アクセスいただきありがとうございます。
梅崎です。
こちらでは、言葉で表すセキュリティ全体イメージについて整理しました。
内容には誤りや解釈の違いが含まれる可能性がありますので、参考程度にご覧いただき、ご活用は自己責任でお願いいたします。
✅ 言葉で表すセキュリティ全体イメージ
ファイアウォール=玄関のセキュリティゲート
※ ネットワークの入口で、通してよい通信かを基本ルール(IP/Port)で判断する。
※ 使用機器:ルータや専用FW機器。
IDS/IPS=不審者を見張る警備員
※ IDSは「怪しい挙動を検知」→ 管理者に通報。
※ IPSは「怪しい挙動を検知して即ブロック」まで行う。
※ 使用機器:専用アプライアンス、FW機能統合型。
UTM=警備機能全部入りのまとめ役
※ ファイアウォール、IDS/IPS、アンチウイルス、URLフィルタ等をまとめたオールインワン。
※ 中小企業で多用。
WAF=Web玄関専門の門番
※ Webアプリケーションの攻撃(SQLインジェクション、XSS)をブロック。
※ 使用機器:Webサーバ前段に配置。
RASP=アプリの内側に常駐するガードマン
※ アプリ内部で動き、実行時に攻撃コードをブロック。
※ 利用シーン:WAFでは防げない、アプリ内部の異常検知に有効。
EDR=端末ごとに配置される番犬
※ PCやサーバの挙動を常時監視し、侵入後の不審な動きを検知。
※ 検知→隔離や管理者通知。
MDM=スマホをまとめて管理する管理人
※ 社員スマホの一括管理。リモートロック、アプリ制御、紛失時のデータ削除。
DLP=会社出口でカバン検査するセキュリティ
※ 社外への情報持ち出し(USBコピーやメール添付)を制御。
※ 「情報漏洩対策の最後の砦」。
SNMP=ネットワーク機器に付いたセンサー
※ ルータ・スイッチ等の稼働状況を監視・通知。
※ 利用シーン:障害検知、死活監視。
SIEM=全ての警備員・番犬・センサーの情報を集める司令室
※ FWログ、EDRログ、SNMP監視結果などを一元的に分析・相関。
※ SOC(Security Operation Center)で活用。
例えば:
SQLインジェクション → WAF/RASP
社員スマホの盗難 → MDM
標的型メールで感染後の横展開 → EDR+SIEM
🔹 UTMとは?
Unified Threat Management = 統合脅威管理
→ 「会社のセキュリティをまとめて守るオールインワン機器(まとめ役)」です。
🔹 そもそも昔はどうだった?
ファイアウォール(FW):出入りの通信を制御
IDS/IPS:不正アクセスを検知・防御
アンチウイルス:ウイルスを検知・駆除
URLフィルタ:危険なサイトへのアクセス制御
昔はこれを 全部バラバラの機器で導入していました。
→ 管理が複雑・費用もかかる。
🔹 UTMの登場
そこで登場したのがUTM。
「FWもIDS/IPSもアンチウイルスもぜんぶ一つの箱にまとめた機械」です。
入口での通信制御(FW)
不審な通信検知(IDS/IPS)
ウイルスやスパムの検出
危険サイトアクセス遮断
これを 1台で一元的に運用できます。
🔹 利用シーン
中小企業に多い
→ 人も予算も限られているので、「UTM 1台入れれば一通り守れる」メリットが大きい。
大企業は分割して専用機を入れることが多い
→ 性能・規模・専門性が必要になるため。
🔹 試験での問われ方
「UTMの特徴はどれか?」
→ 複数のセキュリティ機能を統合した機器
「中小企業のセキュリティ対策として導入が多いのはどれか?」
→ UTM
ちなみにSMNPとICMPがすごく似ていると感じたのでそれもいかに纏めます。
✅ 役割の違いと関係性
🔹 ICMP
すごく軽いプロトコル
「その機器に届くかどうか」を一瞬で確認できる(ping)
OSやSNMPサービスが動いてなくても、IPレベルで応答があれば「とりあえず生きてる」とわかる
🔹 SNMP
詳細な情報(CPU、メモリ、インタフェース利用率など)を取得できる
ただし、SNMPエージェントが動いていて初めて機能する
OSが落ちていたり、SNMPサービスが停止していれば情報は取れない
✅ 実運用での使い分け
まずICMP(ping)で死活確認
応答がなければ「電源落ちてる/ネットワーク断」など大きな障害の可能性。
応答があればSNMPで詳細確認
「CPUが高負荷か?」
「トラフィックが飽和してないか?」
「エラーパケットが増えてないか?」
つまり、SNMPが生きているかを確認するためにICMPを使うケースは多いです。
✅ 役割の違いと関係性
🔹 ICMP
すごく軽いプロトコル
「その機器に届くかどうか」を一瞬で確認できる(ping)
OSやSNMPサービスが動いてなくても、IPレベルで応答があれば「とりあえず生きてる」とわかる
🔹 SNMP
詳細な情報(CPU、メモリ、インタフェース利用率など)を取得できる
ただし、SNMPエージェントが動いていて初めて機能する
OSが落ちていたり、SNMPサービスが停止していれば情報は取れない
✅ 実運用での使い分け
まずICMP(ping)で死活確認
応答がなければ「電源落ちてる/ネットワーク断」など大きな障害の可能性。
応答があればSNMPで詳細確認
「CPUが高負荷か?」
「トラフィックが飽和してないか?」
「エラーパケットが増えてないか?」
つまり、SNMPが生きているかを確認するためにICMPを使うケースは多いです。
✅ まとめ(試験向け)
ICMP → シンプルな疎通確認(ping)
SNMP → 管理プロトコル(詳細情報の取得・管理)
両者は 補完関係 にあり、どちらか片方だけでは不十分。
👉 覚え方:
ICMP=心臓の鼓動があるか確認する聴診器
SNMP=血液検査やCTで体の状態を詳しく診る診断装置