純国産Webセキュリティ・アプライアンス「D-SPA(DigitalArts Secure Proxy Appliance)」

主な機能

セキュア・プロキシ・アプライアンス「D-SPA」の主要な機能をご紹介します。

Webプロキシ機能

高負荷なSSL通信のデコード処理も独自の処理技術で、圧倒的な高速化を実現しました。

ほとんどのWebサービスは、HTTPS(SSL)が利用されているため、Webサービスの制御にはSSL通信のデコードが必要となります。SSL通信のデコード処理は負荷が高く、全てのSSL通信をデコードしてしまうと大幅に速度が低下します。

「D-SPA」は、高負荷なSSL通信のデコード処理も、通信処理を新しいCPUに対応したアクセラレーションによって、従来比で4倍近い速度の向上が実現しました。

さらに、SSLデコード処理対象をWebサービスのみに限定することで、Webサービス制御データベースに則った自動的な制御が可能になります。

  • ※Webサービス制御機能をご利用いただくには、有償オプション製品「i-FILTER for D-SPA Ver.4」が必要です。
圧倒的な高速化を実現

優れた処理能力。通信量が増加した場合も追加コスト不要

総務省の調査では、インターネット通信量が毎年25%増加し、4年後には現在の2倍になることが予測されます。「D-SPA」は、この毎年25%増加すると予想される通信量を見越し、処理能力を旧バージョンと比較して、2倍超に引き上げました。

そのため、将来的に通信量が増加した場合にも追加コストの心配は必要ありません。3年後、4年後も安心してご利用いただけます。

  • ※同時接続セッション数の増加を含む処理能力(D-SPA Ver.2とVer.3以降での当社比)
優れた処理能力

ネットワーク負荷の高効率化を実現するWebキャッシュ

独自開発の共有キャッシュ機能「SP-Cache」を搭載しており、各端末が要求するコンテンツのサイズに応じて、メモリキャッシュとディスクキャッシュを使い分けます。さらに複数台間でキャッシュ情報を共有し、重複キャッシュを削減することでネットワーク負荷を極力軽減し、ディスク領域を有効活用します。

また、動画コンテンツ(WMV、MOV、MP4、Flash等)のプログレッシブダウンロードが可能なため動画コンテンツ向けのキャッシュサーバーとしても有効です。

キャッシュ利用については、ホスト単位やグループ単位のルール設定を柔軟に行えるため、日々変化するWebサイトにも対応しています。

ネットワーク負荷の高効率化を実現するWebキャッシュ

既存のネットワークを変えずに透過モード・NATモードで構成することが可能

「D-SPA」を既存のネットワークを変えずに透過モード(ポートフォワーディング型プロキシ)または、NATモードで構成することが可能です。いずれもHTTP/HTTPS通信を制御します。

既存のネットワークを変えずに透過モード・NATモードで構成することが可能

ユーザー認証機能

インターネット接続におけるユーザー認証は、 IPAが標的型攻撃によるコネクトバック通信への対策にも挙げています。一方、その「玄関口」に認証情報を置きたくない意向から、ネットワークの内側のセキュリティとして、プロキシの有用性が高まっています。

また、認証により得られたユーザー名・グループ名をグループ振り分けに使用できるほか、認証アカウントでのログ管理が可能となることで「誰が」行った行動なのかを把握することができます。

運用面ではLDAPサーバーを最大16台まで登録でき、万が一のLDAPサーバーの障害時にも即座の対応が可能です。

認証方式 解説
LDAP認証 LDAPを利用してユーザー認証を行います。
LDAP over TLS/SSL(LDAPS)及びLDAPバージョン2/3をサポート。
LDAP v3 Page Control機能により、ユーザー登録時に1000以上のObjectが表示可能です。
NTLM認証 NTLMを利用してユーザー認証を行います。
独自認証 独自でユーザー・パスワードをファイルで管理し、認証します。
SNOOP認証 HTTP の「Proxy-Authorization」ヘッダーからユーザー名・パスワードを取得してユーザー認証を行います。
Form認証 透過環境(OS側の機能との併用で実現)でも利用できるIPキャッシュ認証を行います。
CAPTCHA認証 ランダムに表示される文字列を入力させることで、マルウェアからの通信などユーザーが意図しないWebアクセスをブロック可能です。難読レベルは調整可能で、他の認証との併用も可能です。
SAML認証
※Ver.4から対応
異なるインターネットドメイン間でユーザー認証を行うための標準規格であるSAML認証に対応しています。Microsoft Entra IDを利用したクラウドサービスへのシングルサインオンなどが利用可能です。
Kerberos認証
※Ver.4から対応
サーバとクライアント間の身元確認のために、発行されたチケットを認証に利用する方式です。
対応LDAPサーバー
対応LDAP規格 「LDAP v2」準拠
「LDAP v3」準拠
検証確認済み LDAPサーバー Microsoft Active Directory
・Windows Server 2019 Standard
・Windows Server 2016 Standard
OpenLDAP

