※ 2018 年 9 月 6 日現在の情報をもとに作成しています

1. はじめに

本記事では、本日リリースされた Intelligent Proxy の新機能「Selective Decryption」について紹介します。

※ Intelligent Proxy を使用するには Umbrella Insights 以上のサブスクリプションが必要です

2. Selective Decryption とは

Selective Decryption の文字どおりの意味は「選択的復号」となり、一見 Intelligent Proxy の一機能である SSL Decryption の対象を選択できるようにする機能のように見えます。

しかし、実際には以下の公開文書でも述べられているとおり、SSL Decryption のみならず Intelligent Proxy の対象を選択できるようにする機能となります。

What is the Intelligent Proxy - Selective Decryption

https://docs.umbrella.com/deployment-umbrella/docs/what-is-the-intelligent-proxy#section-selective-decryption

なお、対象を選択する際の単位は、個々のドメイン単位ではなく、コンテンツ カテゴリ単位となります。

3. 設定方法

Selective Decryption の設定は、Intelligent Proxy や SSL Decryption の有効化/無効化と同様に、ポリシーに対して行います。

まずは設定を行いたいポリシーを選択し、ADVANCED SETTINGS を開きます。すると、Intelligent Proxy の SSL Decryption の下に SELECTIVIE DESCRYPTION という項目が追加されています。

SELECTIVIE DESCRYPTION をクリックすると、以下の画像のように CREATE LIST ボタンが表示されますので、これをクリックします。

Choose Categories to Exempt 画面が表示されますので、Intelligent Proxy の対象から外したいカテゴリ (以下の画像例では COMMON CATEGORIES TO EXEMPT とされている 4 カテゴリ) にチェックを入れて、SAVE ボタンをクリックします。

その後、画面右下にある SAVE ボタン (ポリシー全体の内容を保存) をクリックして設定完了です。

なお、補足となりますが、なぜこれら 4 つが「除外すべき (TO EXEMPT) 一般的な (COMMON) カテゴリ (CATEGORIES)」なのかというと、これらのカテゴリは HTTPS 通信でプライバシー情報のやり取りをするドメインを多く含むためです。

Intelligent Proxy および SSL Decryption が有効の場合、対象となった HTTPS 通信の URL が Umbrella Dashboard の Activity Search レポートに記録されますが、この URL の文字列の中にプライバシー情報が含まれる可能性があります。

カテゴリごと Intelligent Proxy の対象から除外することで、これらのプライバシー情報が Umbrella の管理者の目に触れないようにするのが Selective Decryption の役割の 1 つといえます。

4. 実際の動作

ここでは ssl-proxy.opendnstest.com というテスト用のドメインを用いて Selective Decryption の動作を確認してみます。Web ブラウザで https://ssl-proxy.opendnstest.com にアクセスすると、Intelligent Proxy と SSL Decryption が有効になっている場合、以下の画像が表示されます。

この ssl-proxy.opendnstest.com というテスト用のドメインは、Software/Technology というカテゴリに属しているため、Software/Technology を Selective Decryption で除外対象とすると、代わりに以下の画像が表示されるようになります。

これにより、SSL Decryption (厳密には Intelligent Proxy) の対象から外れていることが分かります。