詳細なコンテンツ検査

ディープ コンテンツ インスペクション( DCI ) は、ネットワーク フィルタリングの一種で、検査ポイントを通過するファイルまたはMIMEオブジェクト全体を検査し、ウイルス、スパム、データ損失、キーワードなどのコンテンツ レベルの基準を検索します。ディープ コンテンツ インスペクションは、個々のパケットまたは複数のパケットに焦点を当てるのではなく、実際のコンテンツの内容を確認する機能を備えたディープ パケット インスペクションの進化形と考えられています。ディープ コンテンツ インスペクションにより、サービスは複数のパケットにわたってコンテンツを追跡できるため、検索対象の署名がパケットの境界を越えても見つかります。これは、インターネット トラフィックがOSI ISO の7 つの層すべて、そして最も重要なアプリケーション層にわたって検査される、網羅的なネットワーク トラフィック インスペクションです。^[1]

従来の検査技術では、近年の広範囲にわたる攻撃の発生に対応できていません。^[2]ディープ・パケット・インスペクション（DPI）などのパケットのデータ部分（場合によってはヘッダーも）のみを検査する検査方法とは異なり、ディープ・コンテンツ・インスペクション（DCI）ベースのシステムは網羅的であり、ネットワークトラフィックのパケットは構成オブジェクトに再構成され、必要に応じてエンコード解除および／または解凍された後、マルウェア、使用権、コンプライアンス、トラフィックの意図の理解について検査されます。この再構成と理解がリアルタイムで実行できれば、トラフィックにリアルタイムポリシーを適用し、マルウェア、スパム、貴重なデータの損失の拡散を防ぐことができます。さらに、DCIでは、多くの通信セッションで送信されるデジタルオブジェクトの相関関係と理解により、プロトコルや混合通信セッションに関係なく、ネットワークパフォーマンスの最適化とインテリジェンスを実現する新しい方法が実現します。

DPIは歴史的に、侵入を検知・防止するために開発されました。その後、ネットワークトラフィックのフローに優先順位を付け、遅延の影響を受けやすいトラフィックタイプ（ Voice over IPなど）に高いフロー優先度を提供する サービス品質（QoS）を提供するために使用されました。

統合脅威管理（UTM）や次世代ファイアウォール（Garner RAS Core Research Note G00174908）などの新世代ネットワークコンテンツセキュリティデバイスは、DPIを用いて少数のウイルスやワームによる攻撃を防御します。これらのマルウェアのシグネチャは、DPIの検査範囲のペイロードに収まります。しかし、ConfickerやStuxnetといった新世代マルウェアの検知と防御は、DCIが提供する徹底的な分析によってのみ可能となります。^[3]

コンピュータ ネットワークは、ネットワークを介して情報をあるポイントから別のポイントに送信します。データ (ペイロードと呼ばれることもあります) は、次の形式の IP パケット内に「カプセル化」されます。

_{* IP ヘッダーは送信元と宛先のアドレスなどのアドレス情報を提供し、TCP/UDP ヘッダーはポート番号などのその他の関連情報を提供します。}

ネットワークが進化するにつれて、検査技術も進化し、ペイロードの理解を試みています。過去10年間で、以下のような大きな進歩がありました。

歴史的に、検査技術はIPヘッダーとTCP/UDPヘッダーのみを検査していました。「パケットフィルタリング」と呼ばれるこれらのデバイスは、シーケンスパケット、つまりネットワーク上で許可されていないパケットをドロップします。このネットワークトラフィック検査の仕組みは、パケット攻撃から保護するためにファイアウォールによって初めて使用されました。

ステートフル・パケット・インスペクションは、ヘッダー情報とパケットの内容を検査することで、送信元と宛先の理解度を向上させるために開発されました。アドレスとポートに基づいてパケットを通過させるのではなく、コンテキストがネットワークの現在の「状態」に適切であれば、パケットはネットワーク上に留まります。この方式は、最初にチェック・ポイントのファイアウォールで採用され、後に侵入防止/検知システムにも採用されました。

ディープ・パケット・インスペクションは、ネットワークを通過するデータパケット（ヘッダーやデータプロトコル構造を含む）を分析するために使用される主要な検査ツールです。これらの技術は、パケットストリームをスキャンし、問題となるパターンを探します。

ディープ・パケット・インスペクション・システムが効果的に機能するには、パケットペイロードをマルウェアシグネチャおよび仕様シグネチャ（リクエスト／レスポンスの形式を規定する）とワイヤスピードで「文字列」照合する必要があります。そのために、FPGA（フィールド・プログラマブル・ゲート・アレイ）、ネットワークプロセッサ、さらにはグラフィックス・プロセッシング・ユニット（GPU）^[4]にこれらのシグネチャがハードワイヤードでプログラムされており、その結果、これらの回路を通過するトラフィックは迅速に照合されます。

