日本プルーフポイントは2020年3月26日、Webコンテンツに含まれるコードを除去するという手法によってWebアクセスを無害化するクラウドサービスを発表した。Web閲覧やWebメールを介したマルウェア感染を防止する。想定する用途の違いによって2つのライセンスを用意した。Webアクセス全般を対象としたライセンス「Proofpoint Browser Isolation」と、SaaS型メールサービスへのアクセスを対象としたライセンス「Proofpoint Email Isolation」である。価格は、いずれもオープン。
「Proofpoint Browser Isolation」と「Proofpoint Email Isolation」は、Webアクセスを無害化するクラウドサービスである(以下、無害化クラウドサービス)。WebブラウザからのWebリクエストを受け、Webブラウザに代わって目的のWebサイトに代理アクセスし、目的のWebサイトから取得したWebコンテンツからコードを除去して無害化し、描画に必要なHTML要素だけをWebブラウザに返す。
目的のWebサイトのコンテンツにマルウェア感染を誘発する不正なコードが含まれていても、無害化クラウドサービスのコンテナ上でコードを実行することになるため、エンドユーザーのPC環境には影響が及ばない。エンドユーザーのWebブラウザ上では、コンテンツ変換によって無害化した安全なコンテンツだけを表示する。
クラウド上のコンテナでWebに代理アクセス、URL指定で利用
無害化クラウドサービスは、専用のWeb画面を持つ(画面1)。ユーザーインタフェースは、エンドユーザーが使うWebブラウザ画面(無害化クラウドサービスのURL「proofpointisolation.com」を指定)の中に、無害化クラウドサービスのWebブラウザ画面(目的サイトのURLを指定)がはまっているような見栄えとなる。
画面1:Proofpointが提供するWeb無害化クラウドサービスの利用画面。Webブラウザで無害化サービス(proofpointisolation.com)にアクセスし、無害化クラウドサービスに代理アクセスさせた結果を表示している(出典:米Proofpoint)拡大画像表示
エンドユーザーの操作方法から見ると、使い方は大きく2つある。1つは、無害化クラウドサービスのWeb画面にいったんアクセスし、目的サイトのURLを入力するアドレスバーに対し、対話型で目的サイトのURLを入力するというもの。例えば、Webブラウザの初期画面を無害化クラウドサービスの画面に設定しておく、といった使い方が考えられる。
もう1つの使い方は、無害化クラウドサービスにアクセスする際のURL文字列に、目的サイトのURL文字列を含ませて指定する、というもの。例えば、受信したメールに含まれているURL(目的サイトのURL)を無害化クラウドサービスのURLに書き換える、といった使い方に適する。無害化クラウドサービスのWeb画面にあるアドレスバーにURLを手動で入力する手間が省ける。
無害化クラウドサービスのアドレスバーに手動で目的サイトのURLを入力した場合でも、無害化クラウドサービスにアクセスする際のURLにユーザーみずから目的サイトのURL文字列を含めてアクセスした場合でも、Webブラウザ上では、まったく同じ結果が得られる。
外部のセキュリテイ製品と容易に連携、リダイレクトで運用
簡単なURL指定だけで利用できるため、エンドユーザーが意識的にクラウドサービスにアクセスする使い方だけでなく、他のセキュリティ製品と連携させて、他製品へのWebアクセスをリダイレクトさせる使い方にも適している。Webサイトが安全かどうかを外部システムで事前に判定すれば、安全なWebサイトについては無害化することなくWebコンテンツを素のままで利用しやすくなる。
例えば、ファイアウォールやWebプロキシサーバー上で、アクセス先のWebサイトが安全かどうかを判別し、安全が確認できないWebサイトについては無害化クラウドサービスにリダイレクトする、といった使い方ができる。この際に、リダイレクト用のURLとして、目的サイトのURLを含めたURLを生成すれば、URLを手動で入力することなく無害化クラウドサービスを利用できる。
日本プルーフポイントでは、同社が提供するクラウド型のサンドボックス「Proofpoint Targeted Attack Protection」(TAP)との連携を提案している。TAPは、メールセキュリティゲートウエイ「Proofpoint Email Protection」の機能を拡張するサービスであり、メールに含まれる添付ファイルとURLが危険かどうかを、クラウド型のサンドボックスで実際にコンテンツを開くことで確認できる。
同社製品との連携で、疑わしいサイトだけを無害化
TAPが提供する機能の1つで、メールに含まれるURLが危険かどうかを確認する機能が「URL Defence」機能である。メールセキュリティゲートウエイのProofpoint Email Protectionが、メールに含まれるURL(目的サイトのURL)をTAPのURL Defence機能のURL(urldefense.com)に書き換える。これにより、メールのURLをクリックすると、TAPのURL Defence機能が動作する。
TAPのURL Defence機能は、無害化クラウドサービスと連携する。WebブラウザからTAPへのアクセスを、TAPが無害化クラウドサービスへとリダイレクトする形になる。これにより、TAPのURL Defence機能でURLが危険かどうかを判定し、判定結果に基づいて、危険かどうかが分からないURLについては無害化の処理に回す、という運用ができる。
TAP上では、どのようなケースを無害化の処理に回すのかを、細かくポリシーで制御できる。まず、TAPの機能によって、攻撃を受ける頻度が高い人や、重要な情報へのアクセス権限を持つ人などを可視化する。この上で、これらのユーザーのWebアクセスを無害化の処理に回す、といった制御ができる。
