Webフィルタやマルウェア検査も統合した
進化を遂げたForefront TMGの全容(後編)
エディフィストラーニング株式会社
高橋桂子
2011/3/30
トラフィックを確実にチェックするHTTPS検査
ユーザーがインターネットのSSLサイトに接続している場合、トラフィックはHTTPSで暗号化されているため、間に介在するファイアウォールでは、一般的に、これを検査することができません。しかし、実際のWebトラフィックの10%〜15%はHTTPSトラフィックであり、これを何も検査せずに通過させてしまうと、大きなセキュリティリスクにつながります。
Forefront TMGのHTTPS検査は、ユーザーがインターネットのSSLサイトに接続している場合であっても、Forefront TMGでHTTPS暗号化を復号し、通常のHTTPトラフィックと同じように、アプリケーションレベルの検査やマルウェア検査が実現できる機能です。
HTTPS検査は、Forefront TMGと外部Webサーバ、Forefront TMGとクライアントとの間で、異なる2つのHTTPSセッションを確立することで実現します。Forefront TMGは、SSLサイトに対してクライアントとして接続し、クライアントに対してはSSLサイトとして接続します。HTTPS検査の動作のポイントは、Forefront TMGがSSLサイトから送信されたサイト証明書を検証した後でその中身をコピーし、新しく自分の公開キーを付け加え、これをHTTPS検査の証明書で署名し、クライアントに送信するという点です(図12)。
 |
| 図12 Forefront TMGのHTTPS検査機能 |
HTTPS検査の証明書とは、HTTPS検査をする際にクライアントに新しいサイト証明書を発行するのに使用される証明書です。Forefront TMGをインストールする際に自動生成することもできますし、ローカル証明機関(CA)から発行することも可能です。Forefront TMGによる生成では、自己署名型証明書としてHTTPS検査の証明書が発行されます。
自己署名型証明書の場合、クライアントの信頼された証明機関ストアにこの証明書をインポートしないと正常に利用できませんが、Forefront TMGがActive Directoryドメインに参加している場合、Active Directoryの構成パーティションを通じて、自動的に各コンピュータの信頼されたルート証明機関ストアに展開できます(図13)。
 |
| 図13 HTTPS検査の証明書の設定(クリックすると拡大します) |
HTTPS検査では、本来ユーザーとSSLサイト間で行われる暗号化通信を復号して検査します。通信社内ポリシーなどで、暗号化セッションをモニタする場合には、利用者にその旨を通知する必要がある、あるいはプライバシー保護の観点から個人の金融情報や健康に関する情報の暗号化セッションのモニタを禁止しているといった場合には、HTTPS検査で通知を構成したり、除外サイトを設定できます(図14)。
 |
| 図14 HTTPS検査から除外するあて先サイトの指定(クリックすると拡大します) |
グラフィカルなレポート生成機能も
この連載では、ログによる監視だけを取り上げましたが、Forefront TMGは、ログを基にレポートを生成できます(図15)。レポートは見やすいグラフィカル表示で、指定した、ある一定期間のログを解析した結果を表示します。ログには次のようなものが用意されています。
サマリー、Webの使用、アプリケーションの使用、トラフィックの使用状況、セキュリティ、マルウェア防御、URLフィルター、ネットワーク検査 |
 |
| 図15 Forefront TMGではさまざまな形でログ解析が可能だ(クリックすると拡大します) |
通常の運用では、レポートを定期的に生成し、確認して全般的な傾向を監視し、問題となるような事象があれば、ログのフィルタ機能を使用して詳細を確認するという流れになります。
◆
この記事では、Forefront TMGのNISとWebアクセス保護という2つの機能を取り上げました。
一般的にこれらの機能は、それぞれ異なるシステムやハードウェアアプライアンスを導入しなければ実現が困難です。しかしForefront TMGは、これらの機能をオールインワンで実装しており、1台ですべての機能を実現できます。
パフォーマンスも気になるところでしょうが、マイクロソフトのテストによれば、「Intel Xeon Core i7プロセッサ(333MHz)2基(各8コア)と12GBのRAMを搭載したコンピュータで、最大1万2169同時ユーザー、最大487Mbpsの帯域をサポートできる」となっています。ハードウェア要件とサポートできるユーザー数、機能については、Microsoft TechNetの「Forefront TMG 2010のハードウェア推奨事項」に詳細が記されています。
このようにForefront TMGは、まさに統合脅威管理ゲートウェイの名にふさわしい製品といえるでしょう。
| Profile |
| 高橋桂子 エディフィストラーニング株式会社 ラーニングソリューション部 前職では、外資系ソフトウェアメーカーでNOS製品のトレーニングコース開発、資格制度の設立、運営に携わる。1997年、NRIラーニングネットワーク(株)(現エディフィストラーニング(株))に入社。Microsoft認定トレーナーとして、ActiveDirectory、セキュリティ、Forefront、Exchangeなどのインフラ系コースの開発、実施を担当。 Forefront TMGについては、前バージョンのISA Serverからテクニカルドキュメントや教育コースを開発、Tech・EDなど各種カンファレンスでのスピーカーを務める。著作に「Windows Server 2008 サーバ構築ガイド」(CQ出版社)がある。 2005年4月より5年間、Microsoft社より、MVP Windows Server System - Forefrontr認定を受ける。 |
 |
3/3 |
| Index | |
| 劇的に進化したForefront TMGの全容(後編) | |
| Page1 不要なサイト、危険なサイトへのアクセスを遮断するURLフィルター |
|
| Page2 ゲートウェイでウイルスを検出するマルウェア検査 |
|
 |
Page3 トラフィックを確実にチェックするHTTPS検査 グラフィカルなレポート生成機能も |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
