SSL復号化対象のHTTP/2 over TLS通信で、セキュリティポリシでdenyが設定された通信のTrafficログが出力されない事象について

Flexible Secure Gateway, FSG

2024年11月25日 (2024年11月27日:更新)

事象概要

SSL復号化対象のHTTP/2 over TLS通信で、セキュリティポリシでdenyが設定された通信のTrafficログが出力されない

対象

下記の条件に合致している場合、ブラウザとWebサーバ間の通信で、HTTP/2 over TLS通信が行われている通信が対象となります。

  • 対象の通信にSSL復号が有効化されている。

  • 対象の通信にセキュリティポリシーのDenyアクションが適用されている。

  • いずれかのセキュリティポリシーのURLカテゴリリストにany以外のURLカテゴリが設定されている。

影響内容

セキュリティログのTraffic ログでdenyのlogが出力されない。

対処方法

現時点で根本的な対処方法はありません。

現時点での回避策として、特定のHTTP/HTTPS通信の遮断方法を変更することがあります。

セキュリティポリシーのDenyアクションを適用するのではなく、アクションはAllowに設定したうえで、URLフィルタリングプロファイルで全てのURLに対してblockを設定することで本事象を回避しながら、特定のHTTP/HTTPS通信を遮断することができます。

この場合、通信遮断についてのログはTrafficログではなくURL Filterログに出力されます。

改修目途

今後のFSG機能リリースで、SSL復号関連機能としてHTTP/2通信を抑止するための Strip ALPN有効化機能を提供する予定です。

提供時期は2025年3月を予定しています。

Strip ALPN有効化機能を利用いただくことで、事象を回避することができます。