Comments
Description
Transcript
はじめに - Sophos
はじめに はじめに Sophos Email Appliance にご興味をお持ちいただきありがとうございます。 このレ ビュアーズガイドでは、 メールシステム管理者が行う一般的なタスクを念頭に置き、 Sophos Email Appliance の基本機能と、 その効果や使いやすさをご紹介します。 また、 Sophos Email Appliance が誇る信頼性やメールゲートウェイ セキュリティを 支える高度なメカニズムについて詳しくご説明します。 Sophos Email Appliance は、メールゲートウェイをマルウェアやスパム から保護し、データ流出を防ぐ機能を提供するソリューションです。ウ イルス / スパム / フィッシング対策やデータ流出防止などの機能が搭載 されており、メールゲートウェイのセキュリティの確保・制御に貢献しま す。Sophos Email Security and Control のライセンスは、管理性に優れ た Sophos Email Appliance と、柔軟性の高いソフトウェア PureMessage で構成されており、お客様のニーズにあわせていずれか、もしくは両方を 柔軟に選択してご利用いただくことができます。P u r e M e s s a g e は、大規 模、複雑な環境に対応した柔軟な設定、導入が可能な PureMessage for UNIX と、Microsoft® Exchange Server® 環境を保護する PureMessage for Microsoft Exchange が提供されています。 Sophos Email Appliance は、 ビジネス、 政府、 教育機関などにセキュリティを導 入してきたソフォスの 20年以上の経験に基づいて開発されています。 また、 ソフォ スがグローバルに展開する脅威解析センター SophosLabs™ (ソフォスラボ) が 擁するウイルス/スパイウェア/スパム対策の専門知識によって、 セキュリティがいっ そう強化されます。 日々複雑さや感染力が増し続けるセキュリティ脅威も迅速に 検知・ブロックし、お客様からも高い評価をいただいております。 ライセンスにはすべて 24 時間 365 日のフルサポートが含まれており、追 加料金はいっさい不要です。サポートエンジニアは、世界各地に配置され ています。その他、ソフォスは Endpoint Security and Control、Sophos NAC Advanced などの製品をご提供しております。ライセンス体系、価格と ご利用について詳しくは、ソフォス営業部までお問い合わせください。ソ フォス製品を取り扱っている販売代理店については、以下の Web サイトを ご覧ください。 www.sophos.co.jp/products/howtobuy ES1000 または ES4000 の評価をご希望の場合は、 以下のオンラインフォームか らお申し込みください。 www.sophos.co.jp/products/enterprise/free-trials/ © Copyright 1985-2009 Sophos Plc. All rights reserved. ソフォスの社名、ロゴ、製品名、サービス名はSophosPlc.の商標または登録商標で す。その他記載されている会社名、製品名は各社の商標または登録商標です。 1 レビュアーズガイド : Sophos Email Appliance 2 目次 目次 1: 概要 4 管理機能の特長 5 主な機能と特長 6 2: 製品の機能 7 概要 7 ソフトウェアの構成 7 DLP ( データ流出防止 ) 14 まとめ 14 3: 設定 15 概要 15 設定 15 ディレクトリサービスの設定 15 エンドユーザーの環境設定 16 ポリシー 17 4: アプライアンスの管理 23 概要 23 ステータスの確認 23 アップデート 24 バックアップ 25 隔離エリア 26 高度なメール検索機能 26 エンドユーザーの環境設定 28 5: レポート機能 30 概要 30 ダッシュボード上のレポート 30 レポート ページ 31 詳細レポート 32 6: サポート 34 マネージド アプライアンス 34 保証 36 24 時間 365 日のサポート 36 付録 I: デフォルトのポリシー設定 37 付録 II: ハードウェアの仕様 38 3 レビュアーズガイド : Sophos Email Appliance 1: 概要 Sophos Email Appliance は、 メールを通じたマルウェア感染、 フィッシング、 データ 漏えいやスパムを阻止するメールゲートウェイ ソリューションです。 マネージド アプ ライアンス (管理性の優れたアプライアンス) というコンセプトに基づいて設計されて おり、 マネージド サービスさながらの使いやすさと、 自由なコントロール・可視性を 兼ね備えています。 ES1000、 ES5000、 ES8000 は堅牢なハードウェアプラットフォー ム上に実装されており、 エンタープライズのメールネットワークにふさわしい性能・ 容量・可用性を実現します。 処理容量 : ES1000: 毎時最高 5 万件のメールを処理 ES5000: 毎時最高 38 万件のメールを処理 ES8000: 毎時最高 55 万件のメールを処理 Sophos Email Appliance は、以下の機能を備えています。 高度な脅威検知テクノロジー : Sophos Email Appliance には、 SophosLabs ( グロー バルに展開するソフォスの脅威解析センター) が開発した先進のテクノロジーが搭 載されています。 ソフォスの技術は調査機関やメディアから多数のアワードを受賞し ており、 業界でも高く評価されています。 SophosLabs は多彩なテクノロジーを用い てスパムルールのチューニングを行い、 数分ごとに最適な対策を自動配信してより 的確で高精度な検知を実現します。 Sender Genotype (遺伝子型送信者検知) テクノロジーは、 ボットネット特有の振る 舞いをプロアクティブに検知して、 IPブロックリストにまだ記載されていない未知の スパマーからのメールもスキャン前にブロックします。 また、 SXL テクノロジーは、 SophosLabs によるリアルタイムスキャンを実現します。 SophosLabs が持つ最新か つ豊富な情報を活用して、より迅速な保護対策を実現します。 データ流出防止: 機密情報の漏えい防止やコンプライアンスの遵守に役立つパワ フルな機能を備えています。 たとえば、 ウィザードを使って、 受信/送信メールお よび添付ファイルの監視ルール (メールに含まれる語句、 ファイルの種類、 サイズ など) をすばやく簡単にカスタマイズできます。 また、 TLS 暗号化を適用してメー ルを送信し、 特定の受信者しか読めないようにすることができます。 さらに、 他社 製の暗号化ツールと統合することもできます。 監視・警告機能 : ソフォスのアプライアンスには、 監視・警告機能が組み込まれ ており、迅速な問題解決に役立ちます。メール送受信のピーク時でも、40 種以 上の条件を常時監視し、 これらの条件に適合した場合、 システム管理者とソフォス の両方に警告が通知されます。 このため、 問題に迅速に対処することができます。 必要に応じて、 ソフォスにリモートアシスタンスやトラブルシューティングを要請する こともできます。 管理コンソール: 使いやすい Web ベースの管理コンソールが備わっています。 こ れを使えば、 管理作業の負担が軽減されるとともに、 メール インフラストラクチャを きめ細かく把握・制御できます。 また、 3回以下のクリックでどの管理画面にも到 達できます。 このため、 システム管理者は、 必要な情報にすばやくアクセスして、 システムパフォーマンスや今後の容量要件について適切な判断をすることができ ます。 4 効率的なメール保護 Sophos Email Appliance では、 管 理タスクを最小限に抑えながら、 最高級のメールのセキュリティを実 現します。 1: 概要 管理機能の特長 Sophos Email Appliance のメール管理機能には、以下の特長があります。 • あらゆる管理作業を Web ベースのコンソールから実行できます。 3回以下の クリックでどの管理画面にも移動できます。 • ウイルス/スパム対策ポリシーや、 メール本文/添付ファイル管理ポリシーを 簡単に設定できます。 多数アワードを受賞した 保護機能 ソフォスのセキュリティ技術は、 ICSA、West Coast Labs、Veritest、 eVision IT Labs、 av-test.org など数 多くの独立系テスト機関や、IT PRO や SC Magazine など主要な雑誌か ら、 一貫して高い評価を得ています。 • TLS 暗号化やカスタム証明書をサポートしており、 管理コンソールやエンド ユーザー向け Web インターフェースにセキュアにアクセスできます。 • 充実したフォレンジック (メール分析) 機能を搭載。 隔離エリア、 メールログ、 メールキューにアクセスできます。 • クリックするだけの簡単操作で、 最大 10台のアプライアンスをクラスタリング できます。 • Microsoft Active Directory® やその他の LDAP システムと連携動作するため、 設定、ポリシー施行、認証が簡単にできます。 • エンドユーザーが、 隔離ダイジェスト メールまたは Web インターフェースを通 じて、隔離されたメールを自己管理できます。 • 組織共通またはユーザーごとの許可/ブロックリスト (ホワイトリスト/ブラックリ スト ) を設定できます。 • ソフトウェアアップデート機能や警告機能が、 ハードウェアに組み込まれてい ます。 • プロアクティブなステータス監視機能を搭載しています。 • 必要に応じてリモートアシスタンスを利用できます。 • 2ユニット構成のアクティブ/パッシブ型クラスタにより、 フェールオーバーを サポートします。 5 レビュアーズガイド : Sophos Email Appliance 主な機能と特長 主要機能 特長 プ ラ ッ ト フ ォ ー ム 既存のメール インフラストラクチャへの追加が簡単です。 非依存 高 度 な ス パ ム / マ ル SophosLabs が提供する最新のスパム / マルウェア対策を ウェア検知機能 利用できます。 多数アワードの受賞経歴も誇ります。 Genotype ( 遺伝子型 ) 特定のシグニチャが提供されていない新種の脅威でも高精 テクノロジー 度にブロックします。 Behavioral Genotype 悪質なコードを実行前に検知 ・ ブロックします。 Protection ( 振る舞い検 出型遺伝子脅威検知 ) DLP ( デ ー タ 流 出 メールの本文を詳しくスキャンしたり、 TLS 暗号化を使用す 防止 ) ることによって、 情報漏えいを防止できます。 S e n d e r G e n o t y p e ボットネットをプロアクティブに検知します。 従来から提供して ( 遺伝子型送信者検知 ) いるレピュテーション フィルタリングと組み合わせることによ り、 最高 90% のスパムをコンテンツ解析前にブロックします。 SXL テクノロジー SophosLabs の擁する最新 ・ 豊富なスパム対策情報にア クセスして、 刻々と姿を変えるスパムキャンペーンも検知し ます。 高精度スパム検知 99% 以上のスパムを検知。 フィッシングなどの詐欺メール もブロックします。 高精度を維持し、 誤検知率はごくわずか です。 高可用性 ホットスワップ可能な冗長ハードドライブ / 電源を備えており、 長時間連続して使用できます (ES1000 を除く )。 高性能 ・ 大容量 1U ラックとコンパクトサイズながら、 最大の処理量・ストレー ジ容量を実現します。 コンプライアンス対応 社内規定やコンプライアンス要件を自由にポリシーに組み 込めます。 暗号化対応 TLS 暗号化を採用しています。 複数言語に対応 スパムやウイルスの防止機能が複数言語に対応しているた め、 グローバル企業で活用できます。 自動アップデート グローバルな脅威解析センター、 SophosLabs が提供する 最新アップデートを自動ダウンロードできます。 エンドユーザーによる エンドユーザーが自ら隔離メールを管理したり、許可 / ブロッ 自己管理 クリストを使用できるため、 管理者の負担が軽減されます。 充実したサポート 6 24 時間 365 日のテクニカルサポートを電話またはメールに て提供します。Web のサポートデータベースも利用できます。 2: 製品の機能 2: 製品の機能 概要 Sophos Email Appliance の ES1000、ES5000、ES8000 は、既存のネットワーク構 成に簡単に追加・導入できるゲートウェイセキュリティソリューションです。 どちらとも OS が内蔵されているため、 導入にあたって UNIX、 Linux、 Solaris などのサーバー プラットフォームに関する専門知識は不要です。 䮜䭨䭫䭩䭭䭰䯃䮲 䮨䯃䮲䭼䯃䮗䯃 Sophos Email Appliance ␠ᄖ ␠ౝ 図 1: Sophos Email Appliance の導入例 Sophos Email Appliance はゲートウェイアプライアンスとして DMZ に設置します。 DMZ とは、 ネットワークのファイアウォール内、 メールサーバーより上位の中立ゾー ンを指します。 この章では、 Sophos Email Appliance のソフトウェア アーキテクチャについて概説 するとともに、社内のメールセキュリティやポリシーについて考察します。 ソフトウェアの構成 Sophos Email Appliance のソフトウェアは、 主に以下の 5つの要素から構成され ています。 1 FreeBSD OS ( 最適化済み ) 2 高性能メールフィルタリング システム - Postfix MTA (Mail Transfer Agent) - スパム検索エンジン - ウイルス検索エンジン - Sender Genotype (遺伝子型送信者検知) テクノロジー: 予防型の接続管理 - ポリシーエンジン 3 管理コンソールとダッシュボード 4 隔離エリア 5 監視・警告・通知システム 7 レビュアーズガイド : Sophos Email Appliance FreeBSD OS ( 最適化済み ) Sophos Email Appliance には、 ハードウェアプラットフォームおよび内蔵ソフトウェ アに合わせて最適化された FreeBSD OS が搭載されています。FreeBSD は、高 い安定性・信頼性を備えているほか、 ネットワーク上での使用に適したスピードや パフォーマンスを実現します。 ハードウェアの仕様について詳しくは、 付録 II をご 覧ください。 図 2: 受信/送信メールをスキャン 高性能メールフィルタリング システム メールフィルタリング システムの機能は以下のとおりです。 メモ 受信メールトラフィック Sophos Email Appliance は、 既知 のウイルスに感染したメールは送受 信ともに必ず阻止し、 隔離エリアに 閉じ込めます。 • MTA がメールゲートウェイで受信メールをキャッチします。 • メールと添付ファイルをスキャンして、 スパムやウイルスが含まれていないかどう かや、 フィルタリング ポリシーの条件に触れないかどうかをチェックします。 • 規定の検査・アクションをメールに適用します。 • 問題がなければメールを配信します。 問題が検知された場合は、 ポリシーに 従って隔離または破棄します。 送信メールトラフィック • 送信メールを、 メールサーバーから Email Appliance にルーティングします。 • メールと添付ファイルをスキャンして、 ウイルスが含まれていないかどうかや、 フィ ルタリング ポリシーの条件に触れないかどうかをチェックします。 • 規定の検査・アクションをメールに適用します。 • MTA 経由でメールを外部に送信します。問題が見つかったメールは隔離し ます。 初期設定時は、 メールポリシーやアクション、 送信メールの TLS 暗号化などにつ いて、 デフォルト設定を使用できます。 このデフォルト設定は、 Web 形式の管理 コンソールを使っていつでも変更できます。 また、 検査やアクションの設定をカス タマイズすることも可能です (詳しくは、 第 3章の 「ポリシー」 を参照してください)。 8 2: 製品の機能 メール配信オプションには以下のものがあります。 受信 / 送信メールのオプション • 配信を続行 • すぐに配信 • 拒否 ( 送信メールのみ ) • 隔離 • 隔離エリアにコピーしてから配信 • 隔離エリアにコピーしてから、 添付ファイルを取り除いて配信 • 件名にタグを付与して配信 • 破棄 • 転送 3回以下のクリックで どの画面にでも到達可能 3回以下のクリックで、 管理コンソー ルのどの画面・機能にでも到達でき ます。 また、 コマンドラインからの操 作はいっさい不要です。 • 注意フラグの追加 • ヘッダの追加 / 置換 • 通知 • 再ルーティング • コピー 管理コンソールとダッシュボード システム管理者は、 Web 形式のセキュアな管理コンソールを使って、 以下の管 理操作を行えます。 • システムやネットワークの設定 • アプライアンスのクラスタ化 (最大 10台)、 および既存のクラスタへのアプラ イアンス追加 • スパム / ウイルス対策ポリシーやメールコンテンツ ポリシーの設定・管理 • システムステータスの監視、および異常の診断 • 隔離エリアの管理 •「必要なのに届かない ( ロスト )」 メールを、 メールログ、 キュー、 隔離エリ アから検索 • リアルタイムのレポート生成 • 管理タスクの分担、およびエンドユーザー向けインターフェースの調整 • 2 ユニット型フェールオーバー構成の設定・管理 図 3: 管理コンソールのダッシュボード 管理コンソールのトップページには、 ダッシュボード (図 3) が表示されます。 こ のダッシュボードには、 システム全体のパフォーマンスの概要がわかりやすく示さ れます。 このダッシュボードを使って、 保護ステータスを判断したり、 メールフロー やメールサイズを確認して、 システムを常に利用可能な状態に保つことができま す。 Email Appliance のパワフルかつ使いやすい管理機能について詳しくは、 第 4 章を参照してください。 9 レビュアーズガイド : Sophos Email Appliance クラスタリング 複数のアプライアンスをクラスタリングして、処理容量、可用性、管理性を向上する ことができます。 処理容量: アプライアンスを簡単に追加して、メールトラフィックの増大に 対応できます。この際、管理作業の煩雑化を回避できます。 可用性: クラスタリングによって、メール処理を冗長化できます。つまり、 クラスタ内のいずれかのアプライアンスが故障した場合でも、他のアプライ アンスによってメール処理が続行されます。また、FTP 設定のバックアッ プ、ディレクトリサービスの同期、エンドユーザー用隔離エリアなどの機能 も継続して利用できます。 