7.7. UTM¶
2020/09/30 をもって提供終了しました。
注釈
- お客様が任意に仮想サーバーを構築されるコンピュートリソースとは別に、専用のコンピュートリソース上でセキュリティ機能が動作するアプライアンス(UTM)を構成します。
- UTMを通過するトラフィックをお客様が設定されたセキュリティポリシーに基づいて検査します。
7.7.1. 利用できる機能¶
| 機能 | 概要 |
| IPS/IDS | 不正通信の検知/防御機能 |
| Anti Virus | HTTP、FTP、SMTP、POP3、IMAP通信のウイルス検知/防御機能 |
| Web Filter | HTTP通信のURLフィルタリング機能 |
| Spam Filter | POP3、IMAP通信のメール受信におけるスパムメール判定機能 |
注釈
- 検知状況は、弊社が必要と判断した場合に、Emailなどで通知されます。セキュリティWebポータルで通知先のEmailアドレスが設定可能です。(初期状態では、Emailアドレスが登録されていない為、希望される方は設定して下さい。)
- vファイアウォール/INAで、検査対象サーバーセグメント宛の通信が、UTMにルーティングされるように設定が必要です。
- 検査対象サーバーセグメント上にある仮想サーバーで、仮想サーバーからの通信がUTMにルーティングされるように設定が必要です。
- 仮想サーバーのPing監視を実施する場合、vファイアウォール/INAと仮想サーバーを直接接続するための追加サーバーセグメントが必要です。
重要
- UTMのデフォルトゲートウェイの設定は、セキュリティWebポータル上で変更しないでください。(デフォルトゲートウェイの設定変更は、変更申込みにて対応します。)
注釈
- 検査対象サーバーセグメントは、vファイアウォール/INAと直接接続しないでください。
| プラン | トラフィック処理能力 | 構成 |
|---|---|---|
| Compact | 最大200 Mbps | 上り/下りの合計値、ベストエフォートです。 |
| Large | 最大400 Mbps |
重要
- UTMのプランは、お申込み時に指定いただきます。開通後、CompactからLarge、あるいはLargeからCompactに変更することはできません。
7.7.2. IPS/IDS¶
| 項目 | 内容 |
| 方向 | お客様指定の方向 |
| プロトコル | TCP/IP |
重要
- 暗号化された通信は検知/遮断対象外です。
| 機能 | 概要 |
| IPS/IDS機能 | IPS/IDS機能自体の利用有無を指定します。 |
| 検査対象通信の方向 | 検査対象とする通信の向きを指定します。 |
| 危険通信検知時のAction | 「IPS mode」、「IDS mode」から選択します。
|
注釈
- シグネチャファイルは、自動的に更新されます。
- IPSモードの場合、全てのシグネチャがブロック対象となるわけではなく、検知のみのシグネチャも含まれます。
7.7.3. Anti Virus¶
| 項目 | 内容 | |
|---|---|---|
| 通信 | 方向 | お客様指定の方向 |
| プロトコル | HTTP、FTP、SMTP、POP3、IMAPのうち、お客様指定のプロトコル | |
| ポート番号 | お客様指定のポート番号 | |
| ファイル | ファイルサイズ | 3MB以下のファイル |
| 圧縮ファイル | 圧縮回数 | 12回以下の圧縮回数の圧縮ファイルのみ検査対象 |
| 圧縮形式 | arj、cab、gzip、lha、lzh、msc、rar、tar、zip | |
| ファイルサイズ | 解凍後、3MB以下のファイルのみ検査対象 | |
重要
- 上記以外のファイル(暗号化されたファイル、パスワードが設定されたファイルなど)は検査対象外です。
- 検査対象外の通信は、検査せず通過させる動作となります。
| 項目 | 内容 | |
|---|---|---|
| Anti Virus機能 | Anti Virus機能自体の利用有無を指定します。 | |
| 検査対象通信 | 方向 | 検査対象とする通信の向きを指定します。 |
| プロトコル | 対象とするプロトコルを「HTTP」、「FTP」、「SMTP」、「POP3」、「IMAP」から選択します。 | |
| ポート番号 | それぞれのプロトコルに対してポート番号を指定します。 | |
