SSLインスペクションとは
近年のインターネット環境では通信が暗号化されているのが当たり前の状態になっています。SSLインスペクションは暗号化された通信を監視・検査するセキュリティ機能です。
FortiGateでは、2種類のインスペクション方式がございます。「SSL証明書インスペクション(Certificate-inspection)」と「フルSSLインスペクション(deep-inspection)」です。2種類の違いは以下の通りです。
SSL証明書インスペクション(certificate-inspection)
certificate-inspection は、暗号化された通信の複合化はせずWebフィルタなどで対象のWebサイトのFQDN(完全修飾ドメイン名)をサーバー証明書のコモンネームと照らし合わせて接続先のWebサイトが問題ないかを確認します。
フルSSLインスペクション(deep-inspection)
deep-inspection は、暗号化された通信を一旦複合化したうえで安全な通信であること検査してからFortiGateを通過します。一旦複合化しセキュリティ検査をするため、クライアントへ送信する際にFortiGateが再度暗号化します。その際にFortiGateに登録されているCA証明書で安全であると署名してクライアントへ送ります。そのため、FortiGate配下のクライアント端末にはFortiGateに登録されているCA証明書をインストールする必要があります。
SSLインスペクションの動作について
certificate-inspection や deep-inspection でそれぞれ機能するセキュリティは、certificate-inspection では、Webフィルタリングとアプリケーションコントロールで機能します。deep-inspection ではWebフィルタリング・アプリケーションコントロール・AntiVirus・IPS・アンチスパムなどが機能します。
| 内容 | deep-inspection | certificate-inspection |
|---|---|---|
| 検査内容 | 暗号化された通信を複合化して検査を実施 | FQDNをサーバー証明書のコモンネームと照らし合わせて安全なFQDNであることを確認 |
| 各ユーザー作業 | FortiGateのCA証明書を利用する端末(PCやタブレット、スマートフォンなど)にインストールが必要 | 不要 |
| 利用可能なセキュリティプロファイル | Webフィルタリング アプリケーションコントロール アンチウィルス IPS アンチスパム など | Webフィルタリング アプリケーションコントロール |
| スループット | 影響:大 端末台数や利用状況により上位機種をお勧めします。 | 影響:小 |
全国設置代行いたします。お気軽にお問い合わせください。
オンサイトでのハードウェア障害対応です。障害のコールを受け、ハードウェア障害と確定後、オンサイトでのハードウェア交換作業・設定復元・基本動作確認作業を行います。