Content-ID
企業内のネットワークには検知を回避しようとする外部のアプリケーションがはびこっています。そのようなアプリケーションのよくある手法は、ダイナミックにポート番号を変えたり、その他のポート番号を使ったり、他のアプリケーションの真似をしたり、SSLでトンネリングしたり、などです。
これらの外部のアプリケーションはそれを悪用しようとする人間から利用され、見えないように偽装することによってファイアウォールを通過する事例が増えています。Content-IDは、脅威のシグネチャーフォーマットとストリームベースのスキャンニング、包括的なURLデータベースを融合させることによってアプリケーションの可視化を実現し、幅広い脅威の検知とブロックを可能にしました。これによって業務に関連の無いWebサイトの閲覧や許可されていないファイルやデータ転送を制限することができます。
- ストリームベースのウィルス除去:ウィルスとスパイウェアからの防御は、全てのファイルがメモリーに読み込まれるのを待ってスキャンを始める従来のファイルベースのスキャニング方法とは違い、最初のパケットが到達した瞬間からスキャンを始めるストリームベースのスキャンニングによって実現しています。ファイルがどこに向かっているかにかかわらず、受信し、スキャンを行ない、送信するという方法によって遅延やパフォーマンスの問題が最小化されます。主な特長は以下の通りです。
- 一般的なウィルス、HTMLコードやJavascriptなどによるウィルス、スパイウェアのダウンロード、トロイの木馬などから防御を行います。
- Webコンテンツや圧縮されたファイルに含まれるマルウェアの検知と防御を行ないます。
- App-IDが実現するSSL復号化機能によるSSLトラフィックからのウィルスからの防御を行ないます。
- 脆弱性への攻撃からの防御(IPS):アプリケーションからの脆弱性からの防御は、いくつかの侵入防止機能を組み合わせて実現しています。これらの機能によって、未知のネットワークからのアプリケーションレイヤーにおける脆弱性の悪用、バッファーオーバーフロー、DoS攻撃、ポートスキャンなどによって企業内の情報システムに対しての攻撃を防御します。IPS(Intlusion Protection System)のメカニズムは以下の通りです。
- プロトコルの復号と異常の検知
- ステートフルパターンマッチング
- ヒューリスティックベースアナリシス
- 不正もしくは異常なパケットのブロック
- IPアドレスのデフラグメンテーションとTCPの再構成
- 脆弱性とスパイウェアPhone Homeのシグネチャーの振り分け
- URLフィルタリング: 脅威に対する防御とアプリケーションのコントロールのためにデバイスに装備されたURLフィルタリングデータベースは76カテゴリに渡る2千万件のURLデータベースを保持しています。これにより情報システム部門は企業内の従業員が行うWebブラウジング活動に監視と制御を行うことが可能になります。これらのローカルURLデータベースにカテゴライズされないURLはインターネット上のサーバーに問い合わせされ、1億8千万件のホストデータベースから引き出され、ローカルにキャッシュとして保存されます。データベースのカスタマイズに加えて管理者は個別のニーズや用途に合わせてURLカテゴリを作成することも可能です。URLフィルタリングによる可視化とポリシーによるコントロールは、カスタマイズ可能なレポーティングとロギング機能によって状況の把握を確実にし、エンタープライズディレクトリサービス(Active Directory、LDAP、eDirectory)と透過的に統合することによって強化されます。
- 情報漏洩防止: 管理者は許可されていないファイルやデータ転送からのリスクを抑えるために様々な種類の情報漏洩防止のポリシーを利用することができます。ファイル転送の制御は、ファイルの拡張子を検知するだけではなくファイルの内容を深く検査することによって行われ、ポリシーに準拠して可否が判断されます。クレジットカード番号やソーシャルセキュリティナンバー(社会保障番号)などの機密性の高い情報はアプリケーションへのデータ転送のパターンを検知することによって漏洩を防止することが可能です。
Content-IDはトラフィックを妨害することなく脅威に対して高い防御性能を発揮するパロアルトネットワークスのSP3アーキテクチャを最大限に活用しています。