第71章 ゲートウェイ アンチウィルス
サービスの管理
セキュリティ サービス > ゲートウェイ アンチウィルス
SonicWALL GAVは、SonicWALLセキュリティ装置上で直接動作しながらリアルタイムのウィルス対策を実現します。SonicWALLのIPS-Deep Packet Inspection v2.0エンジンを使用することにより、SonicWALLゲートウェイを通過するすべてのトラフィックが検査されます。パケットの再組み立てが不要なSonicWALLの手法をベースとしながら、一般的なTCPストリームや圧縮トラフィックのほか、さまざまなアプリケーション プロトコルを検査できます。パケットの再組み立てをSonicWALL GAVそのものが実行する必要はないため、スキャン エンジンによるファイル サイズの制限はありません。Base64デコード、ZIP、LHZ、GZIP (LZ77) の解凍も、単一パス、パケット単位の原則で実行されます。
SonicWALL GAVは、SonicWALLセキュリティ装置上で直接動作することによって脅威からの保護を実現します。ダウンロードされたファイルや電子メールで送信されたファイルはデータベースと照らしてチェックされます。データベースには有害なウィルスのシグネチャが多岐にわたって格納され、動的に更新されるため、 あらゆるウィルスをデスクトップに到達する前に検出、抑止できます。新しいシグネチャは、SonicWALLのSonicAlert Team、サードパーティ ウィルス解析者、オープンソース開発者、および他のソースの組み合わせにより作成され、データベースに追加されます。
SonicWALL GAVで防御できるのは、ネットワークの外部から侵入する脅威に限定されません。ネットワーク内部を起源とした脅威を抑止することもできます。SonicWALLゲートウェイ アンチウィルスは、SMTP、POP3、IMAP、HTTP、FTP、NetBIOS、インスタント メッセージングおよびピアツーピア アプリケーション、他の多数のストリームベース プロトコルなど、多様なプロトコル上で動作し、総合的なネットワーク脅威の防御および制御機能を管理者に提供します。悪質なコードやウィルスを含んだファイルが圧縮されていると、従来のソリューションでは対応できない可能性があるため、SonicWALL GAVには、パケット単位でファイルを自動的に解凍しスキャンする高度な解凍技術が統合されました。
SonicWALL GAVは、SonicWALLセキュリティ装置上で直接動作しながらリアルタイムのウィルス対策を実現します。SonicWALLのIPS-Deep Packet Inspection v2.0エンジンを使用することにより、SonicWALLゲートウェイを通過するすべてのトラフィックが検査されます。パケットの再組み立てが不要なSonicWALLの手法をベースとしながら、一般的なTCPストリームや圧縮トラフィックのほか、さまざまなアプリケーション プロトコルを検査できます。パケットの再組み立てをSonicWALL GAVそのものが実行する必要はないため、スキャン エンジンによるファイル サイズの制限はありません。Base64デコード、ZIP、LHZ、GZIP (LZ77) の解凍も、単一パス、パケット単位の原則で実行されます。
SonicWALL GAVは、SonicWALLセキュリティ装置上で直接動作することによって脅威からの保護を実現します。ダウンロードされたファイルや電子メールで送信されたファイルはデータベースと照らしてチェックされます。データベースには有害なウィルスのシグネチャが多岐にわたって格納され、動的に更新されるため、 あらゆるウィルスをデスクトップに到達する前に検出、抑止できます。新しいシグネチャは、SonicWALLのSonicAlert Team、サードパーティ ウィルス解析者、オープンソース開発者、および他のソースの組み合わせにより作成され、データベースに追加されます。
SonicWALL GAVで防御できるのは、ネットワークの外部から侵入する脅威に限定されません。ネットワーク内部を起源とした脅威を抑止することもできます。SonicWALLゲートウェイ アンチウィルスは、SMTP、POP3、IMAP、HTTP、FTP、NetBIOS、インスタント メッセージングおよびピアツーピア アプリケーション、他の多数のストリームベース プロトコルなど、多様なプロトコル上で動作し、総合的なネットワーク脅威の防御および制御機能を管理者に提供します。悪質なコードやウィルスを含んだファイルが圧縮されていると、従来のソリューションでは対応できない可能性があるため、SonicWALL GAVには、パケット単位でファイルを自動的に解凍しスキャンする高度な解凍技術が統合されました。
