高度標的型攻撃対策に有効なWebフィルタリングソフト「i-FILTER」

Webプロキシ機能

IPAのガイドラインのプロキシ要件にも、もちろん全て対応

IPA監修の「『高度標的型攻撃』対策に向けたシステム設計ガイド」では、「基盤構築段階の対策・内部侵入/調査段階の対策」、「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」では、「出口対策」のガイドラインを策定していますが、プロキシの項目が多々含まれており、プロキシ認証が標的型攻撃対策に有効なことがわかります。

もちろん、「i-FILTER」では、これらの要件にすべて対応しています。

  対策内容 目的 対策詳細 対象機器
防御
遮断策
通信経路設計による
コネクトバック通信の遮断
プロキシサーバーに対応していない一定数のマルウェアのブロック
  • ブラウザーのプロキシ設定を有効にする
  • FWでユーザーセグメントから外部への通信遮断ルールを設計・設定
  • プロキシ
  • FW
アクセス制御による
コネクトバック通信の遮断
SSL通信でのCONNECT要求に対応していない一定数のマルウェアのブロック
  • プロキシサーバーに「CONNECT 443/TCP」以外の通信を遮断するACLを追加
  • プロキシ
認証機能による
コネクトバック通信の遮断
プロキシサーバーの認証機能に対応していない一定数のマルウェアのブロック
  • プロキシサーバーの認証機能を有効にする
  • ブラウザーのオートコンプリート機能を禁止
  • プロキシ
監視
強化策
認証ログの監視と分析 プロキシサーバーの認証ログによりマルウェアや攻撃者の追跡性を高めること
  • プロキシサーバーの認証機能を有効にする
  • プロキシサーバーの認証ログからの 追跡調査
  • プロキシ
通信強制遮断による
コネクトバック通信の発見
自動的に外部のC&Cサーバーに接続を試みるコネクトバック通信を検知・発見
  • 計画された外部通信の遮断
  • 通信ログの分析
  • プロキシ
出口
対策
通信経路設計による
バックドア通信の遮断
プロキシサーバーに対応していないバックドア通信のブロック
  • FWの外向き通信遮断ルール(プロキシ経由に特定)を設計
  • FWの遮断ログの監視
  • プロキシ
  • FW
RATの内部プロキシ通信
の検知遮断
RAT通信の特徴を基にマルウェアの検知遮断
  • プロキシ通信を特定のポート番号に限定し、ivyのCONNECT要求通信を遮断
  • プロキシのログ分析でivyのCONNECT通信を監視
  • プロキシ
  • 出典:IPA 『高度標的型攻撃』対策に向けたシステム設計ガイド
    IPA 「新しいタイプの攻撃」の対策に向けた設計・運用ガイド

圧倒的な高速処理

ほとんどのWebサービスは、HTTPS(SSL)が利用されているため、Webサービスの制御にはSSL通信のデコードが必要となります。SSL通信のデコード処理は負荷が高く、全てのSSL通信をデコードしてしまうと大幅に速度が低下します。

「i-FILTER」は、高負荷なSSL通信のデコード処理も、Webサービスに対象を限定し大幅に効率化しました。さらに処理自体も新しいCPU に対応したアクセラレーションによって、従来比で約1/10の負荷軽減が実現しました。

圧倒的な高速処理

他に勝る最大同時接続数

最大同時接続数40,000を実現し、旧バージョンでのサーバー2台分の処理が1台で可能になりました。

他に勝る最大同時接続数

ネットワーク負荷の高効率化を実現するWebキャッシュ

独自開発の共有キャッシュ機能「SP-Cache」を搭載しており、各端末が要求するコンテンツのサイズに応じて、メモリキャッシュとディスクキャッシュを使い分けます。さらに複数台間でキャッシュ情報を共有し、重複キャッシュを削減することでネットワーク負荷を極力軽減し、ディスク領域を有効活用します。

また、動画コンテンツ(WMV、MOV、MP4、Flash等)のプログレッシブダウンロードが可能ため動画コンテンツ向けのキャッシュサーバーとしても有効です。

キャッシュ利用については、ホスト単位やグループ単位のルール設定を柔軟に行えるため、日々変化するWebサイトにも対応しています。

ネットワーク負荷の高効率化を実現するWebキャッシュ

使用中スレッド数のグラフ表示

クラウドサービスの業務活用が進み、1ユーザーあたりの利用セッションが増加傾向にあります。セッション数の枯渇監視・動向把握を可能にし、そのような状況に適切に対応できるようにするため、「i-FILTER」管理画面のトップに使用中のスレッド数をグラフでわかりやすく表示します。

使用中スレッド数のグラフ表示

SIEMとの連携にも対応

ネットワーク内には、様々なシステムがあり、管理者が標的型攻撃対策を受けていないか調査するためには、1つずつシステムのログを確認し、怪しい挙動となる相関関係があるイベントがないかを解析するのはとても手間がかかります。
その手助けをしてくれるのがSIEM(Security Information and Event Management)製品です。

SIEMは、リアルタイムに様々なシステムのログを収集し、相関分析を行い異常を検知した際はアラート発信し、レポートとして可視化も行ってくれるため、管理者の手間は格段に減ります。

