Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

コンテンツセキュリティの概要

コンテンツセキュリティとは、複数のセキュリティ機能を1台のデバイスに統合して、複数の脅威タイプから保護することを表す用語です。コンテンツセキュリティの利点は、複数のセキュリティ機能のインストールと管理が合理化されることです。

コンテンツセキュリティソリューションの一部として、以下のセキュリティ機能が提供されます。

  • アンチスパム—この機能は、送信されたメッセージを調べて電子メールスパムを識別します。電子メール スパムは、通常、商業的、悪意のある、または詐欺的なエンティティによって送信される不要なメッセージで構成されています。デバイスがスパムと見なされる電子メール メッセージを検出すると、そのメッセージをドロップするか、メッセージ ヘッダーまたは件名フィールドに事前にプログラムされた文字列のタグを付けます。スパム対策機能は、常に更新される Spamhaus ブロック リスト(SBL)を使用します。ソフォスは、IP ベースの SBL をアップデートおよび保守します。

  • フルファイルベースのアンチウィルス - ウイルスとは、他の実行可能コードに感染または付着して自己複製する実行可能コードのことです。一部の悪意のあるウイルスは、ファイルを消去したり、システムをロックしたりします。他のウイルスは、ファイルに感染し、偽のデータでターゲットホストまたはネットワークを圧倒するだけです。完全なファイルベースのアンチウィルス機能では、特定の アプリケーション層 のトラフィックに対してファイルベースのスキャンを行い、ウイルスシグネチャデータベースと照合してウイルスをチェックします。アンチウィルス機能は、電子メールの添付ファイルなど、元のアプリケーションコンテンツを再構築するまで、受信したデータパケットを収集し、このコンテンツをスキャンします。カスペルスキーは、内部スキャンエンジンを提供しています。

  • 高速アンチウィルス:高速アンチウィルス スキャンは、完全なファイルベースのアンチウィルス機能に代わる、CPU への負荷の少ないものとして提供されます。高速アンチウイルス機能は、ウイルス シグネチャ データベースに対して特定のアプリケーション層トラフィックのウイルスをスキャンするという点で、アンチウイルス機能と似ています。ただし、完全なウイルス対策とは異なり、エクスプレス アンチウイルスは元のアプリケーション コンテンツを再構築しません。むしろ、受信したデータパケットをそのままスキャンエンジンに送信(ストリーミング)するだけです。エクスプレスアンチウィルスでは、ハードウェアパターンマッチングエンジンによってウイルススキャンが実行されます。これにより、スキャン中のパフォーマンスは向上しますが、提供されるセキュリティのレベルは低下します。ジュニパーネットワークスがスキャンエンジンを提供します。

  • コンテンツフィルタリング:コンテンツフィルタリングは、MIME タイプ、ファイル拡張子、プロトコルコマンド、埋め込みオブジェクトタイプに基づいて、特定のタイプのトラフィックをブロックまたは許可します。

  • Webフィルタリング - Webフィルタリングを使用すると、不適切なWebコンテンツへのアクセスを防止して、インターネットの使用状況を管理できます。次の種類の Webフィルタリング ソリューションを使用できます。

    • 統合型 Webフィルタリング - ユーザーが定義したカテゴリまたはカテゴリ サーバ(Websense は SurfControl Content Portal Authority(CPA)サーバを提供します)から URL のカテゴリをデバイスが識別した後に、Web アクセスをブロックまたは許可します。

    • リダイレクトWebフィルタリング—HTTPリクエストを傍受し、サーバーURLを外部URLフィルタリングサーバーに転送して、リクエストされたWebアクセスをブロックするか許可するかを決定します。Websense は、URL フィルタリング サーバーを提供します。

    • ジュニパーローカルWebフィルタリング—デバイスに保存されているユーザー定義カテゴリからURLのカテゴリをデバイスが識別した後に、Webアクセスをブロックまたは許可します。

コンテンツセキュリティライセンス

すべてのコンテンツセキュリティコンポーネントにはライセンスが必要ですが、カスタムURLによるコンテンツフィルタリングは例外です。これは、ジュニパーネットワークスが、常に更新されるサードパーティの技術を活用して、最新の検査機能を提供しているためです。ライセンスは、個別に購入することも、 AppSecure やIPSなどの他の機能とセットになったライセンスとして購入することもできます。ライセンスは期間ベースです。

コンテンツセキュリティコンポーネント

コンテンツセキュリティコンポーネントには、カスタムオブジェクト、機能プロファイル、SRXシリーズデバイスで設定可能なコンテンツセキュリティポリシーが含まれます。大まかに言うと、機能プロファイルは、機能をどのように構成し、コンテンツセキュリティポリシーに適用するかを指定し、次にファイアウォールポリシーに適用されます(図1参照)。

図1:コンテンツセキュリティコンポーネント Flow diagram showing network security process: Custom Objects, Feature Profiles, UTM Policy, Firewall Policy interconnected. Identifier 8043312.

コンテンツ セキュリティ プロファイルには、独自の 7 タプル ルールベースはありません。ある意味では、ルールオプションは、ファイアウォールルールからルールを継承します。コンテンツセキュリティ機能の強みはURLフィルタリングにあり、ユーザーやユーザーグループごとに個別の設定を行うことができます。

  • カスタムオブジェクト:SRXシリーズファイアウォールは、一般的なユースケースに対応できる事前定義された機能プロファイルをサポートしていますが、URLフィルタリング、アンチウィルスフィルタリング、コンテンツフィルタリングなど、独自のオブジェクトを定義する必要がある場合もあります。

  • 機能プロファイル - 機能プロファイルは、各プロファイルのコンポーネントがどのように機能するかを指定します。異なるコンテンツセキュリティポリシーを介してファイアウォールルールに適用できる複数の機能プロファイルを設定できます。

  • コンテンツセキュリティポリシー—コンテンツセキュリティポリシーは、個々の機能プロファイルの論理コンテナとして機能します。コンテンツセキュリティプロファイルは、ファイアウォールポリシーのルールの分類に基づいて、特定のトラフィックフローに適用されます。これにより、ルールオプションは、ファイアウォールルールごとに個別のコンテンツセキュリティポリシーを定義して、ルールオプションごとの適用を区別することができます。基本的に、ファイアウォールルールベースが一致条件として機能し、コンテンツセキュリティポリシーが適用されるアクションです。

  • ファイアウォール ポリシー—コンテンツ セキュリティ ポリシーの機能プロファイルを事前に定義し、ファイアウォール ルールに適用することができます。これにより、両方ではなく、1つのコンテンツセキュリティ技術(ウイルス対策やURLフィルタリングなど)に事前に定義されたコンテンツセキュリティポリシーを使用できるという利点があります。

関連資料