[新製品・サービス]

2020年9月1日(火)日川 佳三（IT Leaders編集部）

リスト

　デジタルアーツの「i-FILTER」は、Webプロキシサーバーの形態で動作するURLフィルタリングツールである。業務と関係のないWebサイトやセキュリティ上危険なWebサイトへのアクセスを防止する。HTTPS（SSL）通信を終端させて通信内容を解読する機能も持つ。HTTPでアクセスするログイン画面などのURL（フルパス）も判定できる（関連記事：デジタルアーツ、URLフィルタリング「i-Filter」新版、ID/パスワードの送信をブロック可能に）。

図1：SSL可視化装置「SSL Orchestrator」とインライン型で連携できるようにした。SSL OrchestratorがデコードしたSSL通信をi-FILTERに経由させ、これをSSL Orchestratorが再度受け取り、SSLで外部と通信する形になる。SSL Orchestratorは、トラフィックを渡すインタフェースと受け取るインタフェースの2本のネットワークインタフェースでi-FILTERと接続する形になる（出典：デジタルアーツ）

　今回の新版では、SSL通信トラフィックの増加に対応するための方策として、SSL通信をデコードする専用アプライアンスであるSSL Orchestratorと連携できるようにした。SSL OrchestratorからICAP経由でi-FILTERのURLフィルタリング機能を使う方法だけでなく、新たにSSL Orchestratorの通信経路にi-FILTERをインライン型で挟んで使えるようにした。

　インライン型の連携では、SSL OrchestratorがデコードしたSSL通信をi-FILTERに経由させ、これをSSL Orchestratorが再度受け取り、SSLで外部と通信する形になる。1台のSSL Orchestratorしか使わないが、あたかも2台のSSL Orchestratorにi-FILTERを挟み込んだかのように運用する形になる。SSL Orchestratorは、トラフィックを渡すインタフェースと受け取るインタフェースの2本のネットワークインタフェースでi-FILTERと接続する形になる。

　新版では、ある特定の通信について、SSLをデコードしたものではない素のHTTP通信なのか、それともSSLをデコードした通信なのかを、SSL Orchestratorからヘッダー情報でi-FILTERに通知する運用ができる。この情報を基に、SSL通信をデコードしたものであればSSL通信用のデータベースを参照してURLを判定し、素のHTTP通信であれば素のHTTP通信用のデータベースを参照してURLを判定する。

　製品提供の背景として同社は、Webサイトの全ページをSSL化する常時SSL化が主流になり、SSL通信が普及したことによって、SSL通信のデコードを効率的に行う必要性が生じている状況を挙げている。「SSLデコード専用機と組み合わせることによって、i-FILTERみずからSSLをデコードしなくても、デコード済みのSSL通信の中身を判定できるようになる」（同社）

　SSL通信をデコードしなければならない理由は、WebブラウザとWebサーバーがエンドツーエンドで通信を暗号化してしまうと、どんな情報をやりとりしているのかを補足できなくなるからだという。「内部から機密情報が漏洩しても気付かないほか、外部からマルウェアをダウンロードしても気付かない。アクセスしているURLのフルパスも分からない。これらを可視化するためには、SSL通信を終端させて通信をデコードする必要がある」（同社）