SonicWALL GAVの多層型アプローチ
SonicWALL GAVでは、多層型のネットワーク アンチウィルス保護が、デスクトップ、ネットワーク、リモート サイトなど、あらゆる場所に適用されます。アンチウィルス ポリシーをゲートウェイで執行することにより、すべてのユーザに最新のアップデートを確実に適用し、ネットワークに入ってくるファイルを監視します。
リモート サイトの保護
内部ネットワークの保護
HTTPファイルのダウンロード
サーバの保護
SonicWALL GAVの手法
SonicWALL GAVは、SonicWALLの高性能DPIv2.0エンジン (Deep Packet Inspection version 2.0) をベースとし、すべてのスキャンをSonicWALLセキュリティ装置上で直接実行します。SonicWALL GAVには、ファイルを自動的に解凍し、パケット単位でスキャンすることによって、ウィルスや破壊工作ソフトウェアを検出する高度な解凍技術が採用されています。SonicWALL GAVエンジンは、base64形式でエンコードされたメール ストリーム全体を再組み立てすることなく、base64のデコードを実行できます。パケットの再組み立てをSonicWALL GAVそのものが実行する必要はないため、スキャン エンジンによるファイル サイズの制限はありません。Base64デコード、ZIP、LHZ、GZIP (LZ77) の解凍も、単一パス、パケット単位の原則で実行されます。SonicWALL GAVエンジンが備える再組み立てが不要なウィルス スキャン機能は、ストリーム内のバイトを一切バッファリングすることなくストリームをスキャンすることのできる精密パケット検査エンジンから継承されたものです。
パケットの再組み立てが不要なSonicWALLの手法をベースとしながら、一般的なTCPストリームや圧縮トラフィックのほか、さまざまなアプリケーション プロトコルを検査できます。SonicWALL GAVのプロトコル検査の中枢を担っているのは、個々のサポート プロトコルに特化された高性能なステート マシンです。SMTP、POP3、IMAP、HTTP、FTP、NetBIOS、インスタント メッセージング、ピア ツー ピア アプリケーションから、ストリーム ベースのプロトコルまで、今日のネットワーク環境で広く用いられているほとんどのプロトコルに対応しています。これにより、ネットワークを脅かす目的に用いられる可能性のある裏口を閉鎖できると同時に、従業員の生産性向上およびインターネット帯域幅の確保も可能になります。
ヒント SonicWALLセキュリティ装置がインターネットに接続されていて、mysonicwall.comでの登録が完了している場合、SonicWALLゲートウェイ アンチウィルス、SonicWALLアンチウィルス、およびSonicWALL侵入防御サービス用の30日間の無料トライアルを有効化することができます。これらのトライアルは管理インターフェースの「セキュリティ サービス > ゲートウェイ アンチウィルス」ページ、「セキュリティ サービス > アンチスパイウェア」ページ、および「セキュリティ サービス > 侵入防御」ページから個別に有効化してください。
補足 SonicWALLゲートウェイ アンチウィルス、SonicWALLアンチスパイウェア、およびSonicWALL侵入防御サービスの管理者ガイドは、SonicWALLの「ドキュメント」ウェブ サイト 〈http://www.sonicwall.com/us/Support.html〉 で入手できます。
mysonicwall.comアカウントの作成
mysonicwall.comアカウントは、すばやく簡単に作成できます。しかも無料です。SonicWALLセキュリティ装置の管理インターフェースで、オンライン登録フォームを記入するだけで済みます。
補足 mySonicWALL.comアカウントが取得済みの場合は、「SonicWALLセキュリティ装置の登録」 を参照してください。
補足 mysonicwall.comアカウントにアクセスするためのユーザ名およびパスワードを覚えておいてください。
