BLOG

URLフィルタリングソフトで国内No1の デジタルアーツ社製i-FILTERがF5 SSL Orchestratorと連携可能に!

Published September 04, 2020
IN-LINE / ICAPどちらでもF5 SSL Orchestratorとの連携でSSL通信の可視化を実現

【こんな方へおすすめの記事です】
・企業の情報システム部門 インフラやセキュリティ担当者
・デジタルアーツ社製 i-FILTERをご利用のユーザや販売パートナー
・増加するSSL通信により、どのような脅威があるか可視化したい方

○国内トップシェアの純国産フィルタリングベンダーといえば?

日本国内で最も販売されているURLフィルタリングソフトを開発、販売しているベンダーといえばデジタルアーツ社が有名ですね。「i-FILTER」は企業だけでなく公共(官庁・自治体)や学校・教育関係で多くの導入実績があり、一般家庭向けには「i-フィルター」がスマートフォンや家庭用PCで幅広く利用されているのでご存知の方も多いのではないでしょうか。

デジタルアーツは25年以上の歴史があり、純国産ベンダーとして日本のインターネット文化に根差した製品開発を行っています。高い技術力とサポート力があり、インターネットの脅威に対する独自の知見を持った専任チームが日々フィルタリング精度の向上に努めています。その成果がi-FILTERを国内トップシェアのソリューションに導いたのだと思います。

今回のブログではデジタルアーツのi-FILTERとF5のSSL Orchestratorとの連携についてとりあげます。いったいどのような連携なのでしょう。

 

○見えない敵からの攻撃を守れていますか?

サイバー攻撃の手法が多様化、巧妙化する中で、i-FILTERはインターネット通信の中味を見て、ユーザが外部の不正なサイトへアクセスすることをブロックしたり、情報が洩れることを防いでくれたりします。

しかし、、、

最近のインターネット通信のほとんどはSSL/TLSで暗号化されています。この常時SSL化は通信の信頼性、安全性を高める一方で、そのままだとこれまで組織がセキュリティ対策のために導入してきたセキュリティ製品の機能を封じ込めることになってしまいます。i-FILTERといえども同じです。

悪意ある攻撃者が不正なペイロードを隠すために暗号化を使用することはよくあることです。SSL化された通信まできちんと可視化し、その内容を監視、検査しなければ、悪意あるマルウェアの侵入を許し、外部への不正な通信や情報漏洩を見逃しかねません。

見えない敵からの攻撃を防ぐには まずなによりもSSL通信を可視化すること。このことが今、最も重要です。そしてi-FILTERをはじめとするセキュリティ製品によって、インターネット通信の細かなアクセス制御を行うことが必要です。

 

○ i-FILTER®がF5のF5 SSL Orchestratorと連携可能に!

SSL通信の復号/再暗号・可視化を前提としたセキュリティ製品の運用が必須となっています。F5は従来からSSL Orchestrator(SSLO)を用いたSSL/TLSトラフィックの強力な復号・暗号化を提供してきました。

そして、、

デジタルアーツが2020年8月20日にリリースした「i-FILTER」Ver.10.41R01より、F5 SSL OrchestratorとIN-LINE / ICAP構成どちらでも連携できることを実現いたしました。

SSL/TLSの処理が得意なSSLOと日本のお客様に最適なURL Filteringを提供するi-FILTERとの連携は、日本企業のインターネットアクセスに最適な環境を提供します。

 

○ SSL Orchestratorとi-FILTER連携の流れ

i-FILTERとF5 SSL Orchestratorの連携の概要は以下となります。

 

①クライアントがパソコン(AD)にログオンします。

②SSLOでユーザ認証を実施し(NTLM認証、Kerberos認証の場合は自動的に認証が実施されます。)、SSL通信を復号します。

③WEB接続先情報とSSLOで認証が成功したユーザ情報をi-FILTERに送ります。

④ユーザ情報を元にWEBフィルタリングルールを適用し、接続が許可されていないWEBサイトの場合は、ブロック画面をクライアントに表示します。

⑤許可された通信に関しては、SSL通信を再暗号化し、WEBサーバへ接続します。

 

 

○F5 SSL Orchestratorの特長について

F5のSSL Orchestratorには、以下のようなF5独自の特長を持つ製品となっております。

・ポリシーベースのサービスチェーンにより、ユーザに応じたSSL可視化ルールが設定可能

・セキュリティ可視化ゾーンにおいて連携可能なサービスの種類が豊富
(HTTP Proxy, Inline L2/3, ICAP, TAP)

・セキュリティ可視化ゾーンのデバイスのロードバランシングが可能

・SSL復号のバイパスルールの設定が可能

・ヘッダーコントロール、ポート変換が可能

・堅牢な暗号スィートやTLSプロトコルをサポート

・SSLの暗号化/復号はハードウェアチップで処理(iSeries, Viprion)

・SSL可視化状況をダッシュボードで確認可能(下図)

 

○F5 SSL Orchestrator とi-Filter連携における動作要件

動作要件
i-FILTER Ver.10.41R01以降
F5 SSL Orchestrator TMOS v14.1以降

 

○製品情報、お問い合わせについて

・i-FILTERとF5 SSL Orchestratorの連携に関する技術資料について
https://f5j-sslo-ifilter.readthedocs.io/ja/latest/

・SSLOについてより詳しく知りたい方は下記のサイトにてご覧ください。
https://www.f5.com/ja_jp/products/security/ssl-orchestrator

・こちらのブログに関してのお問い合わせは下記までお願いします。
https://interact.f5.com/ContactFormJP.html

デジタルアーツ、DIGITAL ARTS、i-FILTER、i-フィルターおよび各種ロゴ・アイコンはデジタルアーツ株式会社の商標または登録商標です。