IPv6対応

IPv4/v6自動変換に対応し、ユーザー通信でIPv6が利用でき、よりセキュアな次世代通信環境に対応します。

  • ※「i-FILTER」部分はIPv6に完全対応しています。
  • ※ VRRPによる冗長構成時はIPv4のみ可
IPv6完全対応

Webサービス制御機能

利用するWebサービスの潜在リスクを可視化し、ポリシーに合わせたリスク対策を実現

有償オプション製品「i-FILTER for D-SPA Ver.4」には、「i-FILTER」Ver.10の「Webサービス制御」機能が搭載されています。これによって、情報漏洩リスクで整理された国内外のSNSやオンラインストレージなどのWebサービスの利用を機能単位を制御でき、例えば業務で使うオンラインストレージに限定したアップロードの許可や、広報限定のSNSの更新許可などが可能です。

また、WebフィルタリングとWebサービス制御の2つのDBが連携しているため、Webサービスにログイン後のページもカテゴリ判定も可能です。

  • ※「Webサービス制御機能」のご利用には、有償オプション「i-FILTER for D-SPA Ver.4」が必要となります。

Webサービス制御画面

各Webサービスの機能による情報漏洩リスク指標のアイコン表示や、多くの画面遷移を必要としないわかりやすい管理画面で、適切な制御設定が数クリックで完了します。

Webサービス制御画面

レポーティング画面

部署別/グループ別の活用状況の“見える化”を実現するレポーティング機能の提供により、管理者は日常業務内で適切な制御ができます。

レポーティング画面

URLフィルタリング機能

標的型攻撃対策からWebフィルタリングまで、ひとつの製品で実現

多層の制御構造で標的型攻撃をブロック

「i-FILTER」Ver.10では、「m-FILTER」Ver.5と連携することで偽装メールDBを「i-FILTER」内部に持ちます。これに加え、未登録のURLをアクセスブロックする優先フィルターで、Webとメールによる標的型攻撃を完全に阻止します。さらに、有償オプションの「Global Database」や「i-FILTER」のフィルタリングDBによってアクセスを制御することで、外部攻撃対策と内部漏洩対策を一気通貫で実現します。

i-FILTER AV Adapter

インターネットの文化・流行を考慮し、最適化されたカテゴリ

カテゴリ数、登録件数そして精度ともに業界最高水準の「i-FILTER」のWebフィルタリングデータベース。世界各国の言語に対応し、携帯やスマートフォン専用サイト、さらに出口対策用データベースも網羅され、時代に合った適切なカテゴリに分類し提供しています。

組織や役職に合わせて柔軟にポリシー設定

部署や役職ごとに柔軟なポリシーを設定・適用することができ、組織のWebアクセス運用ルールに即したフィルタリングが可能です。

組織や役職に合わせて柔軟にポリシー設定

高精度な脅威情報DB

実際のインシデントとマルウェアの解析結果が反映された脅威情報DBを配信します。脅威サイトにアクセスがあった際には、即時で管理者にメール通知が届きます。DBの一部を下記の協業企業からもご提供いただいております。


株式会社ラック
株式会社ラック

セキュリティ監視センター「JSOC」の解析による、実際のインシデントから得られた脅威サイトのURL。

国立研究開発法人情報通信研究機構
国立研究開発法人情報通信研究機構

「NICTER」のハニーポットやWebクローラからマルウェアの検体を常時収集し、解析によって得られた悪性URL。

  • ※ 感染した端末内でマルウェア等が行う特徴的な通信における、通信先サイトを遮断対象とします。
  • ※ 全てのマルウェア等の挙動及び悪意ある行為の検知・遮断を保証するものではありません。

ユーザーのIT教育まで支援

特許取得済み ※

ユーザーが日々インターネットに初回アクセスする際に、ITリテラシーに関する選択問題を「Test Board」で表示し、正解しないとインターネットにアクセスできないよう制御します。

ITリテラシーに関する選択問題「Test Board」

レポーティング機能

Webサービスやインターネットの利用状況を可視化し、直観的に把握できます!!

全体のアクセス動向から個別ユーザーの動向、またはファイル添付などの特定活動を把握できるよう豊富なレポートおよびアクセスログ解析を備え、日々変化するWebの利用状況を的確にとらえてポリシー更新や従業員研修などの対策立案をサポートします。

また、汎用データベースを必要とせずに、グラフ化を含む多彩なレポートを形成できる従来からのレポート機能に加え、各レポートの対象からユーザー別、日別へ掘り下げていくことが簡単にできます。例えばカテゴリ別レポートからユーザーを特定、そのユーザーのWebアクセス全体の把握するまでわずか2クリックで実現します。これによって、リスクの高いWebサービスを利用しているユーザーや送信量の多いユーザーを確認できます。

さらに従来の「i-FILTER Log Search」を統合したことで各種条件指定によるアクセスログ検索が可能になり、情報漏洩リスクのあるWebサービス利用の発見から詳細把握まで一元的に実施できます。

  • ※「i-FILTER Reporter Ver.10」は「D-SPA Ver.4」に付属の無償ツールです。
  • ※Webサービス利用状況の可視化やカテゴリ別のレポート出力など、弊社がご提供するURLフィルタリング/Webサービス制御データベースを用いた分析には、有償オプション「i-FILTER for D-SPA Ver.4」が必要となります。

