Digital Arts News Watch
2015/03/11
i-FILTER
「i-FILTER」の導入前に考えておきたいこと<HTTPS(SSL)編>
前回は、『「i-FILTER」の導入前に考えておきたいこと<時間割編>』をご案内させていただきました。 おさらいをすると、グループごとの、フィルタールールを時間、曜日、祝日も考慮して柔軟に設計することができるという内容でした。
今回は、安全な情報通信のためにほとんどのWebサービスで利用されている、HTTPS(SSL)通信における「i-FILTER」の動作をご紹介いたします。『常時SSL化でも「Let It Go~ありのままで~」』でご紹介しているSSL化時代の内容を、少しだけ掘り下げた内容となっています。
昨今は、検索サイトでの検索キーワードも暗号化されるなど、急速にWebサイトやWebサービスのSSL化が進行しています。しかし、暗号化されたHTTPS(SSL)通信は、企業の管理者にとっては従業員が不正な書き込みや、企業の重要なファイルをオンラインストレージにアップロードされても検知できなくなるなど、情報漏洩の抜け道として悪用される危険もあるため、Webサービスの制御にはHTTPS(SSL)通信の解読(デコード)が必要となります。
はじめに、SNSやWebメール等でHTTPS(SSL)通信が発生した場合の「i-FILTER」の通信イメージを見てみましょう。
下記は、“アクセス先”のSNSやWebメールにブラウザーで接続した際の通信イメージです。
通常のプロキシ経由通信では、クライアントからのconnectメソッドにより、暗号化された内容や“/sns/”などのパス部分を識別することはできません。そのため、ホスト名:「www.example.com」ではカテゴリが判定できず、「i-FILTER」でブロックすることができません。
| アクセス先 | カテゴリ | 管理者の意向 | |
|---|---|---|---|
| 例1 | https://www.example.com/sns/ | SNS | 閲覧禁止(ブロック) |
| 例2 | https://www.example.com/webmail/ | Webメール | 閲覧禁止(ブロック) |
| 通常のプロキシ経由の通信(イメージ) | 「SSL Adapter」ありの場合(イメージ) | |
|---|---|---|
| 例1 | CONNECT www.example.com:443 HTTP/1.1 ... (以降、暗号化通信) |
GET https://www.example.com/sns/ HTTP/1.1 ... |
| 例2 | CONNECT www.example.com:443 HTTP/1.1 ... (以降、暗号化通信) |
GET https://www.example.com/webmail/ HTTP/1.1 ... |
しかしながら、「i-FILTER」Ver.9で標準搭載された「SSL Adapter」では、暗号化されたHTTPS(SSL)通信を解読(デコード)して、Webサービスを制御することが可能です。「SSL Adapter」により、上記の例のとおり“アクセス先”のパス部分まで識別可能となり、「www.example.com」だけでは判別できなかったカテゴリを判別でき、ブロックのアクションを実現します。
また、解読は高負荷な処理となりますが、「i-FILTER」では制御が必要とされるWebサービスだけを解読対象にできるため、通信処理の負荷を抑え、従業員のプライバシーへの配慮も実現します。(スマートSSLデコード)
このように、常時SSL化時代にも対応した「i-FILTER」Ver.9ですが、HTTPS(SSL)通信の解読(デコード)には注意点があります。
ユーザーがHTTPSサイトを閲覧すると、以下のようなWebブラウザーによる警告画面が表示されます。
これは、本来の接続先サイトのホスト名と、「i-FILTER」のサーバー証明書に記されたホスト名が異なるために表示されます。ユーザーは「このサイトの閲覧を続行する」をクリックすれば、Webサイトを閲覧することができますが、「SSL代理証明書発行機能」をご利用いただくことで、警告画面を表示させないようにすることも可能です。
「SSL代理証明書発行機能」につきましては、以下を是非ご参照ください。
●「「i-FILTER」トラブルシューティングガイド | SSL代理証明書とは何ですか
https://www.daj.jp/bs/support/tsg/i-filter/020402/
●「i-FILTER」トラブルシューティングガイド | HTTPSサイトでのSSL関連機能/動作
https://www.daj.jp/bs/support/tsg/i-filter/#a0204
<テクニカルサポートセンター:早川>
「i-FILTER」Ver.9の詳細は製品紹介ページをご確認ください。
最近の記事
- 2023/10/02「i-フィルター」年齢に合わせたフィルタリング設定のご案内
- 2021/03/18大手3社のオンライン専用プランで、フィルタリングはどうなる?
- 2021/02/16i-フィルター担当者によるスマホ利用の「家庭ルール」ご紹介