| ウイルス検知時のAction | 「AntiVirus_Block」、「AntiVirus_Monitor」から選択します。
|
|
重要
検査対象のポート番号は、Anti Virus、Web Filter、SPAM Filterの機能で共通設定となります。それぞれの機能で検査対象プロトコルが同じ箇所は、検査対象になります。
(例)
Anti VirusとWeb FilterにおいてHTTPプロトコルの検査が可能ですが、 TCP 80をポート番号に設定された場合、両機能でTCP 80の通信が検査対象となります。
注釈
- パターンファイルは、自動的に更新されます。
- ブロック時は以下の動作をします。
- HTTPはブラウザ画面上でブロック画面を表示
- FTPはNULLファイルがダウンロード
- SMTPは送信元IPアドレスに対してエラーコードを応答
- POP/IMAPは添付ファイルが削除され、メール本文に注釈が追加
7.7.4. Web Filter¶
注釈
- Enterprise Cloud サービスのVPN接続からインターネット接続する通信に対して、Web Filterを適用したい場合は、 Enterprise Cloud サービスのサーバーセグメント上にプロキシサーバーを構築する必要があります。
| 項目 | 内容 |
| 方向 | UTMを通過するvファイアウォール/統合ネットワークアプライアンスから仮想サーバー方向の通信 |
| プロトコル | HTTP |
| ポート番号 | お客様指定のポート番号 |
注釈
- HTTPS通信については、接続サイトのサーバー証明書のCommon Nameに記載されているURLを基に判定します。
| 項目 | 内容 |
| Web Filter機能 | Web Filter機能自体の利用有無を指定します。 |
| 検査対象通信のポート番号 | ポート番号を指定します。 |
| Block対象カテゴリー | ブロック(Block)するWebサイトカテゴリーを選択します。
|
| ホワイトリスト/ブラックリスト | ホワイトリスト/ブラックリストを設定します。設定可能な登録数はそれぞれ100個までです。 |
重要
検査対象のポート番号は、Anti Virus、Web Filter、SPAM Filterの機能で共通設定となります。それぞれの機能で検査対象プロトコルが同じ箇所は、検査対象になります。
(例)
Anti VirusとWeb FilterにおいてHTTPプロトコルの検査が可能ですが、 TCP 80をポート番号に設定された場合、両機能でTCP 80の通信が検査対象となります。
ブロック画面等を表示させるために、Web Filterを経由する通信において、TCP 8008、8010、8020ポートを利用したサービス通信は利用できません。
HTTPS通信において、接続サイトのサーバー証明書のCommon Nameに記載されているドメインが、Block対象のカテゴリーに該当するドメインであった場合、ブロック画面は表示されません。(ブラウザのエラーとして表示されます。)
注釈
- ブロック時は以下の動作をします。
- ブラウザ画面上でブロック画面を表示
- Blockカテゴリーに設定されないカテゴリーのWebサイトへのアクセスは許可(Allow:アクセス可、ログ出力なし)されます。
- Blockカテゴリーにて選択可能なURLカテゴリーは、URLカテゴリー一覧 を参照してください。
7.7.5. Spam Filter¶
| 項目 | 内容 |
| 方向 | お客様指定の方向 |
| プロトコル | POP3、IMAP |
| ポート番号 | お客様指定のポート番号 |
| 項目 | 内容 | |
|---|---|---|
| Spam Filter機能 | Spam Filter機能自体の利用有無を指定します。 | |
| 検査対象通信 | 方向 | 検査対象とする通信の向きを指定します。 |
| ポート番号 | それぞれのプロトコルに対してポート番号を指定します。 | |
| ホワイトリスト/ブラックリスト | ホワイトリスト/ブラックリストを設定します。設定可能な登録数はそれぞれ100個までです。 | |
重要
検査対象のポート番号は、Anti Virus、Web Filter、SPAM Filterの機能で共通設定となります。それぞれの機能で検査対象プロトコルが同じ箇所は、検査対象になります。
(例)
