ネットワークエンジニアでフリーランスの日々

ネットワークエンジニアでフリーランスのサイトです

お問い合わせ

URL フィルタリング

簡単にいうと:

ユーザーがアクセスしようとしている Web サイトが、
「どのカテゴリ(ジャンル)」かを判定し、
許可・ブロックする仕組み

例:

  • アダルト → ブロック
  • ギャンブル → ブロック
  • SNS(Twitter等)→ 業務中はブロック
  • ショッピング → 許可
  • ソフトウェアダウンロード → 危険なら警告

✔ URL(文字列)だけではなく

“カテゴリDB(データベース)” を参照するのが最大の特徴。

URL フィルタリングの仕組み(内部動作)

URL フィルタリングは主に3つの要素で動作します。

① URL(ドメイン・パス)を抽出

HTTP/HTTPS の接続時に FW が以下を読み取る:

  • HTTP Host ヘッダ
  • HTTPS の Server Name Indication(SNI)
  • DNSクエリ(ドメイン)
  • URLパス(HTTPが平文の場合)

HTTPSでも「SNI」は暗号化されていないため
FWはドメイン(例:youtube.com)を判別できる。

② URL カテゴリデータベースと照合

各ベンダーが持つ巨大な URLカテゴリDB を参照します。

例:Cisco Talos(Firepower)、PaloAlto、Fortinet など。

カテゴリ例:

  • adult(アダルト)
  • gambling(ギャンブル)
  • social networking(SNS)
  • streaming media(動画)
  • news(ニュース)
  • shopping(買い物)
  • malware sites(悪意のあるサイト)

全世界の URL 数億件を分類して DB として提供している。

③ ポリシーとマッチして許可/拒否

管理者が設定したポリシーに基づいて、
カテゴリごとに処理を決定する。

例:

カテゴリ動作
adultblock
gamblingblock
social networkingallow(ただしログ記録)
newsallow
malwareblock(即遮断)

こうやって業務ポリシーを強制できる。

2. URLフィルタリングが実現する機能

① カテゴリ別の Web アクセス制御

  • SNS禁止
  • アダルト禁止
  • ギャンブル禁止
  • 動画サイトは業務時間外のみ許可
  • ショッピングは昼休みだけ許可

→ セキュリティと生産性両方に直結。

② セキュリティ向上(悪意あるサイトのブロック)

  • マルウェアホスティングサイト
  • フィッシングサイト
  • ボットネットC2サイト
  • 暗号資産詐欺サイト
    などをカテゴリで自動判定してブロック。

③ レピュテーション(信用度)チェック

同じサイトでも、危険度スコアを判断して制御。

例:

  • YouTube → 安全(High Reputation)
  • フェイク広告サイト → Low Reputation(警告または遮断)

④ ユーザー単位制御

AD/LDAP連携でユーザー/グループごとに制御も可能。

例:

  • 「営業部はSNS許可、製造部はSNS禁止」
  • 「管理部だけYouTube許可」

3. HTTPS時の注意(暗号化)

URLフィルタリングは「SNI」でドメイン判定はできますが、
HTTPS の中身(パス)は見えない

例:

https://example.com/abc/secret/hack.php

FWは example.com しか分からない。

深い判定をしたい場合は?

SSL復号(TLS Decryption / HTTPS Inspection) が必要
→ URLフルパス・HTTPヘッダも読めるようになる
→ IPSやマルウェア検査も可能になる

4. URLフィルタリングの限界

① HTTPS の中身は見えない(SNIのみ)

→ パスやクエリまで判断するには SSL復号が必要。

② 新しいドメインはカテゴリされていない場合がある

→ 未分類カテゴリ(Newly Seen Domains)として扱われる。

③ CDN 共有サイト(Akamai 等)は判定が難しい場合がある

④ VPN・Tor を使われると回避される

5. 各ベンダーの URL フィルタリングの実装

Cisco Firepower(FTD)

  • URL Filtering License が必要
  • Talos Intelligence のDBを使用
  • URLカテゴリ、レピュテーション、リスクで制御
  • Access Control Policy で簡単に設定可能
  • “Block Page” のカスタマイズも可

他社より精度は高めでレピュテーションが強い。

■Cisco ASA(単体)

ASA単体には URLフィルタ機能はほぼ無い。

実現するには:

  • Firepowerサービスモジュール(ASA + Firepower)
  • Web Security Appliance(WSA)
  • Cloud Web Security(旧製品)

が必要。

FortiGate

業界トップクラスの URLカテゴリー精度。
特徴:

  • SSL検査とURLフィルタを強力に統合
  • カテゴリ+キーワード+正規表現など柔軟
  • 無償でカテゴリ更新(他社は有償が多い)

PaloAlto

強力な App-ID + URL Filtering を統合。

  • BrightCloud または PAN-DB を使用
  • HTTPSでもアプリ識別可能
  • SSL復号と連携し脅威検知が非常に強力

6. まとめ(要点だけ)

ポイント説明
目的Webアクセス制御 + セキュリティ向上
仕組みURL(SNI/Host)を読み取り → カテゴリDBと照合
制御内容カテゴリ別に Allow/Block/Warn/Log
HTTPS対応SNIでドメイン判定、パスは見えない
高度化SSL復号 + IPS/AVとの連携
ASA単体できない → Firepower/WSAが必要