ネットワークエッジにおけるファイルセキュリティは、処理能力が追いついていなければ機能しません。セキュアWebゲートウェイが(ダウンロード、アップロード、Webコンテンツなどを通じて)通過するすべてのファイルを検査する場合、そのセキュリティ層は「透過的」である必要があります。つまり、ユーザーには目に見えず、負荷がかかっても安定した動作を維持し、コンプライアンス審査の際に問題となるような事態を引き起こさないものでなければなりません。
これらは、トラフィックの増加、アクセスポリシーの厳格化、監査範囲の拡大に伴い、管理がますます困難になる運用上の課題です。MetaDefender ICAP Server .13.0 は、そのうちの3つに直接対応しています。
インフラを増強せずにトラフィック増に対応する
チームICAP 計測を行う際、しばしば頭を悩ませる問題があります。それは、セキュアゲートウェイを経由してウェブを閲覧するたった1人のユーザーが、数十、あるいは数百ICAP 立て続けに生成してしまう可能性があるということです。画像、スクリプト、ドキュメント、ダウンロードのそれぞれが、サーバーに対して同時に送信される個別のファイル検査リクエストとなるのです。
トラフィックが中程度であれば、ほとんどの導入環境では問題なく処理されます。同時実行数が増加すると、ボトルネックは通常、データベースへの結果の書き込み、ログ出力のフラッシュ、スレッド状態の管理といった周辺処理に見られます。
同時アクセス数が多くなると、同じパイプライン内でリクエストの処理と結果の記録を行うことがボトルネックとなり、需要が最も高まるまさにそのタイミングでスループットが制限されてしまう。
MetaDefender ICAP Server .13.0 では、これらの処理が分離されました。スキャンスレッドは、スキャンが完了した瞬間にデータベースへの書き込みとログ出力を専用のバックグラウンドプロセスに引き継ぎ、直ちに次のリクエストを処理するようになりました。その結果、ハードウェアの追加やスレッドプールの拡大を行うことなく、トラフィックの増加に応じて検査スループットをよりスムーズに拡張できるようになりました。
特に該当する対象:セキュアWebゲートウェイを運用しているチーム。これらの環境では、1つのユーザーセッションから数十件ものファイル検査リクエストが同時に発生する可能性があります。トラフィック量が多いほど、この変更の影響は大きくなります。
セッションのライフサイクル全体をカバーするSSOログアウト
SAMLのシングルログアウトは、SSO実装において不備が生じやすい側面の一つです。通常、チームは信頼関係の確立、アサーションの検証、セッションの作成といった認証設定に注力します。一方、ログアウトの側面は軽視されがちであり、表面的には部分的なログアウトが正常に機能しているように見えることがあります。
この違いを理解しておく価値があります。ユーザーが、ローカルセッションのみをクリアするアプリケーションからサインアウトした場合でも、IdPのセッションは有効なまま残ります。そのセッションは、ユーザーに気付かれることなく再利用される可能性があります。ログインページに戻ったユーザーは、認証情報を再入力したりMFAを行ったりすることなく、自動的に再認証されてしまう可能性があります。ワークステーションが共有されている環境や、特権アカウントが使用されている環境では、これはユーザーの意図を超えて存続するアクセス経路となります。
MetaDefender ICAP Server .13.0 では、SAML シングルログアウト(SLO)が完全にサポートされました。サインアウト時、MetaDefender ICAP Server アイデンティティプロバイダーに直接ログアウトリクエストServer 、ソース側でセッションを終了させ、アクセスを再開する前に新たな認証を要求します。また、ログアウト後のリダイレクト動作も設定可能です。
アクセス制御監査やゼロトラストポリシーの対象となるチームにとって、これにより、セッションの終了処理が完全なSAML実装で求められる要件に準拠することになります。
スキャンログがプライバシーの懸念材料となる場合
セキュリティチームは、環境内に侵入してくるもの――つまり、ブロックされるもの、フラグが立てられるもの、レビューのためにログに記録されるもの――に注力することがほとんどです。一方、セキュリティツール自体が時間の経過とともに蓄積していくデータについては、通常、それほど注目されていません。