今度はmysonicwall.comにログインして、SonicWALLセキュリティ装置を登録する必要があります。
補足 mysonicwall.comの登録情報は、販売されたり、他の企業と共有されたりすることはありません。
SonicWALLセキュリティ装置の登録
・ ゲートウェイ アンチウィルス - ネットワーク全体をリアルタイムでウィルスから保護します。
・ クライアント アンチウィルス - 各コンピュータ上でソフトウェアを稼動してデスクトップおよびサーバに対するアンチウィルス保護を提供します。
・ プレミアム コンテンツのフィルタ サービス - 好ましくないウェブ コンテンツへのアクセスを制限することによって、生産性を高めます。
・ 侵入防御サービス - ワーム、トロイの木馬、およびアプリケーション層攻撃からネットワークを保護します。
・ アンチスパイウェア - スパイウェアのインストールをゲートウェイで阻止することにより、悪意のあるスパイウェアからネットワークを保護します。
補足 「次へ」ボタンを選択しても、SonicWALLセキュリティ サービスの無料トライアル バージョンは有効化されません。
ゲートウェイ アンチウィルス、アンチスパイウェア、およびIPSサービスのライセンスの有効化
SonicWALLアンチスパイウェアは、SonicWALLゲートウェイ アンチウィルス、アンチスパイウェア、および侵入防御サービスの一部です。受け取った有効化鍵はSonicWALLセキュリティ装置上で3つのサービスのいずれにも使用できます。
SonicWALLセキュリティ装置上でSonicWALLゲートウェイ アンチウィルス、アンチスパイウェア、および侵入防御サービスのライセンスが有効化されていない場合は、そのライセンスをSonicWALLの再販業者から、またはmysonicwall.comアカウント (アメリカ合衆国およびカナダのお客様に限定) を通して購入する必要があります。
SonicWALLゲートウェイ アンチウィルス、アンチスパイウェア、および侵入防御サービスの有効化鍵が取得済みの場合は、次の手順を実行します。
mysonicwall.comでSonicWALLゲートウェイ アンチウィルス、アンチスパイウェア、および侵入防御サービスの購読を有効化すると、その有効化はSonicWALLセキュリティ装置上で24時間以内に自動的に反映されます。また、「セキュリティ サービス > 状況」ページの「同期」ボタンを選択してSonicWALLセキュリティ装置を即時更新することもできます。
無料トライアルの有効化
SonicWALLゲートウェイ アンチウィルス、SonicWALLアンチスパイウェア、およびSonicWALL侵入防御サービスには、ユーザが試用できる無料トライアル バージョンが用意されています。「システム > ライセンス」ページの「サービスのオンライン管理」テーブルで各サービスを個別に有効化するか、各セキュリティ サービスのページ (たとえば、「セキュリティ サービス > ゲートウェイ アンチウィルス」) で「無料トライアル」リンクを選択する必要があります。
SonicWALLゲートウェイ アンチウィルス、SonicWALLアンチスパイウェア、およびSonicWALL侵入防御サービスの無料トライアルを試用するには、次の手順を実行します。
SonicWALLゲートウェイ アンチウィルス保護のセットアップ
SonicWALLセキュリティ装置でSonicWALLゲートウェイ アンチウィルスのライセンスを有効化しても、ネットワークが自動的に保護されるわけではありません。次の手順に従い、SonicWALLゲートウェイ アンチウィルスを設定して初めてネットワークが保護されます。
補足 SonicWALLゲートウェイ アンチウィルスの詳細なセットアップ手順については、SonicWALLの「ドキュメント」ウェブ サイト 〈http://www.sonicwall.com/us/Support.html〉 にある『SonicWALLゲートウェイ アンチウィルス管理者ガイド』を参照してください。
SonicWALL GAVの設定は、SonicWALLセキュリティ装置の「セキュリティ サービス > ゲートウェイ アンチウィルス」ページで行います。
SonicWALL GAVの有効化
SonicWALLセキュリティ装置上でSonicWALL GAVを有効にするには、「ゲートウェイ アンチウィルス グローバル設定」セクションで「ゲートウェイ アンチウィルス サービスを有効にする」チェック ボックスをオンにする必要があります。「ネットワーク > ゾーン」ページで、SonicWALL GAV保護を要するゾーンを指定します。
