okta / Google IDP に集約し、退職時に1箇所で全SaaSの認証を切れる設計に。
- ツール:Microsoft Entra ID / Okta / Google Cloud Identity
- コスト:Entra ID P1 / Okta Workforce Identity
- 導入期間:1〜3ヶ月(SaaS数による)
6. メールセキュリティ(フィッシング・BEC対策)
DMARC / SPF / DKIM の正しい設定、なりすましメール検知、添付ファイルのサンドボックス検査。
- ツール:Microsoft Defender for Office 365 / Google Workspace Advanced Protection
- コスト:M365 Business Premium 等に同梱
- 導入期間:2〜4週間
7. (境界の代わりに)SASE / ZTNA
リモートワーク端末からSaaS/IaaSへのアクセスを保護する、クラウドネイティブなセキュリティスタック。VPN・UTMの後継として位置づけられます。
- ツール:Cloudflare Zero Trust / Zscaler / Microsoft Entra Internet Access
- コスト:1ユーザー月額500〜2,000円
- 導入期間:2〜3ヶ月
投資対効果で見たUTM vs ID中心型
100名規模の中小企業を想定したコスト比較。
UTMの上位機種への買い替え
| 項目 | コスト |
|---|---|
| UTM上位機種(5年リース) | 約400万円(年80万円) |
| 保守料(年) | 約30万円 |
| 5年合計 | 約550万円 |
| 守れる脅威 | 境界突破型(全体の1割未満) |
ID中心型多層防御の導入
| 項目 | コスト |
|---|---|
| M365 Business Premium 移行差額(既存BasicからE3 ↑) | 100名×月額1,500円×60ヶ月 = 約900万円 |
| EDR(Defender for Endpoint) | 100名×月額1,000円×60ヶ月 = 約600万円 |
| 設計・導入支援(情シス代行込み) | 月額35万円×60ヶ月 = 約2,100万円(運用全部込み) |
| 5年合計 | 約3,600万円(運用全込み) |
| 守れる脅威 | 全体の8〜9割(フィッシング・ランサム・BEC・クラウド設定) |
ID中心型の方が金額は大きく見えますが、運用代行(情シス代行)の月額が含まれた数字であり、UTM側は機器代+保守料のみ。実質、フィッシング1件・ランサム1件で簡単にペイする投資です。
段階的な移行ロードマップ(中小企業向け)
「全部一気に」は無理です。優先順位をつけて段階的に進めます。
フェーズ1(〜1ヶ月):MFA必須化
- 全社員MFA有効化
- 管理者アカウントは FIDO2 セキュリティキー併用
- VPN・リモートデスクトップにもMFA適用
フェーズ2(1〜3ヶ月):EDR導入+条件付きアクセス
- EDR(Defender for Endpoint 等)を全PCに展開
- 既存アンチウイルスからの切替
- Conditional Access でリスクベース認証を導入
フェーズ3(3〜6ヶ月):ID基盤集約
- 主要SaaSをEntra ID / Okta にSSO統合
- 退職者ゼロデイ失効ワークフロー構築
- 特権アカウントの分離(PIM導入)
フェーズ4(6〜12ヶ月):境界刷新
- SASE / ZTNA への段階移行
- VPN廃止、UTMは最小機能化または撤去
- ネットワーク監視はクラウドサービス(Defender / Chronicle)に集約
UTMを完全に捨てる必要はない
誤解のないように補足すると、UTMをすべて撤去する必要はありません。
UTMが残る価値
- 来客者用Wi-Fiの分離・フィルタリング
- 工場・店舗の業務システム保護(クラウド化されていない領域)
- IoT機器の通信制御
- VLAN分離・ネットワークセグメンテーション
ただし、**「セキュリティの中心装置」ではなく「ネットワーク機器の一つ」**に位置づけが変わります。投資配分も、ID基盤・エンドポイント・クラウド設定が主、UTMは従、になります。
まとめ:セキュリティ投資の優先順位を「機器」から「ID」へ
「セキュリティ強化=UTM買い替え」の発想を続けるベンダーは、構造的に境界防御モデル時代の発想から抜けられていません。クラウド・SaaS・リモートワークが当たり前になった2026年現在、攻撃は境界の外側で起きており、境界を高くしても守れない領域が拡大しています。
正解は ID中心型の多層防御(Zero Trust):
- MFA必須化
- 条件付きアクセス
- EDR導入
- 特権アカウント分離
- SSO/ID基盤集約
- メールセキュリティ
- SASE/ZTNA
情シス365では、ハードウェア販売を目的としないベンダーニュートラルなセキュリティ運用を月額固定で提供しています。MFA・EDR・条件付きアクセス・インシデント対応まで月額内で対応するセキュリティパック(月額¥450,000〜)も用意しています。