管理性: クラスタ内の全アプライアンスを集中管理し、ダッシュボード、レ ポート、隔離エリア、ログ、キューなどの情報をまとめて表示することがで きます (アプライアンスごとに表示することもできます)。エンドユーザー 用の隔離ダイジェストメールと Web インターフェースも、単一のアプライ アンス環境と同様に使用できます。 隔離エリア 隔離エリアには、 不要なメールや危険性を孕んだメールが保管されます。 セキュ リティポリシーに従っていないメール (ウイルス、 スパムや、 特定の語句/内容を 含むもの) は、 隔離エリアに送信され、 システム管理者がチェックします。 同時に、 送信先にそのまま配信したり、 送信元に送り返したりすることもできます。 隔離エリ アのメールチェック担当者は、 それらのメールを配信するか、 破棄するかを選択で きます ( ただし、ウイルスを含むメールは配信できません )。 内蔵ストレージ 内蔵の隔離エリアには、数百万件のメールを保管できます。Sophos Email Appliance の隔離エリアは、 別のサーバー上ではなく、 アプライアンス自体に内蔵 されているのが特長です。 そのため、 外部ストレージや、 隔離エリア管理システム、 インターフェースを別途購入する必要がありません。 隔離エリアへアクセスするに は、ほかの管理タスクと同じ管理コンソールを使用できます。 管理タスクの分担 「ヘルプデスク」 アカウントを作成して、 隔離エリアの管理権限のみを他のユーザー に割り当てることができます。 このヘルプデスク担当者が、 ロストメールや受信でき なかったメールに関する社内からの問い合わせに対応することによって、 システム 管理者の負担を減らすことができます。 また、隔離されたメールを閲覧する権限を、送信先 / 送信元のエンドユーザー に与えることができます。 これには、 隔離ダイジェスト メールまたは Web インター フェースを使用しますが、 どちらの場合でも、 閲覧できるのは該当ユーザが送受 信したメールのみです。 エンドユーザー向けの Web インターフェースを適切に設 定すれば、 エンドユーザーが自分用の許可/ブロックリストを設定したり、 スパム チェック機能を無効にすることもできます。 監視、 警告、 通知 セキュリティをシンプルに 実現 アプライアンスからの警告がない限 Sophos Email Appliance は、 日々の管理作業の負担ができるだけ軽減されるように り、特別な操作は不要です。 設計されています。 自動メンテナンス機能や、 40種類以上もの項目を常時チェッ クする監視システムが搭載されているため、 管理上の負担を最小限に抑えながら、 高いパフォーマンスを得ることができます。 すばやい対応 システム異常が発生すると、システム管理者に警告メールが送信されます。 10 2: 製品の機能 また、管理コンソール上の、システム状態を示す主インジケータの色が変 化します。ソフォスからのリモートアシスタンスが必要な重大な問題が発 生した場合は ( 電源ダウンなど )、ソフォスに対しても警告が送信されま す。ミッションクリティカルな状況では、システム管理者より先にソフォ スが対処することもあります ( 交換用電源の出荷など *)。 さらに、 アプライアンスがスケジュールどおりにウイルス定義ファイルやソフトウェ アアップデートをダウンロードしているかどうかを確認する、 画期的なリモート監視 機能を備えています。 ダウンロードやアップデートが実行されていない場合は、 システム管理者に警告が通知されます。 15分以内に 3回この問題が発生した場 合は、 ソフォスのサポートにも自動通知されます。 また、 この状態が 2時間以上 継続した場合は、ソフォスのサポートが電話でご連絡します。 スパム対策 ソフォスの製品には、 業界最先端の検知テクノロジーが搭載されており、 独自の 方法でスパムを特定します。 このテクノロジーを支えるのは、 24時間 365日体制 でサポートを提供する SophosLabs です。 SophosLabs が世界中に張り巡らせたス パムトラップで 1日 数百万件のメールがチェックされ、 グローバル規模のメールト ラフィックが詳しく調べられます。 この情報に基づき、 スパムのレベルが 「高」 と 「中」 のいずれかに分類されます。 このカテゴリごとに、 デフォルトの処理ルール が用意されています。 このデフォルトルールをそのまま使用するか、 ルールを独 自に設定することも可能です。 このように、 ソフォスが確立した高度なスパム対策 を簡単に利用できるため、 システム管理者はその他の業務に専念することができ ます。 高いスパム阻止率 Sophos Email Appliance では、 メー ルゲートウェイで最高 99.4% のスパ ムを検知します。 eVision IT Labs調査 (2007 年 10 月 ) レピュテーション フィルタリング スパムやマルウェアのスキャンを実行する前に、 まず Sender Genotype (遺伝子型 送信者検知) 機能によって、 IP レピュテーション フィルタリング、 およびボットネッ トのプロアクティブな検知を行います。 この際、 ボットネット特有の振る舞いを検知 し、 IP レピュテーションでは特定できないスパムも阻止します。 さらに MTA で特 定の IP 範囲に属する既知のスパマーをブロックします。 これらのテクノロジーによ り、 最高 90% のスパムをスキャン前に阻止できるため、 メールの処理効率が大幅 に向上します。 これらの処理を実行するために、 既存のインフラストラクチャを変 更する必要はありません。 また、 MTA を通過した後、 スキャン直前にレピュテーショ ン フィルタリングを実行することもできます (スキャンについては下記参照)。 レピュ テーション フィルタリングで検知されたスパムは、 他の検査でスパムと判断された メールと同様、規定のセキュリティポリシーに従って処理されます。 Sophos Email Appliance のスキャンエンジンには、数百種の検査を組み合 わせた多様なフィルタリング手法が組み込まれており、高度なフィルタ突破 テクニックを持つスパムも検知します。たとえば、『Viagra ( バイアグラ )』 という文字列を、560 億通り以上のあらゆる表記方法に基づいてスキャン します。スパムインジケータがトリガされると、そのメールのスパムスコア ( メッセージがスパムである可能性をパーセンテージで示した値 ) に反映 されます。メールヘッダや、構成、本文、URI (Web ページ、メールアドレス、 *ES5000 および ES8000 のみ 11 レビュアーズガイド : Sophos Email Appliance ファイル名へのリンクなど ) も同様に数千の条件に基づいてスキャンされま す。 スパム検知テクノロジーには以下のものがあります。 • 既知の脅威に対するセンサー: ユーザーを騙して個人情報や口座情報を聞き出 そうとするフィッシングなどの詐欺から守ります。 • Sender Genotype (遺伝子型送信者検知): IP 接続レベルでボットネットを検 知します。 • Genotype (遺伝子型) 検知: 一連のメッセージに共通する特性を認識するこ とにより、 複雑なスパムキャンペーンも検知します。 (スパムキャンペーンとは、 同一のメッセージ (製品の広告など) を伝えるために多様な形態で配布される 一連のスパムです。) • 有害コンテンツを検知するセンサー: アダルト系などの有害なコンテンツを検知し ます。 • 「指紋」認証技術: 画像ファイルや、 PDF や Excel などの一般的な形式の添付ファ イルに含まれるスパムを検知・阻止します。 • スパマー特性によるトラッキング : 広告 Web サイトの運営元を特定したり、 未 承諾メールをブロックします。 • 移動先 URI に基づくフィルタリング : ハイジャックされた Web サイトや、 freeweb、広告 Web サイトへのメッセージ送信をブロックします。 • フィルタ突破テクニック センサー: スパムに組み込まれたスパムフィルタ突破テ クニックを検知します。 ソフォスの SXL テクノロジー Sophos Email Appliance を含む Sophos Email Security and Data Protection ソリュー ションには、 SXL テクノロジーが搭載されているのが特長です。 このテクノロジーに より、 SophosLabs がネットワークからリアルタイムで収集するスパム情報に基づき、 最 新のスパム対策が適用されます。 SXL サーバーには、 SophosLabs からの最新情 報はもちろんのこと、 現在蔓延していない過去のスパム情報もそのまま保存されて います。 ボットネット IP や URL を含む過去からのスパム情報は増え続ける一方で すが、 SXL テクノロジーでは、 各アプライアンスのストレージ領域を占領することなく、 これらの増大し続けるスパム対策情報を利用できます。 SophosLabs は、 ネットワークに張り巡らせたスパムトラップを通じて、 メールフロー を継続的に解析しています。 それに基づく保護データが SXL サーバーに送信さ れ、 アプライアンスが数分おきに自動アップデートされます。 このため、 システム管 理者が手動操作を行わなくても、スパム対策を常に最新の状態に保てます。 また、DoS 攻撃 (Denial of Service) や DHA 攻撃 ( ハーべスティング攻撃 : Directory Harvest Attacks) を自動的にブロックする機能もあります (デフォルトで有 効になっています)。 