従来のレポート機能に加え
Webサービスの利用状況も
リスクレベル付きで表示

Webサービス利用の
詳細把握に欠かせない
ログ検索機能を統合

x
出力可能なレポート例
  1. ●グループ別レポート
  2. ●ユーザー別レポート
  3. ●日付別レポート
  4. ●時間別レポート
  5. ●ファイルタイプ別レポート
  6. ●フィルターアクション別レポート
  7. ●判定カテゴリ別レポート
  1. ●Webサービス別レポート
  2. ●アクセス先サイト別レポート
  3. ●検索単語レポート
  4. ●ウイルス検出レポート
  5. ●アップロードファイル名レポート
  6. ●ダウンロードファイル名レポート
など

レポーティング画面

部署別/グループ別の活用状況の “見える化” を実現するレポーティング機能の提供により、管理者は日常業務内で適切な制御ができます。

レポーティング画面
  • ※レポーティングを行うための「i-FILTER Reporter Ver.10」は内包済みで「D-SPA」管理GUIから操作できますが、無償ツールとしてもご提供いたしますので、Reporterサーバー別居構成も可能です。別居構成の際の「i-FILTER Reporter Ver.10」の動作環境は「仕様・スペック」をご確認ください。

「D-SPA」管理機能

業務に支障をきたさずに運用できます

「D-SPA」を2台ご準備いただくことで、1台にシステム上のトラブルが起きて稼働しなくなった場合でも、自動的にもう1台の「D-SPA」に切り替わり、業務に支障をきたさずに運用することが可能です。

Active - Standby構成

仮想IPを利用(Failover)

Active - Standby構成

Active - Active構成

ロードバランサーを利用

Active - Active構成

複数台構成で、ログの統合や設定同期が可能です

「D-SPA」 Ver.4には、通常のプロキシとして動作する「SPAモード」と、複数台の「D-SPA」のログ統合や設定同期を行う親機として機能する「MGRモード」の2つのモードがあります。1台でこの2つのモードを同時に処理することもできるため、少数台で効率的に冗長構成と、“マスター/スレーブ”構成を実現することができます。

なお、複数台の「D-SPA」のログの統合を行う場合には、親機として用いる「D-SPA」のHDD増設を推奨しています。

プロキシとして用いる機器の1台を「MGRモード」としても動作させ、親機として用いる場合

「SPAモード」や「MGRモード」を単体構成で動作させる際には、HDDの増設を推奨しています。

プロキシとして用いる機器の1台を「MGRモード」としても動作させ、親機として用いる場合

1台を「MGRモード」専用機(通常時)として、用いる場合

「MGRモード専用機」は「SPAモード機」のスタンバイとして利用することも可能
(ただし、ロードバランサー等の設定が必要となります)

1台を「MGRモード」専用機(通常時)として、用いる場合

複数台管理に管理サーバー専用機は不要

「D-SPA」Ver.2以前では、複数台管理用に「D-SPA Manager」というプロキシ機能を持たない専用アプライアンスが必要でしたが、「D-SPA」Ver.3以降ではそのような専用アプライアンスは不要です。

複数台の「D-SPA」のうち1台を「MGRモード」としていただければ、簡単に複数台「D-SPA」の統合管理を実現できます。

「D-SPA」機能資料

「D-SPA」Ver.4 / 「i-FILTER for D-SPA」Ver.4 (有償オプション製品) 比較表

有償オプション製品「i-FILTER for D-SPA」Ver.4をご利用いただくと、“Webサービス制御” や “スマートSSLデコード” “標的型攻撃対策機能” といった「i-FILTER」の最新機能を搭載することができます。

  D-SPA Ver.4 i-FILTER for D-SPA Ver.4
セキュリティ機能 Webフィルタリング ○
URLリストを用いたフィルタリング
◎
URLカテゴリ情報を用いたフィルタリング
Webサービス制御 ○
ホワイト運用 ○
URLリストを用いたホワイトリスト
◎
URLカテゴリ情報を用いたフィルタリング
脅威サイト情報を用いた出口対策 ○
プロキシ
関連機能
プロキシ/キャッシュ機能 ○ ○
Webアクセスログの収集 ○ ○
SSL通信のデコード(解読) ○ ◎
さらに効率的なスマートSSLデコード
SSLデコード除外ホストのDB配信 ○
認証関連機能 ○ ○
ログ分析&レポート出力 ○ ◎
URLカテゴリ情報を用いた分析も可能
その他
機能
ネットワーク拡張設定 ○ ○
グループ・ユーザー管理 ○ ○
システム管理、ユーザー補助 ○ ○
その他
オプション
AV Adapter for D-SPA ○ ○
APT Protection for D-SPA ○ ○
SSL APT Adapter for D-SPA ○ ○
Global Database for D-SPA ○
i-FILTER for D-SPA オプションが必要
Info Board for D-SPA ○
i-FILTER for D-SPA オプションが必要
Anti-Virus & Sandbox for D-SPA ○
i-FILTER for D-SPA オプションが必要
イベント・セミナー情報