UTM導入で学ぶ！要件定義・仕様書・設計書の違いと作成ポイント

「仕様書」「要件定義書」「設計書」といったドキュメントは、IT業界やシステム導入の現場で欠かせない重要な資料です。特に中小企業や社内SEがUTM（統合脅威管理）を導入する際には、これらのドキュメントをしっかりと作成しておくことで、トラブルの予防や円滑な導入・運用が実現できます。

本記事では、UTMの導入プロジェクトをサンプルに、要件定義書・仕様書・設計書の違いと、それぞれの書き方や注意点をわかりやすく解説します。これからITシステムの導入を検討している方や、社内ドキュメントを整備したい方にとって、実践的な参考になる内容です。

要件定義書とは？〜導入の目的と求める効果を明確にする〜

UTMを導入する第一歩は「なぜ導入するのか」を明確にすることです。要件定義書は、その目的や背景、必要とされる機能、業務上の課題を整理する文書です。

背景
　社内ネットワークのセキュリティに対する不安が高まり、従来のルーターではマルウェアや不正アクセスの防止が困難になっている。テレワーク環境の拡大により、VPNやWebフィルタリングなどの機能を求める声が社内から上がっている。
目的
　社内外の脅威に対応できるセキュリティ機器を導入し、ネットワーク全体の安全性を高める。また、業務に支障が出ないような安定稼働を実現する。
要件の一覧（例）
- ファイアウォール機能（ステートフルインスペクション対応）
- VPN接続（IPSec・SSL対応）
- アンチウイルス・アンチマルウェア機能
- アプリケーションコントロール
- Webフィルタリング機能
- 月次レポート出力機能（CSV/PDF形式）
- 社内の最大接続数100ユーザーに対応
- 導入コストは50万円以内（初期費用）

要件定義書の役割は、「こういう目的で、こういうことができる製品が欲しい」と発注者側がまとめたものです。技術的な詳細までは踏み込みません。

要件定義で示された「必要なこと」に対して、どのように実現するかをまとめるのが仕様書です。技術者同士やベンダーとの共通認識を形成する文書であり、UTMで実現すべき具体的な機能や振る舞いが記載されます。

ファイアウォール
- 対応ポリシー：IPアドレス、ポート番号、プロトコルベースでの制御
- ログ取得：アクセスログは24時間分保存。Syslog転送対応
VPN
- IPSec（IKEv2対応）、SSL VPN（クライアントレス含む）
- クライアント認証：社内LDAPとの連携
Webフィルタリング
- カテゴリ別ブロック機能（SNS、成人向け、ギャンブル等）
- 時間帯別制御：勤務時間のみフィルタリング有効
レポート機能
- 月次レポート：トラフィック量、ブロック件数、アラート発生状況

仕様書は、技術的な粒度で何をどう制御・提供するかを明確にするものであり、「選定候補機種がこの仕様を満たしているか」をチェックする材料にもなります。

仕様が確定したら、次はその仕様をどうやって実現するか、という「設計」が必要になります。設計書は、導入作業や設定作業のマニュアル的役割も持ち、作業者がそれを見て再現できるように作成します。

基本設計
- ネットワーク構成図（社内LAN、インターネット、UTM機器の配置）
- トラフィックの流れ（外部→UTM→社内、VPN接続ルート）
- 利用ポリシー概要（誰がいつ、何を使えるか）
詳細設計
- ファイアウォールルール一覧（具体的な設定内容）
- VLAN構成とインターフェース割り当て
- VPNユーザーリスト、認証方式、鍵管理手順
- スケジュールバックアップ設定
- ファームウェアのバージョン管理方法

設計書はシステム構築の現場で作業を進めるための「設計図」であり、保守や変更時にも重要な資料となります。とくに社内SEが自社運用する場合は、誰が見ても分かるようなドキュメントとして残すことが求められます。

以下に、それぞれのドキュメントで押さえておきたいポイントを簡潔にまとめます。

ドキュメント名	書き手	読み手	目的	主な記載内容
要件定義書	利用者・発注者	ベンダー・SE	何をしたいか	背景、目的、必要な機能、制約条件
仕様書	SE・ベンダー	SE・開発者	どう実現するか	機能仕様、振る舞い、制限事項など
設計書	SE・構築担当	作業者・運用者	実際の構成と設定	ネットワーク構成、パラメータ設定など