この機能を使うと、 受信メールトラフィックを制御して、 これら の攻撃をブロックすることができます。 スパム設定のカスタマイズ 12 2: 製品の機能 Sophos Email Appliance では、許可リストとブロックリストを使って、受 信メールポリシーをきめ細かく制御できます。 許可リスト: 安全だとわかっている送信元アドレスやドメインのリストを編集できま す。 信頼できる送信元アドレスやドメインを許可リストに追加すると、 必要なメー ルが間違ってブロックされなくなるのはもちろんのこと、 疑わしいメールだけが検 査の対象となるためフィルタリングが効率化されます。 許可リストは、 組織全体ま たは特定のユーザーに適用できます。 ブロックリスト: 危険もしくは不要な送信元アドレスやドメインを記述します。 ブロッ クリストに追加されたアドレスは必ずブロックされ、 スキャンの対象外となります。 このため、 スループットやパフォーマンスが向上します。 ブロックリストは、 組織 全体または特定のユーザーに適用できます。 個々のエンドユーザーは、 スパムチェックを無効にできますが、 ウイルスチェック は無効にできません。 ウイルス対策 一般に、企業内への最大のウイルス流入経路は、メールです。したがって、メー ルゲートウェイを導入して、 その保護機能を継続的に更新し、 企業全体のセキュ リティを守ることが、 最も基本的かつ重要なセリュリティ対策となります。 Sophos Email Appliance には最先端のウイルス検索エンジンが組み込まれており、 メー ルを介して侵入しようとするウイルスをブロックします。 ゼロデイ攻撃を阻止 新種のインターネットワームなども、 対策が提供される前にブロックする ことができます。 Sophos Email Appliance では、 メールサーバーを通過するメールトラフィックがす べてリアルタイムでチェックされ、 ウイルス、 スパム、 DoS 攻撃など多様な手法を 組み合わせた最新の脅威や、 大量配信されるメールワームやウイルスを阻止し ます。 ゼロデイ攻撃を阻止 SophosLabs の解析に基づく最新・プロアクティブな保護機能により、 ゼロデイ攻 撃や突発的なウイルスも阻止できます。 亜種のウイルスを検知する Genotype (遺 伝子型) テクノロジーを採用しており、 まだ対策が提供されていない新種の脅威 も、 高精度でブロックします。 また、 メールに添付されている実行形式ファイルに 悪質なコードが含まれていないかどうかを自動チェックするほか、 ポリシーに従っ てメールを適切に処理します。 ぺリメータ プロテクション ( トラフィック異常のチェック ) DoS 攻撃 (Denial of Service) や DHA 攻撃 ( ハーべスティング攻撃 : Directory Harvest Attacks) は、組織内のシステムやゲートウェイシステ ムに過負荷をかけることを狙ったセキュリティ脅威です。これらの脅威を 阻止するために、Sophos Email Appliance では、全体的なメール量や特定 の送信元からのメール量が正常時に比べて上回っていないかなど、メール 13 レビュアーズガイド : Sophos Email Appliance トラフィックの異常パターンを検知します。この監視機能により、DoS 攻撃 や DHA 攻撃も適切に検知・対処することができます。 DLP ( データ流出防止 ) 情報の漏えいを通じて、機密保持違反、法的責任、業務の中断、企業イメージ の低下などが発生すると、 企業が多大な損失を被る恐れがあります。 企業をとりま く規制は複雑さを増す一方ですが、 これに対応するためには、 適切なポリシーや 手順を確立・監視・施行して、 エンドユーザーとインフラストラクチャの両方に適 用し、社内の情報を保護する必要があります。 Sophos Email Appliance では、 明確なポリシーを施行して、 ゲートウェイを通過す る送受信メールを制御します。 管理者は、 管理コンソールを使って多様なポリシー を設定できます。 企業が施行する標準的なコンプライアンスは、 以下のとおりです。 • 既知の不正な送信元からのメールを拒否する • 許可リストとブロックリストを設定する ( 共通または個人用 ) • 嫌がらせや攻撃的な文面を含むメールを隔離する • 特定の語句や添付ファイルを含むメッセージを隔離・チェックし、 知的所有権 に関わる情報や機密情報の漏えいを防止する • 安全性が確認されていないメールのヘッダ/フッタに注意フラグを付与する • メールの本文に基づき、メールを転送する • 疑わしいトラフィックを監視・ログし、システムの不正使用を検知する デフォルトのポリシー設定については、 付録 「 I デフォルトのポリシー設定」 を参 照してください。 継続的な脅威解析 グローバルに展開する脅威解析セ ンター SophosLabs™ (ソフォスラボ) Sophos Email Appliance は、 管理タスクが自動化されている一方で、 自由なコント が、24時間 365日体制で、新種の脅 ロール性も備えており、 企業のメール管理要件に適切に対応できます。 たとえば、 威を解析・検知します。 まとめ 最新のウイルス定義ファイルが自動的にアップデートされるため、 日々の管理作 業の負担が軽減されます。また、非常事態が発生した場合は警告が通知され、 詳しい情報に基づいて適切な対処を施すことができます。 さらに、 Sophos Email Appliance には、 グローバルに展開する SophosLabs の幅 広いテクノロジーが活かされています。 SophosLabs の特長には、 新種の脅威の 迅速な分析、 多様な検知テクニック、 ウイルス定義ファイル/ポリシーの効率的な アップデート、 脅威が発生してから解決するまでの完全管理などがあり、 これらに より、プロアクティブな保護を実現できます。 Sophos Email Appliance のメリットは、以下のとおりです。 • 新種 / 亜種のウイルスやスパムキャンペーンを高精度でブロック • 管理者の負担を大幅に軽減 • メール インフラストラクチャ全体の保護 14 3: 設定 3: 設定 概要 この章では、 Sophos Email Appliance でのディレクトリサービスの設定や、 エンドユー ザーの環境設定、 デフォルトのポリシー設定など、 基本的なセットアップ方法につ いて説明します。 なお、 設定ガイドに代わるものではなく、 本製品の使いやすさ を示すことを目的としています。 設定 Sophos Email Appliance の設定は、 非常に簡単です。 セットアップウィザードを使っ すばやく簡単にセットアップ て、 わずか 15分以内で基本的な設定を行い、 メールスキャンを有効化できます。 便利なウィザードが備わっており、 15分以内でセットアップし、 使用を 設定カテゴリについては、 図 4 をご覧ください。 管理者は、 管理コンソールから、 開始できます。 これらの設定をいつでも変更できます。 図 4: 最初の設定ページ ディレクトリサービスの設定 「Directory Services」の「CONFIGURATION」ページでは、LDAP の設定を自 動検出・インポートしたり、 手動で設定できます。 Sophos Email Appliance にはロー カルで Active Directory が搭載されているため、 Active Directory サーバーがダウ ンしたときでも、引き続き使用できます。また、定期的に自動同期して、常に最 新データが反映されます。 ユーザーグループは、手動で設定するか、LDAP を使って設定できます。 “ “ Sophos Email Appliance は、 Microsoft Active Directory® などの LDAP と密接に 連携しているため、 ユーザーやユーザーグループを迅速に設定できます。 また、 受信者の検証や、 特定のユーザー / ユーザーグループへのメールポリシーの適 用も簡単です。 あっという間にセットアップできまし た。 開梱のほうに時間がかかった ぐらいです。 マウント・プレザント学区 教育事務局 Noe Arzate 氏 15 レビュアーズガイド : Sophos Email Appliance 図 5: ディレクトリサービスの設定 エンドユーザーの環境設定 メールユーザーのセットアップや環境設定も簡単に行えます。 LDAP を利用して メールユーザーをセットアップしてから、 以下の環境設定オプションをすばやく指 定できます。 • 認証 • 許可リストとブロックリスト • 隔離ダイジェスト メールや Web インターフェースを通じた、 隔離エリアへのア クセス • ユーザーインターフェースの言語 • メールの配信頻度 • スパムチェックの無効化 エンドユーザーによる隔離エリアへのアクセスの設定については、 第 4章 「アプ ライアンスの管理」の「エンドユーザーの環境設定」をご覧ください。 図 6: エンドユーザーの環境設定 16 3: 設定 ポリシー Sophos Email Appliance は、 管理タスクを最小限に抑えながら、 セキュリティを最 大化できるように設計されています。 ソフォスの豊富な経験に基づき、 デフォルト のポリシー設定を提供します。 このため、 試行錯誤しながらポリシーを設定しなく て済みます。 ポリシーをカスタマイズする必要がある場合は、 管理コンソールを使っ て簡単に設定できます (ポリシーウィザードの画面は、 次頁以降を参照してくださ い )。 ウイルス対策ポリシー ウイルスが含まれている可能性のある受信メールは、 以下に分類され、 その種類 ごとに管理できます。 • ウイルス • スキャンできない添付ファイル • 暗号化された添付ファイル • 疑わしい添付ファイル 受信メールと送信メールのそれぞれについて、 最大 20種類のルールとアクション を使用できます。 たとえば、 攻撃的なメールを検知して人事部に通知したり、 特 許情報を含むメールを検知して法務部に通知したり、 注意フラグを追加したり、 ヘッ ダを編集するなど、 多様なアクションを設定できます。 これにより、 企業のメール 使用規定を正確に反映させたポリシーを施行できます。 デフォルトのポリシー設定のリストについては、付録 I をご覧ください。 図 7: ウイルス対策ポリシーのページ 17 レビュアーズガイド : Sophos Email Appliance スパム対策ポリシー デフォルトでは、 明らかなスパムメールやスパムスコアが高いメールは、 破棄さ れます。スパムスコアが中程度のメールは、隔離されます。これらの設定は、 Active Directory グループやカスタムリストに従って変更できます。 図 8 は、 スパム対策ポリシーを設定する最初のページです。 このページから、 最大 20 種類の スパム対策ルールを作成・管理し、 企業のセキュリティ要件を 反映させることができます。 図 8: スパム対策ポリシーのページ メールコンテンツのポリシー 社内規定や法的規定に触れる恐れのある内容がメール本文に記述されていること があります。 これを防ぐために、 適切なメール使用ポリシーを施行することは非常 に重要です。 Sophos Email Appliance では、 メール本文および添付ファイルをス キャンして、 攻撃的な言葉や特定のキーワードが含まれてないかどうかや、 ファイ ル タイプをチェックすることができます。 これにより、 メールの内容をきめ細かく制 御することが可能です。 ポリシーウィザード (図 9 を参照) を使用して、 添付ファイルの種類や内容などを 監視するルールを最大 40個作成できます (正規表現やワイルドカード文字も使 用できます )。 18 3: 設定 図 9: 送信メールコンテンツ ポリシーのカスタマイズ 設定可能なアクションの種類は以下のとおりです(受信/送信メールの両方、および すべてのフィルタリングポリシーで使用可能)。 • 配信を続行 • すぐに配信 • 破棄 • 隔離 • 隔離エリアにコピーしてから配信 • 転送 • 件名にタグを付与して配信 • 再ルーティング • コピー いったんルールやアクションを設定したら、ActiveDirectoryサーバーやカスタムリ ストの情報に基づいて、ユーザーやユーザーグループに適用できます。一部のユ ーザーやグループを除外することも可能です。また、不適切な内容を含むメール を、コンプライアンス管理者などの特定のメールアドレスにCC、BCC、転送したり、 送信先/送信元にCCしたり、注意メッセージを追加することもできます。さらに、注 意フラグ (カスタマイズ可能) をメールの上部や下部に追加することもできます。 アプライアンスや下位サーバーのディスク容量がいっぱいにならないように、メール サイズの上限 (2MB~50MB) を設定することもできます。 19 レビュアーズガイド : Sophos Email Appliance 手順 1: ルールの記述 コンテンツ ルールの種類を、バ ナー、キーワード、添付ファイル、 言語、 注意リスト、 ホスト名/IP アド レスリスト、 メール属性 (サイズなど) から選択します。 手順 2: ルールの設定 ルールの詳細を指定します。 たとえ ば、直前の手順でキーワードを選 択した場合は、このページでキー ワード リストを編集します。 手順 3: メールの属性 サイズなど、 その他のメッセージ属 性を指定します。 手順 4: ユーザーとグループ ルールを適用するユーザーやグ ループを指定します。送信元と送 信先それぞれについて指定でき ます。 20 3: 設定 手順 5: 主なアクション ルールに一致したときに実行するア クションを指定します。 選択可能な アクションについては、 11ページを 参照してください。 手順 6: その他のアクション 注意フラグの追加や、ヘッダの編 集、 通知設定などのアクションを指 定できます。 手順 7: ルールの命名 ルールに名前を付け、すぐに有 効にするかどうかを指定します。 ル ー ル の 有 効 化 や 優 先 順 位 は、 ポリシーのメインページでも指定で きます。 21 レビュアーズガイド : Sophos Email Appliance 図 10: クラスタにアプライアンスを追加 クラスタリング アプライアンスを複数設置する場合は、 インストールウィザードのクラスタリング設 定画面で、 既存の設定済みアプライアンスのホスト名または IP アドレスを入力し、 「join」をクリックします。設定はすべて自動的に同期されます。 まとめ Sophos Email Appliance では、 ウイルス、 スパム、 メールコンテンツ用のデフォ ルトのポリシー設定を提供しています。 また、 必要に応じて、 これらのポリシーを 簡単にカスタマイズできます。 ソフォスのアプライアンスは、 基本的なスパム/マ ルウェア対策から、 情報流出防止などの高度な機能まで、 エンタープライズの幅 広いニーズに対応するメール セキュリティ製品です。 また、 優れた管理性を備え ているのも大きな特長です。 22 4: アプライアンスの管理 4: アプライアンスの管理 概要 Sophos Email Appliance では、 メールゲートウェイの管理・制御操作が非常に簡 単です。 管理タスクのほとんどが自動化されているため、 非常事態が発生したとき 以外は、ほとんど手間がかかりません。 ソフォスは、 「マネージド アプライアンス (管理性に優れたアプライアンス)」 という 概念を提唱しています。 つまり、 アプライアンス (またはソフォス) から警告や通知 が届かない限り、 すべて正常に動作していると想定でき、 特別な管理操作は不要 です。 何らかの注意が必要なときのみ通知が送られるため、 通常は、 安心してそ の他の業務に集中できます。 Sophos Email Appliance では、 40種類以上のセンサーが密接に連携動作します。 これらのセンサーによって問題が検知されると、 ダッシュボードやメールで警告が 通知されます。 これを受け取ったシステム管理者は、 管理コンソールにログインし てシステムステータス ボタンをクリックするだけで、 現在の状況や、 推奨される解 決手順をすばやく確認できます。 システム管理者の負荷を軽減 40以上のセンサーが常時監視を行 うため、システム管理者の手間が 省かれます。 この章では、システム管理者の日常的な管理タスクを概説します。 ステータスの確認 管理コンソールにログインすると、 右上に常にシステムステータス インジケータが 表示されます (図 11を参照)。 このインジケータにはアプライアンスの総合的なス テータスが色で表示され、正常時は緑、一時的や小規模な問題の場合は黄色、 重大な問題の場合は赤になります (重大な問題の場合は、 担当者およびソフォス に警告メールが送信されます )。 図 11: 管理コンソールでシステムステータスをチェック 23 レビュアーズガイド : Sophos Email Appliance このインジケータをクリックすると、 システムステータス ページに移動します。 この ページには、以下の詳細情報が表示されます。 • メールフロー : メール送受信量、 ブロックされたメール / スパム / ウイルス • 隔離エリア : メール格納用の内蔵ディスクサイズ • ソフトウェア : 保護ステータス、 ソフォスへの接続、 システムの再起動、 シス テムのアップデート • ハードウェア : コンポーネントのパフォーマンス、 温度、 メモリ使用量など • 証明書: TLS 暗号化やエンドユーザー認証に使用される証明書のステータス • ライセンス : ソフトウェアライセンスの有効期間 図 12: システムステータス ページ システムステータスのページには、各項目の現在のステータス、修復手順、最後 に問題が発生した日時などが表示されます (図 12 を参照)。 問題が発生した場 合は、 その項目をクリックすると、 自動アクションが実行されたかどうかなどの詳 細情報が表示されます。 管理コンソールのこのページから、 全体的なパフォーマンスや、 保護ステータス、 問題の修復方法など、さまざまな情報をいつでも確認することができます。 複数のアプライアンスをクラスタリングしている場合は、 クラスタステータス ページ に各種データやスケジュール設定したジョブが表示されます。 たとえば、 隔離エ リアの概要、 FTP 設定のバックアップ、 ディレクトリサービスの同期などが表示さ れます。 アップデート アプライアンスは、 ソフォスに数分ごとに接続し、 ウイルス定義ファイルとソフトウェ ア アップデートを自動ダウンロード・適用します。 システム管理者はこのデフォ ルト設定を変更して、 ソフトウェアのマイナーなアップデートをダウンロード・適用 する日時を別途設定したり、 必要に応じてアップデートを実行することができます。 マイナーなアップデートは、 7日間以内にダウンロードする必要があります。 脆 弱性に対応するパッチなどの重要なアップデートは、 ただちに適用されます。 こ のようにしてダウンロード・適用される最新のスパム対策は、 SophosLabs が誇る SXL テクノロジーに基づいています (詳しくは、 第 2章 「製品の機能」 の 「ソフォ スの SXL テクノロジー」をご覧ください )。 