インターフェース上でのSonicWALL GAV保護の適用
「ネットワーク > ゾーン」ページで、SonicWALL GAVをゾーンに適用します。
ゾーンに対するSonicWALL GAV保護の適用
SonicWALL GAVは、各ネットワーク ゾーンとWANの間だけでなく、内部ゾーン間にも執行できます。たとえば、LANゾーン上のSonicWALL GAVを有効にすると、すべての送受信LANトラフィックに対してアンチウィルス保護を執行することができます。
を選択します。「ゾーンの編集」ウィンドウが表示されます。
補足 「ネットワーク > ゾーン」ページで作成した新規のゾーンに対しても、SonicWALL GAV保護を有効にすることができます。「追加」ボタンを選択すると、「ゾーンの編集」ウィンドウと同じ設定を含んだ、「ゾーンの追加」ウィンドウが表示されます。
SonicWALL GAVの状況情報の表示
「ゲートウェイ アンチウィルス状況」セクションには、アンチウィルスシグネチャ データベースの状態 (たとえば、データベースのタイムスタンプ、SonicWALLシグネチャ サーバに最新版データベースがあるかどうかがチェックされた最終日時など) が表示されます。SonicWALLセキュリティ装置は、起動時および1時間ごとに自動的にデータベースの同期化を試みます。
「ゲートウェイ アンチウィルス状況」セクションには、次の情報が表示されます。
・ 「シグネチャ データベース」には、シグネチャ データベースをダウンロードする必要があるかどうか、あるいはダウンロードが完了したかどうかが示されます。
・ 「シグネチャ データベースのタイムスタンプ」に表示される日時は、SonicWALLセキュリティ装置ではなくSonicWALL GAVシグネチャ データベースが最後に更新された日時です。
・ 「最終確認」には、SonicWALLセキュリティ装置がシグネチャ データベースの更新の有無をチェックした最終日時が示されます。SonicWALLセキュリティ装置は、起動時および1時間ごとに自動的にデータベースの同期化を試みます。
・ 「ゲートウェイ アンチウィルスの失効期日」には、SonicWALL GAVサービスの有効期限が切れる日付が示されます。SonicWALL GAVの購読期限が切れると、SonicWALL IPS検査が停止し、SonicWALL GAVの構成設定値がSonicWALLセキュリティ装置から削除されます。これらの設定は、SonicWALL GAVライセンスを以前に設定された状態に更新し終えると、自動的に復旧されます。
「ゲートウェイ アンチウィルス状況」セクションには、「注:「ネットワーク > ゾーン」ページからゾーンごとにゲートウェイ アンチウィルスを有効にしてください。」と表示されます。「ネットワーク > ゾーン」リンクを選択すると、SonicWALL GAVをゾーンに適用するための「ネットワーク > ゾーン」ページが表示されます。
SonicWALL GAVシグネチャの更新
SonicWALL GAVが動作しているSonicWALLセキュリティ装置は、既定では1時間ごとに自動的にSonicWALLシグネチャ サーバをチェックします。新しいシグネチャの更新の有無を管理者が継続的にチェックする必要はまったくありません。また、「ゲートウェイ アンチウィルス状況」セクションにある「更新」ボタンを選択して、SonicWALL GAVデータベースを随時に手動で更新することもできます。
SonicWALL GAVシグネチャの更新内容は、セキュリティで保護されています。SonicWALLセキュリティ装置は最初に、SonicWALL分散執行型手法のライセンス登録時に作成された事前共有鍵を使用して、自己認証する必要があります。シグネチャの要求はHTTPS経由で転送され、その際にサーバ証明書が完全検証されます。
プロトコル フィルタの指定
SonicWALL GAVは、違反があるペイロードを転送するプロトコルの種別をアプリケーションレベルで感知することによって、アプリケーションのコンテキストにおいて特定のアクションを実行し、違反があるペイロードを円滑に拒絶できます。