MetaDefender ICAP Server 、処理履歴の一部としてリクエストURLをServer 、多くの導入環境において、これらのURLには単なるファイルパス以上の情報が含まれています。通常のWebアクセス時に付加されるクエリパラメータには、GDPR、CCPA、または業界固有のプライバシー規制の対象となる、個人を特定可能なデータが含まれている場合があります。
こうした問題は、監査の際に、保存されているデータの範囲が予想以上に広いことが判明した際によく表面化します。
MetaDefender ICAP Server .13.0 では、処理履歴がストレージに書き込まれる前に、機密性の高いクエリパラメータを削除するオプションの URL マスキング設定が導入されました。
特に以下の組織に最適です:GDPR、CCPA、または業界固有のデータプライバシー規制の対象となる組織。特に、WebアプリケーションのURLにユーザーを特定できるパラメータが頻繁に含まれる組織。
Webコンソールによる詳細なログ設定
現地タイムゾーン、共通イベント形式(CEF)、製品ログ、syslog設定などの設定は、すべてWebコンソールから行えるようになりました。ファイルを手動で編集する必要はありません。
このリリースのその他の内容
セキュリティライブラリのアップグレード
PostgreSQL(v16.13)、OpenSSL(v3.4.4)、Angular(v19.2.19)、gRPC(v1.71.1)、およびCurl(v8.18.0)を更新し、製品全体にセキュリティ強化策を追加で適用しました。
履歴データのエクスポート処理の高速化
大規模なスキャン履歴データベースのエクスポート中にタイムアウトが発生する可能性がありました。この問題を解消するため、エクスポートプロセスを最適化し、大容量のデータセットでも制限に抵触することなく処理できるようになりました。これは、コンプライアンス報告やインシデント後の検証のために処理履歴に依存しているチームにとって重要な改善点です。
非標準のContent-Encodingヘッダーの処理の修正
リクエストにサーバーが認識できないエンコーディングヘッダーが含まれている場合、ファイルが予期しない状態でスキャンエンジンに到達したり、意図したとおりに検査されなかったりする可能性があります。MetaDefender ICAP Server .13.0 では、実際のトラフィックに見られる非標準のエンコーディング値への対応が追加され、一貫した検査範囲が確保されます。
お客様の環境に入るものを守るために設計されています
MetaDefender ICAP Server 、ファイルが組織内に侵入し、ユーザー、アプリケーション、またはストレージに到達する前に、ネットワークの境界でファイルをServer 。この地点こそが、脅威を最も効率的に遮断できる場所であり、信頼性やコンプライアンスの不備が最も大きな影響を及ぼす場所でもあります。
MetaDefender ICAP Server .13.0Server 、このレイヤーの信頼性をさらに高めることに重点を置いています。具体的には、高負荷下でのスループットの一貫性、SSOライフサイクル全体にわたるセッションの完全性、および保持されるデータのプライバシーを保護した取り扱いなどが挙げられます。複数のマルウェアMultiscanning 「MetascanMultiscanning 」、Deep CDR™ テクノロジー、File-Based Vulnerability Assessmentといった中核的な保護機能については、変更はありません。本リリースでは、これらの機能を支えるインフラストラクチャを強化しています
今すぐアップグレード
MetaDefender ICAP Server .13.0 がリリースされました。既存のお客様は、My OPSWAT 最新バージョンをダウンロードいただけます。詳細なリリースノートおよびアップグレード手順については、OPSWAT をご覧ください。
まだMetaDefender ICAP Serverをご利用でない方は、当社のチームまでお問い合わせください。エッジ環境におけるファイル通信をどのように保護できるかをご説明いたします。
MetaDefender ICAP Server 、ネットワーク境界において、ロードバランサー、Webアプリケーションファイアウォール、プロキシ、およびその他のICAPデバイスを横断し、ファイルベースの脅威から組織をServer 。