24 4: アプライアンスの管理 バックアップ システム管理者は、 アプライアンスの設定データ、 システムログ、 隔離メールが FTP を通じてバックアップされるように設定できます。 設定のバックアップは、 以下 のいずれかの日時に実行されます。 • 毎日 ( 深夜 ) • 毎週 ( 金曜日の深夜 ) • 毎月 (1 日の深夜 ) データのバックアップは、以下のいずれかの日時に実行されます。 • 期限日時 • 30分ごと • 1時間ごと • 毎日 (深夜) • 毎週 (金曜日の深夜) • 毎月 (1日の深夜) 図 13: システムバックアップ ページ 管理コンソールのシステムバックアップ ページから、 手動で設定データをバックアッ プすることもできます ( 図 13 を参照 )。 25 レビュアーズガイド : Sophos Email Appliance 隔離エリア アプライアンスには隔離エリアが内蔵されており、 数百万件のメールを格納でき ます。 送受信メールトラフィックのパターンやポリシーの設定によって多少異なり ますが、通常は、数週間分のメッセージを格納できます。 隔離エリアのステータスは、 ダッシュボードからすばやく確認できます。 ページ左 側に統計データ概要が示され、 その下部に Quarantine Age および Quarantine Capacity という項目が表示されます (図 14 を参照)。 Quarantine Age は、 メー ルの保管期間を示します。 たとえば、 ここに 1 日と表示されている場合は、 隔離 エリア内で一番古いメールは 1日前のものであることがわかります。 Quarantine Capacity は、使用されているディスク容量を示します (1.5% など )。 最適なパフォーマンスとディスク容量を確保できるよう、 隔離エリアは自動的に アーカイブされます。 たとえば、 ディスクの使用量が 70% に達したら、 一部のデー タを自動アーカイブし、 最低 40% の容量を空けておきます。 システム管理者は、 管理コンソールを使って、 FTP バックアップの場所を設定しておく必要があります。 図 14: ダッシュボードで隔離エリアの容量を参照 高度なメール検索機能 Sophos Email Appliance には、 高度なメール検索機能が備わっています。 ロストメッ セージを探し出すのは手間のかかる作業ですが、 この検索機能を使うと、 複数のパ ラメータを指定して、メールを迅速に追跡できます。 図 15: メールログの検索画面 26 4: アプライアンスの管理 検索機能には、 管理コンソールのナビゲーションバーからアクセスできます (図 15 を参照)。 検索対象は、 メールログ、 メールキュー、 隔離エリアのいずれかです。 メールログ : 以下のパラメータを指定できます。 メモ 検索条件として、 全メール、 ウイル ス、スパム、キーワード、疑わしい • 終了日付 • 送信先 • メール ID 添付ファイル、暗号化された添付 ファイル、 スキャンできない添付ファ ログは、 不要な詳細情報を省き、 実際に何が起こったかが強調表示されるなど、 イル、攻撃的な文面などを指定で 読みやすい形式で記録されています。検索結果について、以下の情報が一覧表 きます。 • 開始日付 • リレー • 日時 • 送信先 • 件名 • 送信元 • リレー • 送信元 示されます。 各項目をクリックすると、ログの詳細が表示されます。 メールキュー : 以下のパラメータを指定できます。 • 送信元 • 開始日付 • 送信先 • 終了日付 • キュー(すべて、 フィル タリング前、配信 ) メールフロー内のどこにメールがあるのかが (フィルタリング待ちのキューや、 下位 メールサーバーへの配信待ちキューなど)、 読みやすい形式で記録されています。 検索結果について、以下の情報が一覧表示されます。 • 日時 • 送信先 • サイズ • 送信元 • キュー ステータス 隔離エリア : 以下のパラメータを指定できます。 • 送信元 • 終了日付 • 送信先 • リレー • 開始日付 • メール ID • 理由 検索結果について、以下の情報が一覧表示されます。 • 日時 • 送信先 • 送信元 • 件名 • 理由 各項目をクリックすると、 その詳細が表示されます。 また、 メールの詳細を表示す るかどうかを指定するオプションも表示されます。 管理者は、 詳細を確認してから、 配信を続行したり、転送したり、削除するなどのオプションを選択します。 また、 ヘルプデスク用アカウントを作成して、 社内のメール問い合わせへの対応 を分担することもできます。 このアカウントは、 隔離エリアを管理することはできま すが、 その他のシステム設定オプションにはアクセスできません。 このようにして、 管理者グループの中で作業を分担することによって、 業務の効率化を図れます。 27 レビュアーズガイド : Sophos Email Appliance エンドユーザーの環境設定 スパムメールが検知された場合、 その送信先に指定されたエンドユーザーが自 分で管理することによって、 システム管理者の負担を軽減することができます。 こ のために、以下の方法が用意されています。 • 隔離ダイジェスト メール • エンドユーザー向け Web インターフェース 隔離ダイジェスト メールには、 隔離されたメールのリストが含まれます。 隔離ダイ ジェスト メールを受信したエンドユーザーは、 リスト内のメールを保留にするか、 受け取るか、削除するかを指定して返信します。 図 16: 隔離ダイジェスト メール (注: 使用しているメールクライアントによって 多少表示が異なります) 隔離ダイジェスト メール ( 上の図を参照 ) は、 1 日 1 回、 1 日 2 回、 または週に 1 回配信するように設定できます。 また、 Web インターフェースから隔離エリアにアクセスするようにもできます。 これ には、 Active Directory またはカスタムリストを通じた認証が使用されます。 この エンドユーザー向けの Web インターフェースでは、 現在隔離されているメール を各ユーザーが参照できます (図 17 を参照)。 隔離ダイジェスト メールと同様、 保留、配信、削除のオプションがあります。 28 5: レポート機能 図 17: エンドユーザー向け Web インターフェース 隔離ダイジェスト メールと Web インターフェースの言語は、 日本語、 英語、 フラン ス語、 ドイツ語、 イタリア語、 スペイン語の中から選択できます (上記のスクリーン ショットは英語版です)。 この言語はシステム管理者が設定します。 エンドユーザー が変更することはできません。 エンドユーザーの環境設定は、 全エンドユーザーに適用されます。 たとえば、 隔 離ダイジェスト メールが有効になっている場合は、 すべてのエンドユーザーにこの メールが送信されます。 また、 Web インターフェースが有効になっている場合は、 すべてのエンドユーザーがこれを使用できます。 ただし、 Web インターフェースが 有効になっている場合は、 エンドユーザーが隔離ダイジェスト メールの受信を拒 否することができます。 フィルタリングの高速化 全体または個々のユーザー用の許 可リスト/ブロックリストを使用すると、 メールのフィルタリングを効率化でき ます。 また、 エンドユーザーに、 許可リストやブロックリストを編集したり、 スパムチェックを 無効にする権限を与えることもできます (詳しくは、 第 2章 「製品の機能」 の 「ス パム設定のカスタマイズ」 をご覧ください)。 この権限を与えるには、 エンドユーザー の環境設定のページを使用します (第 3章 「設定」 の図 6 を参照)。 この設定は、 全エンドユーザーに適用されます。 エンドユーザー向け Web インターフェースへの アクセスも、システム管理者が有効にする必要があります。 29 レビュアーズガイド : Sophos Email Appliance 5: レポート機能 概要 システム管理者は、 メールフローの状況を詳しく把握しておく必要があります。 最新のスパム/ウイルス対策機能が適用されているかどうかをチェックするのはも とより、 メールゲートウェイの総合分析を取締役から求められる場合などもありま す。 このような場合は、 メールフローの詳細や、 ハードウェア/ソフトウェアのパ フォーマンスなど、 掘り下げて調べる必要があります。 Sophos Email Appliance では、 詳しいレポートをリアルタイムで作成して、 システム管理の向上に役立てる ことができます。 現在の状況を把握するのはもちろんのこと、 今後どのように変化していくのかを 予測することも重要です。 Sophos Email Appliance では多数の有用なレポートが 生成されるため、 現在の状況を的確に把握するとともに、 将来追加するディスク 容量を計画するためにも役立ちます。 総合レポートには、 2 種類の形式があります。 ダッシュボードには、 主要な統計 情報 (メール送受信量や脅威の振る舞いなど) が表示されます (第 2章 「製品 の機能」 の図 3 を参照 )。 レポート ページには、 より詳しい統計情報が表示さ れます。次に、それぞれのレポートについて詳しく説明します。 ダッシュボード上のレポート ダッシュボードにはシステムパフォーマンスの概要が表示され、 5分おきに更新さ れます。 この概要は、 主な統計量 (Summary Statistics)、 メールの処理速度 (Mail Velocity)、 メールの送受信量 (Mail Volume) という最も参照されることの多い 3 種類の情報に分類されています。 