Cisco Talos によるコンテンツフィルタリング
このドキュメントは原文を 2026年 03 月 27 日付けで翻訳したものです。
最新の情報は原文をご確認ください。
概要
MX のコンテンツ フィルタリング機能は、Cisco Talos によってキュレーションされた Web コンテンツおよび脅威カテゴリに基づいて URL を分類することで動作します。Cisco Talos は、世界最大級の商用脅威インテリジェンス チームの 1 つであり、第一線の研究者、アナリスト、エンジニアで構成されています。Talos チームは、既知および新たに出現する脅威から防御するために、Cisco のお客様、製品、サービス向けの脅威インテリジェンスを提供しています。Cisco Talos Intelligence の詳細については、こちらをご覧ください。
Meraki Learning Hub の以下の無料オンライン トレーニング コースで詳細をご確認ください。
前提条件
- ファームウェア: MX17 以降*
- モード: ルーテッド
- 必要ライセンス: Advanced security または Secure SD-WAN Plus license
注: Passthrough/Concentrator モードで設定された MX では、コンテンツ フィルタリングの使用は推奨されません。
*この機能は、より古いファームウェア バージョンで動作するように設定されたデバイスでも Meraki Dashboard 上には引き続き表示されますが、MX17 より前のファームウェアで使用されていた古いサードパーティ分類システムに基づいており、このシステムは 2025 年 1 月 1 日をもって機能しなくなりました。
最大ファームウェアの制限により、MX17 以降のファームウェアを実行できない複数のサポート終了プラットフォーム では、コンテンツ フィルタリングはすでに機能しません。
MX Security Appliances は、コンテンツ フィルタリングのカテゴリ分類のために、以下の Cisco Talos のドメインおよび IP アドレスへ問い合わせを行います。
MX の上流側にあるファイアウォールで、TCP ポート 443 とあわせて以下を許可してください。
ドメイン:
- *.talos.cisco.com
IPv4 アドレス:
- 146.112.62.0/24
- 146.112.63.0/24
- 146.112.255.0/24
- 146.112.59.0/24
IPv6 アドレス:
- 2a04:e4c7:ffff::/48
- 2a04:e4c7:fffe::/48
機能の動作
コンテンツ フィルタリングを有効にすると、MX は HTTP ペイロード内の URL、または送信 TLS トラフィックのServer Name Indication フィールド を検査し、それぞれに示されたレコードを使用して Cisco Talos Intelligence に問い合わせ、一致する可能性のあるカテゴリを確認します。これらの結果は、遅延を減らすために、MX 上のローカル キャッシュに最大 100,000 件、最長 20 分間保持されます。
TLS は外部からの検査に対して基盤となる HTTP ペイロードを保護するため、TLS/HTTPS 使用時に Content Filtering で分類およびブロックできるのは ドメイン のみであり、完全な URL ではない点に注意してください。URL 全体ではありません。
ブロック ページ
HTTP トラフィックがブロックされると、MX はクライアント トラフィックに対して HTTP リダイレクトを実行し、ブロック ページへ送信します。
アクセスしようとしている Web サイトが HTTP ではなく HTTPS/SSL を使用している場合、ブラウザには Meraki のブロック ページではなくエラー ページが表示されます。HTTPS/SSL トラフィックは暗号化されているため、MX は HTTPS トラフィックを復号してブロック ページへリダイレクトできません。その代わり、リクエストはタイムアウトし、結果としてエラーになります。
注: Content Filtering では QUIC 接続を検査およびブロックできません。パケットのペイロードは保護されているため、MX はアプリケーション レベルで通常トラフィックのフィルタリングに使用される属性を確認するためのトラフィック解析を行えません。QUIC プロトコルを使用するサイトではコンテンツ フィルタリングは機能しません。TCP の使用を強制するため、レイヤ 3 ファイアウォールで UDP ポート 80 および 443 をブロックすることを推奨します。
注: パブリック クラウド環境で vMX を運用している場合、Meraki のブロック ページはサポートされません。トラフィックが HTTP か HTTPS かに関係なく、ブラウザ エラーが表示されます。
設定
ネットワーク設定
設定を開始するには、Security & SD-WAN > Content filtering に移動します。
カテゴリ ブロックの設定
MX 17 以降では Cisco Talos カテゴリにより、以下のように Web サイトのコンテンツ カテゴリと脅威カテゴリが 2 つに分かれています。カテゴリを選択するには、フィールドをクリックしてドロップダウンから選択します。
グループ ポリシーの設定
グループ ポリシーは、Network-wide > Group Policy で設定できます。グループ ポリシーでは、既定のネットワーク設定に追加、上書き、または既定設定の使用を行えるカスタム設定オプションを提供します。
- Append: 既定のネットワーク設定に加えてカテゴリを追加できます。
- Override: 既定のネットワーク設定を置き換えます。
- Use Network Default: これは Content Filtering ページ(Security & SD-WAN > Content Filtering)で設定された既定ポリシーです。
グループ ポリシーの設定の詳細については、Group policies のページを参照してください。
コンテンツ カテゴリと脅威カテゴリの確認
どの URL がどのカテゴリに属するか不明な場合は、Check content and threat categories セクションの Type in the URL フィールドに URL を入力してください。これにより、Cisco Talos Intelligence に問い合わせて、対応するコンテンツ カテゴリおよび / または脅威カテゴリを確認できます。問い合わせ結果は右側に表示されます。例として、以下のスクリーンショットでは www.meraki.com に対する問い合わせと結果を示しています。
