7.7. UTM

 UTMは、Enterprise Cloud上の仮想サーバーに対する不正アクセスの検知/防御、ウイルス感染からの防御、URLベースのWeb通信のフィルタリング、スパムメール判定など、様々なセキュリティ脅威から統合的に対策可能です。

注釈

  • お客様が任意に仮想サーバーを構築されるコンピュートリソースとは別に、専用のコンピュートリソース上でセキュリティ機能が動作するアプライアンス(UTM)を構成します。
  • UTMを通過するトラフィックをお客様が設定されたセキュリティポリシーに基づいて検査します。

7.7.1. 利用できる機能

UTMでは以下の機能を利用できます。
機能 概要
IPS/IDS 不正通信の検知/防御機能
Anti Virus HTTP、FTP、SMTP、POP3、IMAP通信のウイルス検知/防御機能
Web Filter HTTP通信のURLフィルタリング機能
Spam Filter POP3、IMAP通信のメール受信におけるスパムメール判定機能

注釈

  • 検知状況は、弊社が必要と判断した場合に、Emailなどで通知されます。セキュリティWebポータルで通知先のEmailアドレスが設定可能です。(初期状態では、Emailアドレスが登録されていない為、希望される方は設定して下さい。)
ルーティング設定
※ 本項では統合ネットワークアプライアンスをINAと表記します。
../../_images/image250.png
  • vファイアウォール/INAで、検査対象サーバーセグメント宛の通信が、UTMにルーティングされるように設定が必要です。
  • 検査対象サーバーセグメント上にある仮想サーバーで、仮想サーバーからの通信がUTMにルーティングされるように設定が必要です。
  • 仮想サーバーのPing監視を実施する場合、vファイアウォール/INAと仮想サーバーを直接接続するための追加サーバーセグメントが必要です。

重要

  • UTMのデフォルトゲートウェイの設定は、セキュリティWebポータル上で変更しないでください。(デフォルトゲートウェイの設定変更は、変更申込みにて対応します。)

注釈

  • 検査対象サーバーセグメントは、vファイアウォール/INAと直接接続しないでください。
プランと解析処理量
プラン トラフィック処理能力 構成
Compact 最大200 Mbps 上り/下りの合計値、ベストエフォートです。
Large 最大400 Mbps

重要

  • UTMのプランは、お申込み時に指定いただきます。開通後、CompactからLarge、あるいはLargeからCompactに変更することはできません。

7.7.2. IPS/IDS

 IPS/IDSは、シグネチャベースで通信を検査し、危険な通信と判定された通信を検知/防御する機能です。
 検査対象通信は以下のとおりです。
項目 内容
方向 お客様指定の方向
プロトコル TCP/IP

重要

  • 暗号化された通信は検知/遮断対象外です。
 IPS/IDSで設定可能な項目は以下のとおりです。
機能 概要
IPS/IDS機能 IPS/IDS機能自体の利用有無を指定します。
検査対象通信の方向 検査対象とする通信の向きを指定します。
危険通信検知時のAction
「IPS mode」、「IDS mode」から選択します。
  • IPS mode:ブロックする
  • IDS mode :検知のみ(ブロックしない)

注釈

  • シグネチャファイルは、自動的に更新されます。
  • IPSモードの場合、全てのシグネチャがブロック対象となるわけではなく、検知のみのシグネチャも含まれます。

7.7.3. Anti Virus

 Anti Virusは、パターンファイルベースで通信を検査し、ウイルスと判定された通信を検知/防する機能です。
 検査対象通信・ファイルは以下のとおりです。
項目 内容
通信 方向 お客様指定の方向
プロトコル HTTP、FTP、SMTP、POP3、IMAPのうち、お客様指定のプロトコル
ポート番号 お客様指定のポート番号
ファイル ファイルサイズ 3MB以下のファイル
圧縮ファイル 圧縮回数 12回以下の圧縮回数の圧縮ファイルのみ検査対象
圧縮形式 arj、cab、gzip、lha、lzh、msc、rar、tar、zip
ファイルサイズ 解凍後、3MB以下のファイルのみ検査対象