ハードウェアを使用すると素早いインライン マッチが可能になりますが、DPI システムには次のような制限があります。

ハードウェアの制限: DPI システムはパターン マッチング (または「問題のある」パターンの検索) をハードウェアで実装するため、通常、次のような制限があります。

• ハイエンド DPI チップが持つことができる回路の数。2011 年現在、このハイエンド DPI システムは、セッションごとに約 512 件の要求/応答を最適に処理できます。
• パターンマッチングに利用可能なメモリ。2011年現在、ハイエンドDPIシステムは最大60,000の固有シグネチャのマッチングが可能。

ペイロードの制限： Webアプリケーションは、バイナリからテキストへのエンコード、圧縮（zip形式、アーカイブ形式など）、難読化、さらには暗号化を用いてコンテンツを通信します。そのため、ペイロード構造は複雑化し、署名の単純な「文字列」マッチングだけではもはや不十分になっています。一般的な回避策は、署名も同様に「エンコード」またはzip形式にすることですが、上記の「検索制限」を考慮すると、あらゆるアプリケーションタイプや、ネストされたzip形式またはアーカイブ形式のファイルをサポートできるほど拡張性がありません。

ディープ・パケット・インスペクションの開発と並行して、ディープ・コンテンツ・インスペクションの始まりは、マルウェアやスパムを阻止するプロキシの導入が始まった1995年にまで遡ります。ディープ・コンテンツ・インスペクションは、ネットワークコンテンツを徹底的に検査するネットワーク・コンテンツ・インスペクションの第3世代と言えるでしょう。

プロキシは、オブジェクトを取得して転送するインターネットキャッシュサービスを提供するために導入されてきました。その結果、すべてのネットワークトラフィックが傍受され、場合によっては保存される可能性があります。これらは現在セキュアWebゲートウェイと呼ばれるものへと進化し、プロキシベースの検査によってオブジェクト、スクリプト、画像を取得・スキャンします。

プロキシは、コンテンツがキャッシュされていない場合は最初にコンテンツを取得し、次にコンテンツを受信者に転送することで、1995 年に Content Technologies (現在のClearswift ) によって MAILsweeper がリリースされたときにすでに何らかの形式のファイル検査を導入しましたが、これは 2005 年に MIMEsweeper に置き換えられました。2006 年には、オープン ソースのクロス プラットフォームウイルス対策ソフトウェアClamAV がリリースされ、キャッシュ プロキシ、 Squid、およびNetCacheのサポートが提供されました。インターネット コンテンツ適応プロトコル (ICAP)を使用して、プロキシはダウンロードしたコンテンツをウイルス対策ソフトウェアを実行している ICAP サーバーに渡してスキャンします。完全なファイルまたは「オブジェクト」がスキャンに渡されたため、プロキシベースのウイルス対策ソリューションは、ネットワーク コンテンツ検査の第一世代であると考えられています。

BlueCoat、WebWasher、および Secure Computing Inc. (現在は McAfee、現在は Intel の一部門) は、プロキシの商用実装を提供し、最終的にはほとんどの企業ネットワークの標準ネットワーク要素になりました。

制限事項: プロキシ (またはセキュア Web ゲートウェイ) はネットワーク トラフィックの詳細な検査を提供しますが、次のような理由からその使用には制限があります。

• ネットワークの再構成が必要であり、これは a) エンドデバイスでブラウザをこれらのプロキシに向ける、または b) ネットワークルータでトラフィックがこれらのデバイスを経由するようにルーティングすることによって実現されます。
• ウェブ（http）とFTPプロトコルに限定されており、電子メールなどの他のプロトコルをスキャンすることはできません。
• 最後に、プロキシ アーキテクチャは通常 Squid を中心に構築されますが、同時セッションに合わせて拡張することができないため、企業への導入に限定されます。

第2世代のネットワークトラフィック検査ソリューションは、ファイアウォールやUTMに実装されました。これらのデバイスではネットワークトラフィックが遮断されるため、DPI検査に加えて、プロキシのような検査も可能です。このアプローチは、 NetScreen Technologies Inc.（Juniper Networks Inc.に買収）によって初めて開発されました。しかし、このような運用コストが高額であったため、この機能はDPIシステムと併用され、必要に応じて、またはコンテンツがDPIシステムで検査されなかった場合にのみ有効化されました。