既定では、着信のHTTP、FTP、IMAP、SMTP、およびPOP3トラフィックがすべて、SonicWALL GAVで検査されます。「TCPストリーム」は汎用であるため、他のTCPベースのトラフィック (たとえば、標準ポートを使用していないSMTPやPOP3、IMプロトコル、P2Pプロトコルなど) をすべて検査する場合に、必要に応じて有効にすることができます。
受信検査の有効化
SonicWALL GAVのコンテキストにおいて「受信検査を有効にする」プロトコル トラフィック処理とは、次のトラフィックを対象とした処理を指します。
・ 保護ゾーン、無線ゾーン、または暗号化ゾーンから開始され、任意のゾーン宛てに送出される非SMTPトラフィック
・ パブリック ゾーンから非保護ゾーン宛てに送出される非SMTPトラフィック
・ 非保護ゾーンから開始され、保護ゾーン、無線ゾーン、暗号化ゾーン、またはパブリック ゾーン宛てに送出されるSMTPトラフィック
・ 保護ゾーン、無線ゾーン、または暗号化ゾーンから開始され、保護ゾーン、無線ゾーン、または暗号化ゾーン宛てに送出されるSMTPトラフィック
以下は、「受信検査を有効にする」プロトコル トラフィック処理を表形式で示したものです。
発信検査の有効化
「発信検査を有効にする」機能は、HTTP、FTP、SMTP、そしてTCPトラフィックに対して (たとえば、非武装ゾーン (DMZ) 上に設置可能なメール サーバで) 利用できます。SMTPの発信検査を有効にすることにより、内部に設置されたSMTPサーバに配信されたメールをスキャンしてウィルスの有無を検査することができます。
ファイル転送の制限
「ゲートウェイ アンチウィルス グローバル設定」セクションの下部にある「設定」ボタンを選択し、プロトコルごとに特定の属性を指定して、ファイルの転送を制限することができます。
これらの転送制限の設定としては、具体的には次のものがあります。
・ パスワードで保護されたZIPファイルの転送を制限する - パスワード保護されたZIPファイルに対して、有効化されたプロトコル経由での転送を無効にします。このオプションは、検査を有効化したプロトコル (たとえば、HTTP、FTP、SMTP) に対してのみ機能します。
・ マクロ (VBA5 以降) を含むMS-Officeタイプのファイルの転送を制限する - マイクロソフト オフィス97以降のVBAマクロが収録されたファイルの転送を無効にします。
・ パックされた実行可能ファイルの転送を制限する (UPX、FSG、その他) - パックされた実行可能ファイルの転送を無効にします。パッカーは、実行可能ファイルを圧縮するユーティリティです (パッカーのなかには実行可能ファイルを暗号化するものもあります)。パッカーが適切な用途に用いられることもありますが、アンチウィルス アプリケーションでの実行可能ファイルの検出を困難にしてしまおうという意図からパッカーが用いられることもなくはありません。パッカーはメモリ内でファイルを展開するヘッダーを追加し、次にそのファイルを実行します。SonicWALLゲートウェイ
アンチウィルスが認識するパック形式のうち最も一般的なものは、UPX、FSG、PKLite32、Petite、およびASPackです。その他の形式は、SonicWALL GAVシグネチャ更新と一緒に動的に追加されます。
ゲートウェイAV設定値の設定
「ゲートウェイ アンチウィルス グローバル設定」セクションの下部にある「ゲートウェイ アンチウィルスの設定」を選択すると、「ゲートウェイAV設定」ウィンドウが表示されます。このウィンドウでは、クライアント不要の通知を設定することも、SonicWALL GAVの除外リストを作成することも可能です。
電子メールまたは添付ファイルの中のウィルスが検出されたときに、SonicWALL GAVからクライアントに宛てた電子メール メッセージ (SMTP) の送信を抑止するには、「SMTP応答を無効にする」チェックボックスをオンにします。
HTTPクライアント不要の通知の設定
「HTTPクライアント不要の通知」は、HTTPサーバから入り込んだ脅威がGAVに検出されたときに、ユーザに通知する機能です。この機能を設定するには、「HTTPクライアント不要の警告通知を有効にする」チェックボックスを選択し、「遮断の発生を知らせるメッセージ」フィールドに、次に示すようなメッセージを入力します。
このオプションが無効化されている場合、HTTPサーバから入り込んだ脅威がGAVに検出されたときに、その脅威がGAVによって遮断され、ユーザに空白のHTTPページが表示されます。たいていの場合、ユーザはページの再ロードを試みます。脅威はユーザには意識されないためです。「HTTPクライアント不要の通知」機能によって、HTTPサーバからの脅威がGAVに検出されたことが、ユーザに通知されます。