重要

  • 上記以外のファイル(暗号化されたファイル、パスワードが設定されたファイルなど)は検査対象外です。
  • 検査対象外の通信は、検査せず通過させる動作となります。
 Anti Virusで設定可能な項目は以下のとおりです。
項目 内容
Anti Virus機能 Anti Virus機能自体の利用有無を指定します。
検査対象通信 方向 検査対象とする通信の向きを指定します。
プロトコル 対象とするプロトコルを「HTTP」、「FTP」、「SMTP」、「POP3」、「IMAP」から選択します。
ポート番号 それぞれのプロトコルに対してポート番号を指定します。
ウイルス検知時のAction

「AntiVirus_Block」、「AntiVirus_Monitor」から選択します。

  • AntiVirus_Block: ウイルス検知した通信をブロックする
  • AntiVirus_Monitor: ウイルス検知のみ(ブロックしない)

重要

  • 検査対象のポート番号は、Anti Virus、Web Filter、SPAM Filterの機能で共通設定となります。それぞれの機能で検査対象プロトコルが同じ箇所は、検査対象になります。

    (例)

    Anti VirusとWeb FilterにおいてHTTPプロトコルの検査が可能ですが、 TCP 80をポート番号に設定された場合、両機能でTCP 80の通信が検査対象となります。

注釈

  • パターンファイルは、自動的に更新されます。
  • ブロック時は以下の動作をします。
    • HTTPはブラウザ画面上でブロック画面を表示
    • FTPはNULLファイルがダウンロード
    • SMTPは送信元IPアドレスに対してエラーコードを応答
    • POP/IMAPは添付ファイルが削除され、メール本文に注釈が追加

7.7.4. Web Filter

 Web Filterは、Web通信のアクセス先を検査し、通信を制御する機能です。

注釈

  • Enterprise Cloud サービスのVPN接続からインターネット接続する通信に対して、Web Filterを適用したい場合は、 Enterprise Cloud サービスのサーバーセグメント上にプロキシサーバーを構築する必要があります。
 検査対象通信は以下のとおりです。
項目 内容
方向 UTMを通過するvファイアウォール/統合ネットワークアプライアンスから仮想サーバー方向の通信
プロトコル HTTP
ポート番号 お客様指定のポート番号

注釈

  • HTTPS通信については、接続サイトのサーバー証明書のCommon Nameに記載されているURLを基に判定します。
 Web Filterで設定可能な項目は以下のとおりです。
項目 内容
Web Filter機能 Web Filter機能自体の利用有無を指定します。
検査対象通信のポート番号 ポート番号を指定します。
Block対象カテゴリー
ブロック(Block)するWebサイトカテゴリーを選択します。
  • Block : アクセスをブロック、ログ出力有り。
ホワイトリスト/ブラックリスト ホワイトリスト/ブラックリストを設定します。設定可能な登録数はそれぞれ100個までです。

重要

  • 検査対象のポート番号は、Anti Virus、Web Filter、SPAM Filterの機能で共通設定となります。それぞれの機能で検査対象プロトコルが同じ箇所は、検査対象になります。

    (例)

    Anti VirusとWeb FilterにおいてHTTPプロトコルの検査が可能ですが、 TCP 80をポート番号に設定された場合、両機能でTCP 80の通信が検査対象となります。

  • ブロック画面等を表示させるために、Web Filterを経由する通信において、TCP 8008、8010、8020ポートを利用したサービス通信は利用できません。

  • HTTPS通信において、接続サイトのサーバー証明書のCommon Nameに記載されているドメインが、Block対象のカテゴリーに該当するドメインであった場合、ブロック画面は表示されません。(ブラウザのエラーとして表示されます。)

注釈

  • ブロック時は以下の動作をします。
    • ブラウザ画面上でブロック画面を表示
  • Blockカテゴリーに設定されないカテゴリーのWebサイトへのアクセスは許可(Allow:アクセス可、ログ出力なし)されます。
  • Blockカテゴリーにて選択可能なURLカテゴリーは、URLカテゴリー一覧 を参照してください。

7.7.5. Spam Filter

 Spam FilterはMail通信を検査し、スパムメール判定を実施する機能です。
 検査対象通信は以下のとおりです。
項目 内容
方向 お客様指定の方向
プロトコル POP3、IMAP
ポート番号 お客様指定のポート番号