主な統計量 (Summary Statistics) ダッシュボードの左側には、 その日のメール送受信量やピーク時の量、 最も多く 見つかったウイルスなどが表示されます。 また、 最後にアップデートを行った日や、 隔離エリアの空きディスク容量なども表示されます。 上から 3つの項目の右側に表示されている矢印は、 前日に比べたトラフィックの 増減を示します。 たとえば、下向きの矢印の場合は、前日に比べてメール送受 信量が減ったことを示します。 アプライアンスの使用開始以降の、 1日の平均的なメール送受信量も表示されま す。 ピーク時の量は、一定時間内の送受信量がピークに達したときの値です。 30 5: レポート機能 メールの処理速度 (Mail Velocity) 中央下部に表示されている 2 つのダイアルは、 1 時間に処理されたメール数と、 メール処理の遅延時間 (1通のメールをスキャンするのにかかった時間) を示しま す ( 右の図を参照 )。 これらのダイアルによって、 アプライアンスが処理したメール量や、 処理にかかっ た時間が一目でわかります。 左側のダイアル (メッセージ数/時間) の針が右側 に振り切れているときは、 メールトラフィックが急激に増加したことを示します。 この 場合は、 右側のダイアル (遅延時間) も同様に振り切れているのが普通です。 一 方、 左側のダイアルの針がゼロを指しているときは、 接続エラーが発生している可 能性があります。 メールの送受信量 (Mail Volume Today) ダッシュボードの右下部には、 その日のメール、 スパム、 ウイルスの送受信量が 3 本の線グラフで示されます ( 右の図を参照 )。 白く塗られている領域は、その時点までの日中の送受信量に相当します。赤い 線グラフは、 過去 7日間の平均値を示します。 この赤い線グラフと当日の線グラ フのパターンが大きく異なる場合は、 注意が必要です。 たとえば、 白い領域が赤 い線グラフよりも上にはみだしている場合は、 メール量の急激な増加や、 ウイルス 勃発の可能性を示唆します。 一方、 赤い線グラフが白い領域よりも下に位置してい る場合は、 接続やリレーの問題が発生している可能性があります。 これらのグラフは、 メールフローのデータを正確に反映しています。 もしもスパムやウイルスの量が急 激に増加している場合は、 アプライアンスがこれらの脅威をキャッチ・阻止してい るということを示します。 レポート ページ ナビゲーションバーのレポート タブをクリックすると、 詳細レポートが表示されます ( 図 18 を参照 )。 図 18: レポート ページ 31 レビュアーズガイド : Sophos Email Appliance Volume Info (メール送受信量) には、 過去 7日間およびその前の 7日間のメー ル統計量、およびその変動がわかりやすく表示されます。 その下には、同期間 のシステムスループットと遅延時間も表示されます。 下部左側の円グラフには、過去 7 日間に送受信したメールの内訳が、正常、接 続ブロック、その他 ( キーワードや攻撃的な文面を含むなど )、スパム ( 中 )、ス パム ( 高 )、 およびウイルスのカテゴリに分けて表示されます。 これにより、 メー ルフローの構成が一目で把握できます。 下部右側の棒グラフには、 「正常」以外に分類されたメールの統計量が示され ます。 MTA で接続がブロックされた場合、 ブロック1回がメール1通として数え られます。 レポートの右上には、 最近発生した警告 5件と、 最も多く検知されているウイル スが表示されます。 メモ 詳細レポート Anti-Virus (ウイルス対策) レポート レポート ページの左側のナビゲーション ペーン (およびそれに続くページ) から、 と Content (コンテンツ) レポートは、 さまざまなレポートを動的に生成したり、 カスタマイズできます。 これらのレポート 受信メールと送信メールのそれぞれ には、以下のものがあります。 について生成できます。 カテゴリ レポート名 Mail trends ( メールの傾向 ) Volume 当日のメールフローの構成 (6 カテゴリ )* ( メールの送受信量 ) Performance ( パフォーマンス ) Senders ( 送信元 ) 説明 Message actions ( アクション ) メールの処理状況 ( 配信 ・ 拒否 ・ 隔離 ) Latency ( 遅延 ) 1 通のメールのスキャンにかかった時間 (秒) Throughput ( スループット ) 1 秒にスキャンしたメール数 Virus relays ( ウイルス リレー ) ウイルスの送信元 IP Spam relays ( スパム リレー ) スパムの送信元 IP Blocked connections IP アドレスごとのブロック数 ( 接続ブロック ) Recipients ( 送信先 ) Spam recipients ( スパムの送信先 ) Policy analysis Anti-Virus ( ポリシーの分析 ) ( ウイルス対策 ) スパムの送信先上位 10 件 「ウイルス」 に分類されたメールの小分 類 ( 疑わしいメール、 暗号化された添付 ファイル、制限された添付ファイル、スキャ ンできない添付ファイル、またはウイルス ) Anti-Spam ( スパム対策 ) 「スパム」 に分類されたメールの小分類 ( ブロック、 スパム ( 高 )、 スパム ( 中 )) Content ( コンテンツ ) 特定のキーワードや攻撃的な内容を含 むとしてブロックされたメールの小分類 *接続ブロック、正常、その他、スパム ( 高 )、スパム ( 中 )、ウイルス 32 5: レポート機能 上記の表で示したレポートにはすべて、 右の図に示すようなレポート パラメータを 指定できます。データテーブルを表示するオプションもあります。 レポートは、 そのまま印刷したり、 CSV ファイルにエクスポートして別のアプリケー ションで読み込むことができます。 たとえば、 取締役やコンプライアンス担当者に報 告する必要がある場合など、 エクスポートしたレポートを使ってプレゼンテーション を作成し、 アプライアンスがメールセキュリティの維持にいかに貢献しているかを説 明できます。 33 レビュアーズガイド : Sophos Email Appliance 6: サポート マネージド アプライアンス Sophos Email Appliance は、 ネットワークセキュリティに 「マネージド アプライアン ス」 という新しい概念を取り入れています。 これは、 アプライアンス ソリューション の利点 (可視性、 プラットフォーム非依存、 堅牢なセキュリティ) と、 マネージド サー ビスの利点 ( 使いやすさ、 高可用性、 高性能、 大容量 ) を兼ね備えていること を表しています。 「マネージド サービス」 を利用すると、 アプライアンスを直接制 御できなくなりがちですが、 ソフォスの 「マネージド アプライアンス」 の場合、 企 業内ネットワークに配置されるため、 直接コントロール・把握することが可能です。 このように 2種類のメリットが統合されているため、 絶大な安心感を得ることができ ます。 この章では、マネージド アプライアンスの特長を概説します。 自動アップデート マネージド アプライアンス 一般的なセキュリティアプライアンスでは、保護機能の更新間隔は 30 ~ 60 分です。しかし、メールを通じてもたらされるセキュリティは迅速に進 化・拡大を続けているため、この更新間隔では、ゲートウェイセキュリ ティの脆弱性が脅かされる恐れがあります。Sophos Email Appliance で は、最新のウイルス定義ファイルが数分ごとに SophosLabs から自動ダウン ロードされます。また、SophosLabs はネットワークを常時チェックして、最 新のスパム情報を独自の S X L オンラインデータベースに取り込んでい ます。 Sophos Email Appliance は、 可視性 や堅牢性に加え、マネージド サー ビスさながらの可用性や使いやすさ を兼ね備えています。 図 19: システムアップデート ページ 34 6: サポート 更新間隔が短いため、 ソフォスが提供する最新の脅威対策をすぐに利用できるば かりでなく、 各アップデートサイズを最小限にとどめることができ、 ネットワークに負 荷がかかりません。 これにより、 効率的・効果的かつ 信頼性の高いメールセキュ リティを実現できます。 最新のウイルス定義ファイルと、 ソフトウェアの重要なアップグレードは、 ダウンロー ド後、 ただちに適用されます。 ソフトウェアのマイナーなアップグレードは、 システ ム管理者が指定したスケジュールに従って後で適用することもできます (図 19 を 参照 )。 ダウンロード状況の監視 ソフォスでは、 ウイルス定義ファイルを頻繁にアップデートするばかりでなく、 最新 の定義ファイルがアプライアンスに適用されているかどうかをリモートからチェックし ます。 アプライアンスはアップデートを中央リポジトリからダウンロードしますが、 こ の中央リポジトリでは、 各アプライアンスがスケジュール通りにアクセスし、 アップ デートをダウンロードしているかどうかをチェックします。 アプライアンスが 2時間以 上にわたって中央リポジトリにアクセスしていない場合は、 ソフォスのサポートに警 告が通知され、システム管理者に連絡します。 この独自の監視機能により、 メールゲートウェイ セキュリティが常に最新状態にアッ プデートされていることが保証されます。 