ヒント 「HTTPクライアント不要の通知」機能は、SonicWALLアンチスパイウェアでも利用できます。
必要に応じて「HTTPクライアント不要の通知」のタイムアウトを設定することもできます。このタイムアウトは、「セキュリティ サービス > 状況」ページの「セキュリティ サービスの概要」ヘッダーの下部で設定します。
SonicWALL GAV除外リストの設定
除外リストにリストされたIPアドレスに関しては、トラフィックに対するウィルス スキャンが回避されます。「ゲートウェイ アンチウィルス除外リスト」セクションでは、SonicWALL GAVスキャンの対象から除外するIPアドレスの範囲を定義できます。
警告 SonicWALL GAV保護の対象から除外する項目を指定する際は、慎重を期してください。
IPアドレスを除外範囲に追加するには、次の手順を実行してください。
アイコンを選択するとエントリの削除が可能になります。
クラウド アンチウィルス データベース
クラウド ゲートウェイ アンチウィルス機能は、危険なマルウェア実例数の継続成長に対抗するために、SonicWALL ファイアウォール上で提供されている既存のゲートウェイ AV スキャン メカニズムを引継いで拡張する、高度なマルウェア スキャン対策を導入します。
クラウド ゲートウェイ アンチウィルスは、データセンター ベースのマルウェア分析サーバに問い合わせることによって、再組み立て自由な精密パケット検査能力を拡張します。 このアプローチは、現在どんな大きな処理オーバヘッドの増加も装置自身に加えずにサポートされるすべてのプロトコルで、無制限なサイズの無制限な数のファイルをスキャン可能な、遅延の少ないのリアルタイム ソリューションを提供することによって、RFDPI ベースのマルウェア検出の基礎を保ちます。 この追加レイヤのセキュリティにより、SonicWALL の 次世代ファイアウォールは現在の保護を拡張して数百万ものマルウェア要素をカバーすることができます。
クラウド ゲートウェイ アンチウィルス機能を有効にするには、「クラウド アンチウィルス データベースを有効にする」 チェックボックスを選択します。
オプションで、偽陽性による誤検出の問題を軽減するために、または特定のウィルス ファイルを必要に応じてダウンロードできるように、特定のクラウド シグネチャを執行対象から除外できます。
除外リストを設定するには、「クラウド アンチウィルス データベース除外の設定」 を選択します。
SonicWALL GAVシグネチャの表示
「ゲートウェイ アンチウィルス シグネチャ」セクションでは、SonicWALL GAVシグネチャ データベースの内容を表示できます。「ゲートウェイ アンチウィルス シグネチャ」テーブルに表示されるエントリはいずれも、SonicWALLセキュリティ装置にダウンロードされたSonicWALL GAVシグネチャ データベースから取得されたものです。
シグネチャの表示
さまざまなビューで「表示形式」メニューを使用して、シグネチャを表示することができます。
・ 文字列検索を使用 - 「次の文字列を含むシグネチャを検索する」フィールドに入力された特定の文字列を含んだシグネチャを表示できます。
・ すべてのシグネチャ - テーブル内のすべてのすべてのシグネチャを表示します。1ページあたりの表示個数は、最高50個です。
・ 0 - 9 - メニューから選択した番号で始まるシグネチャ名を表示します。
・ A-Z - メニューから選択した英字で始まるシグネチャ名を表示します。
ゲートウェイ アンチウィルス シグネチャ テーブルでのナビゲート
「ゲートウェイ アンチウィルス シグネチャ」テーブルには、SonicWALL GAVシグネチャが1ページあたり50個まで表示されます。「表示範囲」フィールドには、最初のシグネチャのテーブル数が表示されます。シグネチャ テーブルの1ページ目には、「表示範囲1から50まで (総数58)」のような形式でエントリが表示されます。テーブルをナビゲートするには、ナビゲーション ボタンを使用します。
ゲートウェイ アンチウィルス シグネチャ データベースでの検索
シグネチャ データベースの検索を実行するには、「次の文字列を含むシグネチャを検索する」フィールドに検索文字列を入力し、編集 アイコンを選択します。