SIEMとの連携にも対応

標的型攻撃を受けていないかの調査をする際にまず初めに調べるのは、一般的にプロキシのログです。
そのため、プロキシの重要性が再認識され、SIEM製品と「i-FILTER」の連携ニーズが高まっているため、SIEM製品との連携を可能にしました。

SIEM製品との連携によって「i-FILTER」単体製品ではモニタリングできなかった、特定端末からの特定URLへの高頻度な異常アクセスの検知などを実現します。

検証済みのSIEM製品
製品名 動作確認
splunk 検証済み
設定方法については、弊社までお問合せください。
IBM QRadar 検証済み
設定方法については、弊社までお問合せください。
その他のSIEM製品 順次検証
ご利用中のSIEMで対応可能かについては、弊社までお問合せください。
標的型攻撃に有効な「検知」を実現するSIEMの必要性を解説
資料のダウンロード(標的型攻撃対策に
SIEMが必要とされる理由)

強化されたユーザー認証機能

インターネット接続におけるユーザー認証は、 IPAが標的型攻撃によるコネクトバック通信への対策にも挙げています。一方、その「玄関口」に認証情報を置きたくない意向から、ネットワークの内側のセキュリティとして、プロキシの有用性が高まっています。

また、認証により得られたユーザー名・グループ名をグループ振り分けに使用できるほか、認証アカウントでのログ管理が可能となることで「誰が」行った行動なのかを把握することができます。

運用面ではLDAPサーバーを最大16台まで登録でき、万が一のLDAPサーバーの障害時にも即座の対応が可能です。

認証方式 解説
LDAP認証 LDAPを利用してユーザー認証を行います。
LDAP over TLS/SSL(LDAPS)及びLDAPバージョン2/3をサポート。
LDAP v3 Page Control機能により、ユーザー登録時に1000以上のObjectが表示可能です。
NTLM認証 NTLMを利用してユーザー認証を行います。
独自認証 独自でユーザー・パスワードをファイルで管理し、認証します。
SNOOP認証 HTTP の「Proxy-Authorization」ヘッダーからユーザー名・パスワードを取得してユーザー認証を行います。
Form認証 透過環境(OS側の機能との併用で実現)でも利用できるIPキャッシュ認証を行います。
CAPTCHA認証 ランダムに表示される文字列を入力させることで、マルウェアからの通信などユーザーが意図しないWebアクセスをブロック可能です。難読レベルは調整可能で、他の認証との併用も可能です。
SAML認証
※Ver.10.10から対応
異なるインターネットドメイン間でユーザー認証を行うための標準規格であるSAML認証に対応しています。Azure ADを利用したクラウドサービスへのシングルサインオンなどが利用可能です。
Kerberos認証
※Ver.10.40から対応
サーバとクライアント間の身元確認のために、発行されたチケットを認証に利用する方式です。
対応LDAPサーバー
対応LDAP規格 「LDAP v2」準拠
「LDAP v3」準拠
検証確認済み LDAPサーバー Microsoft Active Directory
・Windows Server 2019 Standard
・Windows Server 2016 Standard
・Windows Server 2012 R2 Standard
・Windows Server 2012 Standard
OpenLDAP

豊富な対応プロトコル

多様化する通信に対応するため、さまざまなプロトコルに対応しています。

対応プロトコル HTTP / HTTPS / FTP over HTTP / Gopher/ WebSocket
  • ※WebSocket通信に切り替える前のHTTP通信がフィルタリング対象です。
    WebSocket通信はフィルタリング対象外で、ログの出力はございません。
  • ※有害情報対策版/GIGAスクール版についてはWindows Agentをご利用時のみ対応可能になります。
  • ※ws://形式(HTTPベースのWebSocket接続用のURLスキーマ)の通信には非対応です。

多様なネットワーク環境にも容易に導入が可能

ソフトウェア提供なので、既存のネットワーク環境やシステムへの組み込みも容易。透過環境でのユーザー認証や、入出力のIPアドレスを制御することによる他機器との連携なども柔軟に対応。利用規模や負荷に応じてレポート機能の別導入も可能。

高速・安全なプロキシ機能を支える「i-FILTER」のテクノロジー

IPv6完全対応

IPv4/v6自動変換に対応し、「i-FILTER」に繋がる全ての通信(外部・内部・管理画面・設定同期の全通信)でIPv6が利用でき、よりセキュアな次世代通信環境に対応します。

IPv6完全対応

マルチプロセス対応

仮想化ソフトウェアを用いることなく、「i-FILTER」自体で、最大4つのプロセスを稼働することが可能です。プロセスダウンに備えた冗長化構成を実現します。

マルチプロセス対応

マルチコアCPUへの最適化

マルチコアCPUへの最適化対応により、最新CPUテクノロジーを搭載したサーバーのシステム能力を最大限に引き出し、有効活用することが可能。

マルチコアCPUへの最適化

64bitネイティブ対応

昨今のプラットフォームの主流である64bit OSにネイティブ対応することで、広大なメモリ空間のフル活用が可能。最大同時接続数が従来バージョンの800から40,000にまで拡大

接続処理待ちが激減するとともに、ストレスのないフィルタリング処理とWebアクセスを実現します。
※システム内の全プロセスの合計上限値

64bitネイティブ対応
ゼロ・トラスト・SASE・CARTAへのデジタルアーツ製品の対応について
イベント・セミナー情報