FortiGateのUTM機能についてご紹介します。
本記事ではどんな機能があるのか、各UTM機能の概要をご紹介します。
各UTM機能の詳細はそれぞれ別記事でご紹介します。
FortiGateのUTM機能
FortiGateには下記のUTM機能(セキュリティ機能)が備わっています。
- アンチウイルス
- Webフィルタ
- DNSフィルタ
- アプリケーションコントロール
- 侵入防止(IPS)
- アンチスパム
- SSL/SSHインスペクション
各種UTM機能を使用するにあたり、
ライセンスが必要となる機能がありますのでご注意ください。
ライセンスの詳細については公式のページ、もしくは代理店などにご確認ください。
UTMを有効にする方法
UTMはIPv4ポリシーもしくはプロキシポリシーで有効にします。
つまり、通信ごとにUTMを有効にするか無効にするかを選択することができます。
使用したいUTM機能の表示がないとき
使用したいUTM機能の表示がない時は、
で使用したいUTM機能にチェックが入っているかを確認してください。
使用したい機能にチェックを入れることで、表示や設定を行うことができるようになります。
UTM機能に限らず、使用したい機能がない場合はこのページを確認してみてください。
アンチウイルス
ファイルにウイルスが含まれているかどうか検査を行います。
アンチウィルスが動作する例として下記のような場合があります。
- Webサイトからファイルをダウンロードしたとき
- 添付ファイルのあるメールを受信したとき
- 添付ファイルのあるメールを送信したとき
- FTPでファイルを送受信したとき
ファイル内にウイルスを検知した場合は、
ダウンロードなどをブロックして警告画面の表示や、
メールの文面に警告文を表示したりします。
なお、アンチウイルスを使用するにはライセンスが必要となります。
サンドボックス
FortiGateにサンドボックスの機能はありませんが、
クラウド上にあるサンドボックス(FortiSandbox Cloud)、
もしくはFortiSandboxという製品にファイルを送るという機能があります。
サンドボックスとは砂場という意味で、
疑いのあるファイルをサンドボックスで実際に動作させてみて、
悪意のある動作をするかどうかの確認を行います。
悪意がある動作を確認した場合はブロックしますし、
悪意がなければダウンロードなどを許可します。
サンドボックスの利用に関してもライセンスが必要になりますが、
アンチウイルスのライセンスに包含されています。
Webフィルタ
Webフィルタはカテゴリ単位や特定URLを指定して、
識別や許可・拒否の制御を行うことができます。
ユースケースとしては下記が挙げられます。
- どのサイトへのアクセスが多いのか知りたい
- アダルト・ギャンブルのような業務に関係のないサイトをブロックしたい
- 社内のポータルサイトのみ閲覧させたい
Webフィルタでカテゴリで制御を行う場合はライセンスが必要となりますが、
URL指定で制御を行う場合はライセンス不要で使用することができます。
DNSフィルタ
DNSフィルタもカテゴリ単位や特定のドメインを指定して、
識別や許可・拒否の制御を行うことができます。
WebフィルタはあくまでHTTPやHTTPSの通信に限りますが、
DNSフィルタであれば、HTTP・HTTPS以外の通信でも、
名前解決を使用する通信であれば検査対象とすることができます。
DNSフィルタでカテゴリで制御を行う場合はライセンスが必要となりますが、
ドメイン指定で制御を行う場合はライセンス不要で使用することができます。
アプリケーションコントロール
アプリケーションコントロールは、
アプリケーション・サービスの識別や許可・拒否の制御を行います。
ユースケースとしては下記が挙げられます。
- どのアプリケーションの使用が多いのか知りたい
- P2Pなどの大容量通信が発生するサービスとブロックしたい
アプリケーションコントロールはライセンスなしで使用することができます。
侵入防止(IPS)
IPSとはIntrusion(侵入) Prevention(防止) Systemの略称です。
異常な通信や攻撃を検知して、その通信をブロックすることができます。
ユースケースとしては、
外部に公開しているWebサーバを攻撃から守るために使用します。
また、社内のPCがマルウェアなどに感染して、他のPCへ感染を拡大してしまうことや、
外部のC&Cサーバと通信することを防ぐ場合にも使用します。
侵入防止(IPS)を使用するにはライセンスが必要となります。
アンチスパム
アンチスパムでは下記の項目を検査します。
- 送信元IPアドレス
- 送信元のドメイン
- メールの文面に含まれるURLをチェック
- メールのチェックサム