 Spam Filterで設定可能な項目は以下のとおりです。
項目 内容
Spam Filter機能 Spam Filter機能自体の利用有無を指定します。
検査対象通信 方向 検査対象とする通信の向きを指定します。
ポート番号 それぞれのプロトコルに対してポート番号を指定します。
ホワイトリスト/ブラックリスト ホワイトリスト/ブラックリストを設定します。設定可能な登録数はそれぞれ100個までです。

重要

  • 検査対象のポート番号は、Anti Virus、Web Filter、SPAM Filterの機能で共通設定となります。それぞれの機能で検査対象プロトコルが同じ箇所は、検査対象になります。

    (例)

    Anti VirusとSPAM FilterにおいてIMAPプロトコルの検査が可能ですが、 TCP 143をポート番号に設定された場合、両機能でTCP 143の通信が検査対象となります。

  • スパム判定時は、メールSubjectに [Spam] を付与します。スパム判定後の処理は行いませんので、メールを受け取ったお客様にてメールSubjectに挿入された [Spam] 情報をもとに対処を実施してください。

  • IMAPの場合、メールSubjectに [Spam] を付与出来ない場合があります。これはUTMの仕様ではなく、IMAPの挙動による制限となります。IMAPの場合、まずメールSubjectをクライアント側にダウンロードし、その後本文をダウンロードする為、本文中のURLにてスパム判定された場合は、メールSubjectに [Spam] を付与出来ません。IMAPでも、メールアドレスにてスパム判定された場合は、メールSubjectに [Spam] を付与することが可能です。


7.7.6. 注意事項

海外データセンター利用時の注意事項

  • 海外データセンター(日本以外のデータセンター)をご利用になる場合は、モニタリングで使用するため1サービスのご利用につきグローバルIPアドレスが1つ必要となります。複数サービスご利用時には、サービス数に応じたグローバルIPアドレスが必要となります。
  • また本サービスを利用する際に必要となるvファイアウォールまたは統合ネットワークアプライアンスに設定するNATルール(弊社が設定)は、お客様にて変更しないでください。
利用するIPアドレス

  • 本サービスを接続するサーバーセグメントにおいて、サーバーセグメントのデフォルトゲートウェイとして設定されたIPアドレスは、本サービスに割当てることはできません。
制約事項

  • 本サービスには、vファイアウォールまたは統合ネットワークアプライアンスのご利用が必須となります。

  • 本サービスで動作するアプライアンスはシングル構成となりますが、基盤設備は冗長構成がとられており、障害時はバックアップ用の基盤上で再起動され、5分から10分程度で切り替わります。

  • 本サービス専用のコンピュートリソースプールが必要です(プールは弊社がUTMのお申込み受付時に作成致します)。また、既存のコンピュートリソースプール上に本サービスを構築することはできません。

  • 本サービスが稼働するコンピュートリソースプール上に、お客様にて仮想サーバーを構築することはできません。

  • 本サービス専用のコンピュートリソースプールを拡張、または、縮小することはできません。

  • 本サービスが稼働する仮想サーバーのリソース割り当て変更は、カスタマーポータルから操作することはできません(弊社管理の仮想サーバーとして、弊社のみオペレーション可能となります。)

  • UTM上のメモリー使用率が80%を超えた場合は、Conserve(保護)モードになります。Conserveモードになった場合は、新規セッションは検査せず通過させる動作となります(Anti Virus、Web Filter、Spam Filter機能が対象)。また、メモリー使用率が80%以下になった場合、自動的にConserveモードが解除されます。

  • UTMが動作する仮想サーバーは、プライベートカタログ、バックアップサービス、VMセキュリティを利用することはできません。

  • TCP/UDP/IP プロトコルに違反するパケットや異常なパケットは、お客様個々の設定内容に関わらず、標準機能として破棄します。

    (例)

    • IP ヘッダが途中で切れている場合
    • ポート番号が0 の場合
    • TCP フラグの組み合わせ異常の場合
    • カプセル化による違反パケット 等
  • UTMが提供する各機能について、完全性、正確性、お客様への利用目的への適合性を有していることについて保証するものではありません。また、UTM機能を構成する機器の開発元または販売元より提供される不正/攻撃通信の検知アルゴリズムの妥当性を保証するものではありません。

  • UTM機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。

    • UTMの提供を通じて得られた設定情報
    • UTMの制御などに関する情報
  • UTM機能とお客様環境との相性により起こり得る不具合、またはお客様が弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。

  • メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。

  • メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。