[新製品・サービス]
デジタルアーツ、URLフィルタリング「i-FILTER」新版でSSL可視化を強化
2020年9月1日(火)日川 佳三(IT Leaders編集部)
デジタルアーツは2020年9月1日、Webプロキシーサーバーの形態で動作するURLフィルタリングソフトウェア「i-FILTER」の新版(Ver.10.41R01)を発表した。新版では、SSL通信のデコードを効率的に行えるように、米F5 NetworksのSSL可視化アプライアンス「SSL Orchestrator」と連携できるようにした。これまでのICAP連携だけでなく、通信経路にi-FILTERを配置するインライン連携ができるようにした。新版は、2020年8月20日にリリースした。
i-FILTERは、Webプロキシサーバーの形態で動作するURLフィルタリングソフトウェアである(関連記事:デジタルアーツ、URLフィルタリング「i-Filter」新版、ID/パスワードの送信をブロック可能に)。業務と関係のないWebサイトやセキュリティ上危険なWebサイトへのアクセスを防止する。HTTPS(SSL)通信を終端させて通信内容を解読する機能も持つ。HTTPでアクセスするログイン画面などのURL(フルパス)も判定できる。

今回の新版では、SSL通信トラフィックの増加に対応するための方策として、SSL通信をデコードする専用アプライアンスであるSSL Orchestratorと連携できるようにした。SSL OrchestratorからICAP経由でi-FILTERのURLフィルタリング機能を使う方法だけでなく、新たにSSL Orchestratorの通信経路にi-FILTERをインライン型で挟んで使えるようにした。
インライン型の連携では、SSL OrchestratorがデコードしたSSL通信をi-FILTERに経由させ、これをSSL Orchestratorが再度受け取り、SSLで外部と通信する形になる。1台のSSL Orchestratorしか使わないが、あたかも2台のSSL Orchestratorにi-FILTERを挟み込んだかのように運用する形になる。SSL Orchestratorは、トラフィックを渡すインタフェースと受け取るインタフェースの2本のネットワークインタフェースでi-FILTERと接続する形になる。
新版では、ある特定の通信について、SSLをデコードしたものではない素のHTTP通信なのか、それともSSLをデコードした通信なのかを、SSL Orchestratorからヘッダー情報でi-FILTERに通知する運用ができる。この情報を基に、SSL通信をデコードしたものであればSSL通信用のデータベースを参照してURLを判定し、素のHTTP通信であれば素のHTTP通信用のデータベースを参照してURLを判定する。
背景には、Webサイトの全ページをSSL化する常時SSL化が主流になり、SSL通信が普及したことによって、SSL通信のデコードを効率的に行う必要性が生じている事情がある。SSLデコード専用機と組み合わせることによって、i-FILTERみずからSSLをデコードしなくても、デコード済みのSSL通信の中身を判定できるようになる。
SSL通信をデコードしなければならない理由は、WebブラウザとWebサーバーがエンドツーエンドで通信を暗号化してしまうと、どんな情報をやりとりしているのかを補足できなくなる、というものである。内部から機密情報が漏洩しても気付かないほか、外部からマルウェアをダウンロードしても気付かない。アクセスしているURLのフルパスも分からない。これらを可視化するためには、SSL通信を終端させて通信をデコードする必要がある。