[新製品・サービス]
デジタルアーツ、URLフィルタリング「i-FILTER」新版でSSL可視化を強化
2020年9月1日(火)日川 佳三(IT Leaders編集部)
デジタルアーツは2020年9月1日、Webプロキシーサーバーの形態で動作するURLフィルタリングツール「i-FILTER」の新版(Ver.10.41R01)を発表した。新版では、SSL通信のデコードを効率的に行えるように、米F5 NetworksのSSL可視化アプライアンス「SSL Orchestrator」と連携できるようにした。これまでのICAP連携だけでなく、通信経路にi-FILTERを配置するインライン連携ができるようにした。新版は、2020年8月20日にリリースした。
デジタルアーツの「i-FILTER」は、Webプロキシサーバーとして動作するURLフィルタリングツールである。業務と関係のない、もしくはセキュリティ上危険なWebサイトへのアクセスを防止する。HTTPS(SSL)通信を終端させて通信内容を解読する機能を備え、HTTPでアクセスするログイン画面などのURL(フルパス)を判定できる(関連記事:デジタルアーツ、URLフィルタリング「i-Filter」新版、ID/パスワードの送信をブロック可能に)。
図1:SSL可視化装置「SSL Orchestrator」とインライン型で連携できるようにした。SSL OrchestratorがデコードしたSSL通信をi-FILTERに経由させ、これをSSL Orchestratorが再度受け取り、SSLで外部と通信する形になる。SSL Orchestratorは、トラフィックを渡すインタフェースと受け取るインタフェースの2本のネットワークインタフェースでi-FILTERと接続する形になる(出典:デジタルアーツ) 新版では、SSL通信トラフィックの増加に対応するための方策として、SSL通信をデコードする専用アプライアンスであるSSL Orchestratorと連携できるようにした。SSL OrchestratorからICAP経由でi-FILTERのURLフィルタリング機能を使う方法だけでなく、新たにSSL Orchestratorの通信経路にi-FILTERをインライン型で挟んで使えるようにした。
インライン型の連携では、SSL OrchestratorがデコードしたSSL通信をi-FILTERに経由させ、これをSSL Orchestratorが再度受け取り、SSLで外部と通信する形になる。1台のSSL Orchestratorしか使わないが、あたかも2台のSSL Orchestratorにi-FILTERを挟み込んだかのように運用する形になる。SSL Orchestratorは、トラフィックを渡すインタフェースと受け取るインタフェースの2本のネットワークインタフェースでi-FILTERと接続する形になる。
また、新版では、ある特定の通信についてSSLをデコードしたものではない素のHTTP通信なのか、それともSSLをデコードした通信なのかを、SSL Orchestratorからヘッダー情報でi-FILTERに通知する運用ができる。この情報を基に、SSL通信をデコードしたものであればSSL通信用のデータベースを参照してURLを判定し、素のHTTP通信であれば素のHTTP通信用のデータベースを参照してURLを判定する。
製品提供の背景として同社は、Webサイトの全ページをSSL化する常時SSL化が主流になり、SSL通信が普及したことによって、SSL通信のデコードを効率的に行う必要性が生じている状況を挙げている。「SSLデコード専用機と組み合わせることによって、i-FILTERみずからSSLをデコードしなくても、デコード済みのSSL通信の中身を判定できるようになる」(同社)
SSL通信をデコードしなければならない理由は、WebブラウザとWebサーバーがエンドツーエンドで通信を暗号化してしまうと、どんな情報をやりとりしているのかを補足できなくなるからだという。「内部から機密情報が漏洩しても気付かないほか、外部からマルウェアをダウンロードしても気付かない。アクセスしているURLのフルパスも分からない。これらを可視化するためには、SSL通信を終端させて通信をデコードする必要がある」(同社)