ユースケースとしては、
近年増加している大手企業からのメールを偽ったメールや、
フィッシングサイトへのURLが含まれているメールなどを検知・削除することができます。
勘違いが多い点としては、
メールに添付されているファイルの検査はアンチウイルスで行います。
アンチスパムを使用するにはライセンスが必要となります。
SSL/SSHインスペクション
現在ではWebサイトを閲覧する際に、HTTPSを用いることが一般的です。
HTTPSですと通信の内容が暗号化されているため、そのままでは検査することができません。
HTTPSなどの暗号化されている状態でも検査できるようにする機能が、
SSL/SSHインスペクションとなります。
FortiGateには2種類のSSL/SSHインスペクションの方法があります。
- Certificateインスペクション
- Deepインスペクション
SSL/SSHインスペクションは暗号化されている通信を検査対象とすることができるだけで、
ブロックするなどの動作はこれまでにご紹介してきた他のUTM機能で行います。
SSL/SSHインスペクションはライセンスなしで使用することができます。
Certificateインスペクション
暗号化されている通信はそのままで、
暗号化に用いられる証明書のコモンネーム(CN)で検査を行います。
コモンネームとは、証明書のこちらの部分になります。
ご覧の通りFQDNでの表記となりますので、
WebフィルタやDNSフィルタでは効果が見込まれます。
また、アプリケーションコントロールでも、
一部のアプリケーション、サービスを識別、制御することが可能です。
一方で、通信は暗号化されている状態ですので、
ファイルの中身をきちんと検査する必要があるアンチウイルスなどには効果がありません。
Deepインスペクション
Deepインスペクションは暗号化されている通信をFortiGateで終端し復号し検査を行います。
Deepインスペクションであれば通信を復号化するので、
アンチウイルスでもきちんと検査することができます。
また、Webフィルタやアプリケーションコントロールでも、
詳細に検査することができるようになります。
例えば、CertificateインスペクションではMicrosoft365としか識別できなかったものが、
DeepインスペクションではWordやExcelまで識別できるようになります。
Deepインスペクションは注意が必要
これまでご紹介してきた通り、
Certificateインスペクションは証明書のコモンネームで検査を行う簡易的な検査となります。
一方で、Deepインスペクションは暗号されているものを復号して検査を行うので、
詳細な検査を行うことができます。
詳細な検査ができるのであれば、
Deepインスペクションの方がいいじゃないかと思うかもれませんが注意が必要となります。
大きくは2点です。
- 運用負荷が高まる
- 機器のスループットが低下する
これらはUTM機能全般に言えることではありますが、
特に顕著なのがDeepインスペクションを有効にした場合になります。
運用負荷が高まる
Deepインスペクションを使用する場合は、
クライアント(PCなど)で証明書をインポートすることが必要になりますので、
証明書の運用が必要となってきます。
ADサーバを使用して一括で配布・インポートするのか、
手順書などを用意して社員に手動でインポートしていくのかなど、
クライアントに証明書をどうインポートするのかというところ考慮すべき点です。
SSLインスペクション以外のUTM機能でも運用負荷が高まる理由としては、
例えば、Webフィルタを使用している場合、
お客様要望で許可したいカテゴリに変更があった場合など、
設定変更やチューニングが必要になることが挙げられます。
機器のスループットが低下する
Deepインスペクションを使用することで、大幅に機器のスループットが低下します。
やはり暗号化されているものを復号するということに処理能力が必要となってきます。
FortiGate60Eのデータシートを確認しますと、
ファイアウォールスループット:3Gbps
SSLインスペクションスループット(IPS、avg. HTTPS):135Mbps
との記載があります。
SSLインスペクションを有効にすることで、3Gbpsから135Mbpsまで低下しています。
これだけDeepインスペクションが処理能力に影響するものということです。
※データシート上ではSSLインスペクションとの記載しかありませんでしたが、
スループットの低下具合からDeepインスペクションを使用しているものと推測します。
他のUTM機能をすることで少なからずスループットは低下しますが、
Deepインスペクションほど大きく低下はしません。