結果のカテゴリが現在ブロックされていない場合は、カテゴリの横にある「+」記号をクリックするだけで、Category blocking セクションの設定に追加できます。結果のカテゴリがすでにブロックされている場合は、「x」をクリックするだけで Dashboard からそのカテゴリのブロックを解除するオプションが表示されます。
警告: 「Computers and Internet」または「Computer Security」のカテゴリをブロックすると、Cisco のサービスに影響する可能性があります。たとえば、デバイスの Meraki クラウドへの接続や、Cisco Umbrella などのその他のサービスに影響する可能性があります。
特定 URL の許可 / ブロック
URL を明示的にブロックする必要がある場合は、以下に示す URL blocking セクションの Block list URL patterns フィールドに URL パターンを入力できます。
設定済みのブロック対象カテゴリによって意図しない URL へのアクセスまでブロックされている場合は、以下に示す URL blocking セクションの Allow list URL patterns に URL パターンを入力して、その URL を許可できます。
URL でキャッチオール ワイルドカード(*)を使用する
アスタリスク記号は、コンテンツ フィルタリングの URL では主に 2 つの用途があります。
- 単独のキャッチオール ワイルドカード
- 「 * 」 (アスタリスク) 記号を単独の行で使用する場合、すべての可能なエントリを表す包括的なワイルドカードになります。
- 許可リストの URL パターンで単独の行に使用すると、すべての URL パターンが許可リストに登録されます。
- ブロック対象 URL パターンで単独の行に使用すると、明示的に許可リスト登録されたものを除き、すべての URL パターンがブロックされます。
- URL 内のアスタリスク文字
- 「 * 」(アスタリスク)記号を URL の一部として使用する、または URL と同じ行で使用する場合は、単なる通常のアスタリスク記号として扱われ、ワイルドカードではなく URL の一部として解釈されます。
- これは、実際にアスタリスク記号を必要とする URL(例: https://web.archive.org/web/*/meraki.com)を除き、役立つケースは非常にまれです。
特定の URL をブロックまたは許可リスト登録するためのパターン
ネットワーク上のデバイスが Web ページへアクセスするたびに、要求された URL が設定済みリストと照合され、そのリクエストを許可するかブロックするかが判定されます。
1. 完全な URL が評価されます
「http://www.foo.bar.com/qux/baz/lol?abc=123&true=false」は全体として比較され、いずれかのリストのエントリに一致した場合にブロックまたは許可されます。
2. URL はドメインおよび後続パラメータまで簡略化されたうえで評価されます
URL の先頭から「http://www.」(プロトコルおよび先頭の「www」)が削除されます。
3. URL はドメインとそのディレクトリ構造のみに簡略化されます
「foo.bar.com/qux/baz/lol?abc=123&true=false」は、「?abc=123&true=false」を削除することで「foo.bar.com/qux/baz/lol」に簡略化されます。
4. ディレクトリ構造の一部を最後のディレクトリから 1 階層ずつ削除していく多段階評価を行います。
ディレクトリ構造を削除しながら評価します。たとえば「foo.bar.com/qux/baz」は「foo.bar.com/qux」に簡略化され、その後「foo.bar.com」に簡略化されます。
5. サブドメインも別の多段階プロセスで削除されます。
サブドメインは左から右へ削除され、最終的にはトップレベル ドメイン(.COM)まで簡略化されます。この例では、「foo.bar.com」は「bar.com」に簡略化され、最終的には「.com」になります。
6. 最後に、一致判定メカニズムが「Allow」および「Block」リストの両方で、キャッチオール ワイルドカードとして使用される単独のアスタリスク文字を確認します。
手順 6 では、単独のアスタリスク文字を「allow」および「block」リストと照合します。
上記のいずれかの手順で一致が見つかった場合、リクエストは適宜ブロックされるか、許可リスト登録されます。 許可リストは常にブロックリストより優先されるため、両方のリストに一致するリクエストは許可されます。一致しない場合、そのリクエストには上記のカテゴリ フィルタリング設定が適用されます。
イベント ログ
ブロックされたコンテンツ フィルタリング イベントは、以下のように Event Log(Network-wide > Event Log)に表示されます。
コンテンツ カテゴリの異議申し立て
URL が想定外のカテゴリに分類されている場合は、Talos の Reputation Support ページからカテゴリ異議申し立てを直接送信できます。このページから、一度に最大 100 件の URL エントリを送信できます。CCO ID が必要です。CCO ID をお持ちでない場合は、カテゴリ異議申し立てを送信する目的で、サポート ページから無料のゲスト アカウントを作成できます。
コンテンツ カテゴリの異議申し立ての場合は、Content Categorization Requests セクションの「Submit a Content Categorization Ticket」をクリックします。
続行するには、Cisco Login をクリックしてください。CCO ID をお持ちでない場合は、この手順で作成できます。
ログイン後、異議申し立て送信用の URL を入力できます。送信ウィジェットには現在のコンテンツ カテゴリが自動的に入力されるはずです。入力されない場合は、「Get Category Data」をクリックしてください。
-
URL を入力します。この例では www.example.com を使用しています。
-
その URL に対して提案されるコンテンツ カテゴリを選択します。
-
プラットフォームとして Meraki MX を選択します。
-
異議申し立てに関する追加コメント / 詳細を入力します。
-
入力が完了したら、Submit をクリックします。
送信後は、Talos の My Tickets ページからオープン中のチケットを確認できます。
脅威カテゴリの異議申し立て
脅威カテゴリの異議申し立てについては、お客様に代わって送信を行うため、Meraki Support へお問い合わせください。