PR

 ウイルスゲートウエイはネットワークに侵入するウイルスを検知し、事前に排除する目的で使われる。UTM(Unified Threat Management)や次世代ファイアウオール、セキュアプロキシーなどの統合型のセキュリティ機器が備える機能の1つ。

 ウイルスゲートウエイは、IPアドレスやポート番号といったパケットのヘッダーに記述された情報でパケットをチェックするファイアウオールと違い、パケットの中身まで確認してウイルスかどうかを判断する。この動作は「ディープパケットインスペクション」と呼ぶ。この判断方法が製品で異なる。大きく「パケット単位でウイルスを検出」「ファイル単位でウイルスを検出」「SSL通信のパケットまで確認可能」の3つの方法がある。

図●ウイルスゲートウエイ機能は3つの実装方法がある<br>ウイルスゲートウエイ機能は、ディープパケットインスペクションとも呼ばれ、パケットの中身(ペイロード)部分まで調べて、ウイルスが混入していないかを調べる。ただ、製品によって調べ方が大きく異なる。
図●ウイルスゲートウエイ機能は3つの実装方法がある
ウイルスゲートウエイ機能は、ディープパケットインスペクションとも呼ばれ、パケットの中身(ペイロード)部分まで調べて、ウイルスが混入していないかを調べる。ただ、製品によって調べ方が大きく異なる。
[画像のクリックで拡大表示]

 「パケット単位でウイルスを検出」は、1つのパケットに含まれるデータだけでウイルスかどうかを確認する。通常、ファイルはパケット単位に分割されてからやり取りされるので、ウイルスのコードが分割されていると見逃してしまう可能性が高い。しかし、高速に処理できるメリットがある。一部のUTMや次世代ファイアウオールに採用されている。

 2つめの「ファイル単位でウイルスを検出」は、複数のパケットに分割されたファイルを、機器内で一度ファイルに復元し直してからウイルスかどうかを確認する。ファイルに戻してから確認するため、パケット単位に比べて、ウイルスを見逃す可能性は低くなる。その分、セキュリティ機器には高い処理能力が必要になる。UTMや次世代ファイアウオールの大半は、この方式を採用している。

 最後の「SSL通信のパケットまで確認可能」は、通信内容がSSLによって暗号化されていても、セキュリティ機器側がデータを復号してウイルスかどうかを確認する方式だ。3つの方法で最もウイルスを見逃しにくいが、処理の負荷が最も高い。セキュアプロキシーや一部のUTM/次世代ファイアウオールで採用されている。