ディープコンテンツインスペクションソリューションとして知られる、第3世代（そして最新世代）のネットワークコンテンツインスペクションは、完全に透過的なデバイスとして実装され、ワイヤスピードでアプリケーションレベルのコンテンツインスペクションを完全に実行します。通信セッションの意図を（その全体を）理解するために、ディープコンテンツインスペクションシステムは、ハンドシェイクとペイロードの両方をスキャンする必要があります。ペイロードに含まれるデジタルオブジェクト（実行ファイル、画像、JavaScript、.pdfなど、Data-In-Motionとも呼ばれます）が構築されると、このセッションとそのペイロードのユーザビリティ、コンプライアンス、脅威分析が可能になります。DCIシステムでは、セッションのハンドシェイクシーケンスと完全なペイロードが利用可能であるため、単純なパターンマッチングとレピュテーション検索しかできないDPIシステムとは異なり、徹底的なオブジェクト分析が可能です。DCIシステムが提供するインスペクションには、シグネチャマッチング、動作分析、規制およびコンプライアンス分析、インスペクション対象セッションと以前のセッション履歴との相関関係の分析などが含まれます。完全なペイロードのオブジェクトとこれらの検査スキームが利用可能であるため、ディープ コンテンツ検査システムは、通常、高度なセキュリティとコンプライアンスが求められる場合や、BYOD (Bring Your Own Device)やクラウド インストールなどエンドポイント セキュリティ ソリューションが不可能な場合に導入されます。

この第3世代のディープコンテンツインスペクションのアプローチは、防衛および諜報コミュニティ内で開発され、最初にSyBardなどのガード製品に登場し、 ^[5]、後にWedge Networks Inc.によって登場しました。この会社のアプローチの主要な実装のハイライトは、特許USPTO# 7,630,379 ^{[6]から推測できます。}

ディープ コンテンツ インスペクションの主な差別化要因は次のとおりです。

ディープ・コンテンツ・インスペクションは、次世代ファイアウォールのようにパケットを分析したり、アプリケーションの種類に基づいてトラフィックを分類したりするのではなく、コンテンツに焦点を当てています。コンテンツとその意図を「理解する」ことは、ネットワークトラフィックから得られる最高レベルのインテリジェンスです。情報の流れがパケットからアプリケーションへ、そして最終的にはコンテンツへと移行している今、これは重要です。

検査レベルの例:

• パケット: より大きな画像を取得するためのランダムサンプル
• アプリケーション：グループまたはアプリケーションのプロファイリング。特定のアプリケーションまたはアプリケーション領域を許可/禁止するか、さらにスキャンします。
• コンテンツ：すべてを確認し、すべてをスキャンします。コンテンツを検査ルール（コンプライアンス／データ損失防止ルールなど）に照らし合わせます。意図を理解します。

ディープ コンテンツ インスペクション システムではそのペイロードの完全なオブジェクトが利用できるため、サービス/検査の例としては次のようなものが考えられます。

• マルウェア対策
• スパム対策
• 移動中のデータ損失
• ゼロデイまたは未知の脅威
• ネットワークトラフィックの可視化と分析
• コード攻撃/インジェクション
• コンテンツ操作

DCIは現在、ますます複雑化するインターネットトラフィックへの対応策として、企業、サービスプロバイダー、政府機関に導入されています。DCIは、ファイルの種類とその意図を完全に理解できるという利点を有しています。これらの組織は、通常、厳格な要件を持つミッションクリティカルなアプリケーションを運用しています。^[7]

このタイプの検査は、複雑さと規模がますます増大するリアルタイムプロトコルを扱います。すべてのコンテンツを調べるというこのレベルの検査を提供する上での主な障壁の 1 つは、ネットワーク スループットへの対処です。ソリューションは、ネットワーク環境に遅延を導入することなく、この問題を克服する必要があります。また、将来の需要や、成長するクラウド コンピューティングのトレンドによって想定される需要を満たすために、効果的に拡張できなければなりません。 1 つの方法は、選択スキャンを使用することです。ただし、精度を損なわないようにするには、選択基準は繰り返しに基づく必要があります。次の特許 USPTO# 7,630,379 ^[8]は、繰り返し選択スキームを使用して、詳細なコンテンツ検査を効果的に実行する方法についてのスキームを提供しています。この特許によってもたらされた新規性は、送信前に名前が変更された可能性があるコンテンツ (例: mp3 ファイル) などの問題に対処していることです。

大量のトラフィックと情報に対処し、サービスを適用するには、非常に高速な検索が必要です。フルサービスのプラットフォームと比較しなければ、すべてのトラフィックを効果的に活用できません。ウイルスや悪意のあるコンテンツへの対応において、ソリューションがコンテンツを完全なウイルスデータベースではなく、小規模なウイルスデータベースと比較するケースがよく見られます。

• コンテンツの脅威の削除
• コンテンツの無力化と再構築