Anti VirusとSPAM FilterにおいてIMAPプロトコルの検査が可能ですが、 TCP 143をポート番号に設定された場合、両機能でTCP 143の通信が検査対象となります。
スパム判定時は、メールSubjectに [Spam] を付与します。スパム判定後の処理は行いませんので、メールを受け取ったお客様にてメールSubjectに挿入された [Spam] 情報をもとに対処を実施してください。
IMAPの場合、メールSubjectに [Spam] を付与出来ない場合があります。これはUTMの仕様ではなく、IMAPの挙動による制限となります。IMAPの場合、まずメールSubjectをクライアント側にダウンロードし、その後本文をダウンロードする為、本文中のURLにてスパム判定された場合は、メールSubjectに [Spam] を付与出来ません。IMAPでも、メールアドレスにてスパム判定された場合は、メールSubjectに [Spam] を付与することが可能です。
7.7.6. 注意事項¶
海外データセンター利用時の注意事項- 海外データセンター(日本以外のデータセンター)をご利用になる場合は、モニタリングで使用するため1サービスのご利用につきグローバルIPアドレスが1つ必要となります。複数サービスご利用時には、サービス数に応じたグローバルIPアドレスが必要となります。
- また本サービスを利用する際に必要となるvファイアウォールまたは統合ネットワークアプライアンスに設定するNATルール(弊社が設定)は、お客様にて変更しないでください。
- 本サービスを接続するサーバーセグメントにおいて、サーバーセグメントのデフォルトゲートウェイとして設定されたIPアドレスは、本サービスに割当てることはできません。
本サービスには、vファイアウォールまたは統合ネットワークアプライアンスのご利用が必須となります。
本サービスで動作するアプライアンスはシングル構成となりますが、基盤設備は冗長構成がとられており、障害時はバックアップ用の基盤上で再起動され、5分から10分程度で切り替わります。
本サービス専用のコンピュートリソースプールが必要です(プールは弊社がUTMのお申込み受付時に作成致します)。また、既存のコンピュートリソースプール上に本サービスを構築することはできません。
本サービスが稼働するコンピュートリソースプール上に、お客様にて仮想サーバーを構築することはできません。
本サービス専用のコンピュートリソースプールを拡張、または、縮小することはできません。
本サービスが稼働する仮想サーバーのリソース割り当て変更は、カスタマーポータルから操作することはできません(弊社管理の仮想サーバーとして、弊社のみオペレーション可能となります。)
UTM上のメモリー使用率が80%を超えた場合は、Conserve(保護)モードになります。Conserveモードになった場合は、新規セッションは検査せず通過させる動作となります(Anti Virus、Web Filter、Spam Filter機能が対象)。また、メモリー使用率が80%以下になった場合、自動的にConserveモードが解除されます。
UTMが動作する仮想サーバーは、プライベートカタログ、バックアップサービス、VMセキュリティを利用することはできません。
TCP/UDP/IP プロトコルに違反するパケットや異常なパケットは、お客様個々の設定内容に関わらず、標準機能として破棄します。
(例)
- IP ヘッダが途中で切れている場合
- ポート番号が0 の場合
- TCP フラグの組み合わせ異常の場合
- カプセル化による違反パケット 等
UTMが提供する各機能について、完全性、正確性、お客様への利用目的への適合性を有していることについて保証するものではありません。また、UTM機能を構成する機器の開発元または販売元より提供される不正/攻撃通信の検知アルゴリズムの妥当性を保証するものではありません。
UTM機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。
- UTMの提供を通じて得られた設定情報
- UTMの制御などに関する情報
UTM機能とお客様環境との相性により起こり得る不具合、またはお客様が弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。
メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。
メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。