コンテンツにスキップ

AVスキャン

Cloudflare Gatewayは、ユーザーがインターネットを閲覧する際に保護します。ユーザーがインターネット上のオリジンにファイルをダウンロードまたはアップロードする際、そのファイルには悪意のあるコードが含まれている可能性があり、デバイスが望ましくない動作をする原因となることがあります。

これを防ぐために、Cloudflare Gatewayは管理者がユーザーがアップロードまたはダウンロードするファイルのウイルス対策(AV)スキャンを有効にすることを許可します。

ファイルのAVスキャンを行うには、組織は設定 > ネットワーク > ファイアウォールに移動し、AV検査を有効にする必要があります。

AVスキャンを有効にする

AVスキャンを有効にするには:

  1. Zero Trustに移動し、設定 > ネットワークを選択します。
  2. ファイアウォールAV検査を有効にします。
  3. アップロード、ダウンロード、またはその両方の際に悪意のあるペイロードのスキャンを行うかどうかを選択します。また、スキャンできないファイルを含むリクエストをブロックすることもできます。

マルウェアの存在によりリクエストがブロックされた場合、Gatewayはその一致をHTTPログにおけるブロック決定として記録します。

Gatewayがファイルをスキャンすべきかどうかを判断する方法

AVスキャンが有効になっている場合、Gatewayはリクエストまたはレスポンスにファイルが存在するかどうか、またそのファイルをスキャンするかどうかを判断するために以下を使用します(最初の一致がファイルのスキャンを引き起こします):

  • Content-Disposition HTTPヘッダーがAttachmentである場合

  • リクエストのボディのバイトシグネチャが、以下のファイルタイプカテゴリのいずれかとして特定されるシグネチャと一致する場合:

    • 実行可能ファイル(例:.exe.bat.dll.wasm
    • ドキュメント(例:.doc.docx.pdf.ppt.xls
    • 圧縮ファイル(例:.7z.gz.zip.rar

  • Content-Dispositionヘッダー内のファイル名が、上記のファイルタイプカテゴリのいずれかを示すファイル拡張子を含む場合

上記の条件のいずれもファイルをスキャンするトリガーにならない場合、GatewayはオリジンのContent-Typeヘッダーを使用してファイルをスキャンするかどうかを判断します。さらに、Gatewayは画像、動画、または音声ファイルタイプカテゴリにあると判断したファイルをスキャンしません。

上記の3つの方法に基づいてスキャンを引き起こさないファイルが、スキャンから除外される基準にも一致しない場合、Gatewayはデフォルトでそのファイルをマルウェアのスキャン対象とします。

スキャンできないファイル

すべてのファイルがスキャンできるわけではありません。たとえば、暗号化のために開くことができないパスワード保護されたファイルが該当します。管理者は、オープン失敗(ファイルをスキャンせずに通過させる)またはクローズ失敗(ファイル転送を拒否する)を選択できます。

以下のファイルはスキャンできず、管理者がGatewayをオープン失敗またはクローズ失敗に設定したかどうかに基づいてブロックまたは許可されます:

  • 15MBを超えるファイルはスキャンできません。
  • パスワード保護されたアーカイブ
  • 再帰レベルが3を超えるアーカイブ
  • 300ファイルを超えるアーカイブ
  • PGP暗号化されたファイル

スキャンからのコンテンツの除外

管理者がアップロードおよび/またはダウンロードのためにAVスキャンを有効にすると、Gatewayはすべてのサポートされているファイルをスキャンします。管理者はHTTPルールを活用してスキャンを選択的に無効にすることができます。すべてのHTTPセレクタを使用して、Do Not Scanアクションを使用してHTTPトラフィックをAVスキャンから除外できます。たとえば、example.comからアップロードまたはダウンロードされるファイルのAVスキャンを防ぐために、管理者は次のルールを設定します:

セレクタ演算子アクション
ホスト名正規表現に一致example.comスキャンしない

AVスキャンからの除外は、ファイルのアップロードとダウンロードの両方に適用されます(つまり、グローバルAVスキャン設定に一致します)。たとえば、管理者がアップロードのみをグローバルにスキャンすることを選択した場合、AVスキャンからの除外はアップロードのみに適用されます。

トラフィックがDo Not Scanルールに一致する場合、ファイルサイズやファイルタイプがサポートされているかどうかに関係なく、何もスキャンされません。

サポートされている圧縮ファイルタイプ

PDFのような標準オブジェクトファイルに加えて、Zero Trustは以下のアーカイブタイプのAVスキャンをサポートしています:

  • 7-Zip
  • 7-Zip SFX
  • ACE
  • ACE SFX
  • AutoHotkey
  • AutoIt
  • BASE64
  • BZ2
  • CHMヘルプファイル
  • CPIO SVR4
  • Chrome拡張(CRX)パッケージ形式
  • 拡張可能アーカイブ形式(XAR)
  • GZIP圧縮ファイル
  • ISO 9660
  • Inno Setup
  • Indigo Rose Setup Factory
  • Javaアーカイブ
  • LZH/LHA
  • MacBinary
  • MIME base64
  • MSCOMPRESS
  • Microsoft CAB
  • Microsoft TNEF
  • NSIS Nullsoft Installer
  • Office Legacy XML
  • PGP署名メッセージ、ドキュメントなど
  • RPM
  • RAR
  • SAPCar
  • 自己解凍ARJ
  • 自己解凍CA
  • 自己解凍LZH/LHA
  • 自己解凍RAR
  • 自己解凍ZIP
  • Smart Install Maker
  • TAR
  • UUEおよびXXE圧縮ファイル
  • Windows Imaging File(WIM)
  • XE圧縮ファイル(UUEおよびXXE)
  • XZファイル形式
  • ZIP
  • ZOO
Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings