[新製品・サービス]

2020年9月1日(火)日川 佳三（IT Leaders編集部）

リスト

　i-FILTERは、Webプロキシサーバーの形態で動作するURLフィルタリングソフトウェアである（関連記事：デジタルアーツ、URLフィルタリング「i-Filter」新版、ID/パスワードの送信をブロック可能に）。業務と関係のないWebサイトやセキュリティ上危険なWebサイトへのアクセスを防止する。HTTPS（SSL）通信を終端させて通信内容を解読する機能も持つ。HTTPでアクセスするログイン画面などのURL（フルパス）も判定できる。

図1：SSL可視化装置「SSL Orchestrator」とインライン型で連携できるようにした。SSL OrchestratorがデコードしたSSL通信をi-FILTERに経由させ、これをSSL Orchestratorが再度受け取り、SSLで外部と通信する形になる。SSL Orchestratorは、トラフィックを渡すインタフェースと受け取るインタフェースの2本のネットワークインタフェースでi-FILTERと接続する形になる（出典：デジタルアーツ）

　今回の新版では、SSL通信トラフィックの増加に対応するための方策として、SSL通信をデコードする専用アプライアンスであるSSL Orchestratorと連携できるようにした。SSL OrchestratorからICAP経由でi-FILTERのURLフィルタリング機能を使う方法だけでなく、新たにSSL Orchestratorの通信経路にi-FILTERをインライン型で挟んで使えるようにした。

　インライン型の連携では、SSL OrchestratorがデコードしたSSL通信をi-FILTERに経由させ、これをSSL Orchestratorが再度受け取り、SSLで外部と通信する形になる。1台のSSL Orchestratorしか使わないが、あたかも2台のSSL Orchestratorにi-FILTERを挟み込んだかのように運用する形になる。SSL Orchestratorは、トラフィックを渡すインタフェースと受け取るインタフェースの2本のネットワークインタフェースでi-FILTERと接続する形になる。

　新版では、ある特定の通信について、SSLをデコードしたものではない素のHTTP通信なのか、それともSSLをデコードした通信なのかを、SSL Orchestratorからヘッダー情報でi-FILTERに通知する運用ができる。この情報を基に、SSL通信をデコードしたものであればSSL通信用のデータベースを参照してURLを判定し、素のHTTP通信であれば素のHTTP通信用のデータベースを参照してURLを判定する。

　背景には、Webサイトの全ページをSSL化する常時SSL化が主流になり、SSL通信が普及したことによって、SSL通信のデコードを効率的に行う必要性が生じている事情がある。SSLデコード専用機と組み合わせることによって、i-FILTERみずからSSLをデコードしなくても、デコード済みのSSL通信の中身を判定できるようになる。

　SSL通信をデコードしなければならない理由は、WebブラウザとWebサーバーがエンドツーエンドで通信を暗号化してしまうと、どんな情報をやりとりしているのかを補足できなくなる、というものである。内部から機密情報が漏洩しても気付かないほか、外部からマルウェアをダウンロードしても気付かない。アクセスしているURLのフルパスも分からない。これらを可視化するためには、SSL通信を終端させて通信をデコードする必要がある。