警告機能 アプライアンスには 40種類以上のセンサーが備わっており、 Active Directory と の同期からウイルスの勃発まで、 あらゆる情報が監視されています。 これらのセン サーの多くは、 管理コンソールのシステムステータス ページに表示されます。 通 常のパラメータ値から外れた振る舞いが検知された場合は、 警告および推奨され る修復アクションがシステムステータス ページに表示されます。 また、 ナビゲーショ ンバーのシステムステータス インジケータに、 システムステータスが色で表示され ます (正常時は緑、 警告は黄色、 問題があるときは赤)。 このインジケータをクリッ クすると、 システムステータス ページに移動し、 詳細を確認したり、 必要に応じて 修復アクションを実行できます。 プロアクティブな警告 システム管理者に加え、そのほか の担当者にも警告を通知するように 設定できます。また、重要な問題 が発生した場合には、 ソフォスにも 警告が自動通知され、迅速に対応 します。 問題が発生した場合は、 システム管理者やその他の担当者にメールでも警告が 通知されるため、 管理コンソールにログインしていなくても、 システムステータスを 把握できます。 重大な問題が発生した場合は、 ソフォスのサポートに直接警告が通知され、 シス テム管理者への連絡がつかない場合でも、ただちに対応・修復を開始します。 たとえば、 2 つ備わっている電源のうち片方が故障した場合は、 交換部品の発送 などの手続きをとります。 必要に応じてリモートアシスタンスを利用可能 Sophos Email Appliance には、 トラブルシューティングに役立つ強力なヘルプが 備わっており、 索引から検索することができます。 システム管理者がどうしても問 題を解決できない場合は、 ソフォスのテクニカルサポートにリモートアシスタンスを 要請できます。 このリモートアシスタンスは、 適切なセキュリティチェックを通したセ キュアなセッションです。 セッションを開始できるのはシステム管理者のみで、 これ を受け、 ソフォスのテクニカルサポートがアプライアンスにアクセスできるようになり ます。 セッションには、 Secure Shell (SSH) テクノロジーが使用され、 ファイアウォー ルの設定変更は不要です。 また、 セッションは 4時間後に自動的に無効になりま す。 なお、 リモートアシスタンスのご利用についてはあらかじめソフォスにご相談い ただく必要があります。 ソフォスのテクニカルサポートがアプライアンスに加えた変 更は、 コンプライアンス上の問題に備え、 キーストロークも含めて完全にログされ 35 レビュアーズガイド : Sophos Email Appliance ます。 これにより、 リモートからでも、 セキュリティを脅かすことなく、 明瞭なサポー トを受けることができます。 保証 Sophos Email Appliance には、 最高 3年間有効のハードウェア アドバンス交換 品質保証書が付属しています。 通常の方法での使用時に主要部品 (ハードドラ イブ、 電源、 ユニット全体 ) が故障した場合、 ソフォスでは、 その故障部品の受 メモ 領を待たずに、交換部品を発送します。 この保証が標準で付属しているため、 日本国内での保証条件については、 ソフォス営業部までお問い合わせく 安心して Sophos Email Appliance をお使いいただけます。 ES5000 と ES8000 のハードディスクと電源は、 現場交換ユニットです。 これらの 交換時には、 システムのシャットダウンや再起動は不要です。 その他の部品が 故障した際には、 アプライアンス全体を交換いたします。 ES1000 には、 現場交 換ユニットは含まれていません。 ださい。 管理者が直接 Sophos Email Appliance のカバーを開けて保守・メンテナンスす る必要はありません。 カバーを開けると、 品質保証が無効になるとともに、 ソフォ スに警告が通知されるので、注意が必要です。 Sophos Email Appliance の保証について詳しくは、 エンドユーザー使用許諾契 約書に記載されています。 24 時間 365 日のサポート ソフォスは、 業界屈指のサポートを提供しており、 24 時間 365 日体制、 グロー バル展開、丁寧な対応を特長としています。 サポートセンターは、 日本のほかに、 オーストラリア、 カナダ、 フランス、 ドイツ、 イタリア、 シンガポール、 英国、 およびアメリカに配置されています。 テクニカル サポート担当者は、 SophosLabs や製品開発チームのバックアップを受け、 問題 を再現・解析・解決いたします。 ソフォス製品には、 サポートが標準で付属しています。 ソフォスのテクニカルサポー ト担当者は、すべてソフォスの社員です。電話でのお問い合わせをいつでも受 け付けております。 36 業界屈指のサポート 充実したテクニカルサポートを擁し ているのも、ソフォスの大きな特長 です。 付録 I 付録 I: デフォルトのポリシー設定 一般 検知内容 保護対象 例外 アクション 通知 / 転送 既知の悪質な送信元 全ユーザー なし 拒否 (MTA) なし なし 10MB 以上の送受信 全ユーザー メール ( 添付ファイル の有無に関わらない ) なし 拒否 (MTA) なし なし アクション ユ ー ザ ー へ ユーザー の通知 注意フラグの 追加 ユーザー 注意フラグの 追加 受信メールのスパム 検知内容 保護対象 例外 スパムスコア ( 高 ) 全ユーザー スパムブロッ 破棄 クを無効にし たユーザー なし なし スパムスコア ( 中 ) 全ユーザー スパムブロッ 隔離 クを無効にし たユーザー なし なし 受信メールのウイルス 検知内容 保護対象 例外 アクション ユ ー ザ ー へ ユーザー の通知 注意フラグの 追加 ウイルス 全ユーザー なし 破棄 なし なし スキャンできない添付 全ユーザー ファイル なし 注意フラグとともに配信 なし Can't clean ( クリーンアッ プ不可 ) 暗 号 化 さ れ た 添 付 全ユーザー ファイル なし 注意フラグとともに配信 なし Encr_file 疑わしい添付ファイル 全ユーザー なし 隔離、 ファイルの添付 なし 解除、 配信 Suspicious ( 疑わしい ) 検知内容 保護対象 例外 アクション ユ ー ザ ー へ ユーザー の通知 注意フラグの 追加 スコア ( 高 ) 全ユーザー なし 隔離 なし 該当なし スコア ( 中 ) 全ユーザー なし 隔離 送信メールのスパム 送信メールのウイルス 検知内容 保護対象 例外 アクション ユ ー ザ ー へ ユーザー の通知 注意フラグの 追加 ウイルス 全ユーザー なし 隔離 なし 該当なし スキャンできない添付 全ユーザー ファイル なし 配信 なし 該当なし 暗 号 化 さ れ た 添 付 全ユーザー ファイル なし 配信 なし 該当なし 疑わしい添付ファイル なし 破棄 なし 該当なし 全ユーザー 37 レビュアーズガイド : Sophos Email Appliance 付録 II: ハードウェアの仕様 Email Appliance (ES1000、 ES5000、 ES8000) の仕様 * 内蔵ソフトウェア ウイルス検索エンジン スパム検索エンジン 上記の両エンジンとも、 Genotype ™ ( 遺伝子型 ) および Behavioral Genotype ( 振る舞い検出型遺伝子型 ) 保護機能を搭載 Sender Genotype ( 遺伝子型送信者検知 ) 機能 - メールのコンテンツ解析前にスパムを阻止 TLS 暗号化 アクティブ / パッシブ フェールオーバー ( 設定を共有 ) Web ベースのダッシュボードおよび管理コンソール システムに問題がある場合の警告 ・ 通知 Active Directory など、 LDAP との統合 Postfix MTA ( メール転送エージェント ) FreeBSD OS ( 最適化済み ) ハードウェア - ES1000 ハードウェア - ES5000 ハードウェア - ES8000 プロセッサ : シングルコア プロセッサ: クアッドコア プロセッサ: クアッドコア ハードドライブ: 160GB SATA ハードドライブ: 160GB SAS (RAID1) ハードドライブ: 300GB SAS (RAID1) (2台構成、ホットスワップ対応) (2台構成、ホットスワップ対応) 電源: 920W 100/240V AC 電源: 920W 100/240V AC (デュアル、ホットスワップ対応) (デュアル、ホットスワップ対応) 毎時 5万件のメールを処理 毎時 38万件のメールを処理 毎時 55万件のメールを処理 1U ラックマウント 1U ラックマウント 1U ラックマウント サイズ (縦 x 横 x 高): サイズ (縦 x 横 x 高): サイズ (縦 x 横 x 高): 356mm X 427mm X 43mm 650mm X 432mm X 43mm 650mm X 432mm X 43mm 重さ: 11.8kg 重さ: 20.5kg 重さ: 20.5kg 電源: 260W 100/240V AC 安全規格 UL 60950、 CE、 FCC PART 15、 VCCI、 C-TICK、 TUV-GS、 SABS、 RoHS、 WEEE 認定 サポート 最高 3 年間のハードウェア アドバンス交換保証 ( ソフトウェアの使用許諾契約が有効であることが前提 ) 24 時間 365 日のサポート * この仕様は、 事前に通知することなく更新されることがあります。 定期的に www.sophos.co.jp でご確認ください。 38