ファイル検索ポリシーの設定

ビュー:

検索ポリシー設定では、ファイル検索エンジンがZIP、RAR、7zなどの圧縮アーカイブをどのように処理するかを設定できます。これらの設定は、セキュリティカバレッジとパフォーマンスおよびリソース管理のバランスを取るのに役立ちます。これらの構成を理解することで、特定の使用ケースに合わせて検索の動作を最適化できます。

max-decompress-layer

説明: 検索エンジンが抽出して分析するネストされた圧縮層の最大深度を制御します。

圧縮アーカイブには、他の圧縮ファイルが含まれていることがあります (例えば、ZIPファイル内に別のZIPファイルが含まれている場合)。この設定は、ネストされたアーカイブを抽出する際にスキャナーがどの程度深くまで進むかを決定します。

Accepted Values: 0から20へ

初期設定: 20

値	挙動
`0`	解凍を完全にスキップ - 内容を抽出せずにアーカイブ自体のみを検索
`1-20`	指定された数のネストされた圧縮層を抽出して検索する

例: 3に設定されている場合、スキャナーはレイヤー1から3を分析しますが、3を超えるものはスキップします。

レイヤー1: 元のアーカイブ
レイヤー2: 元の中に見つかったアーカイブ
レイヤー3: レイヤー2アーカイブ内で見つかったアーカイブ

影響: 値が高いほど、より深いセキュリティカバレッジを提供しますが、処理時間とリソースが多く必要です。

エラーメッセージ: スキャン中にファイルがこの制限を超えた場合:

Too many compressed layers. Decompress some layers and try
    again.

最大解凍比率

説明: 各アーカイブ内のファイルに対して許可される最大圧縮率 (元のファイルサイズ ÷ 圧縮後のファイルサイズ) を制御します。

この設定は、「zip爆弾」攻撃から保護します。これは、悪意のあるアーカイブが非常に高い圧縮率を持ち、解凍時に過剰なシステムリソースを消費する可能性がある場合です。

Accepted Values: 0 (制限なし) または 100 以上

初期設定: 0

値	挙動
`0`	制限なし
`100+`	指定された制限よりも圧縮率が低いファイルを抽出して検索する

How It Works: 圧縮率は次のように計算されます:

Compression
                Ratio = Decompressed File Size / Compressed File
        Size

例: 1 MBの圧縮ファイルが100 MBに展開される場合、圧縮率は100:1です。圧縮率が100:1を超えるファイルはスキップされます。

影響: 低い値は解凍攻撃に対してより良い保護を提供しますが、正当な高圧縮ファイルを拒否する可能性があります。高い値はより寛容ですが、システムリソースの慎重な考慮が必要です。

エラーメッセージ: スキャン中にファイルがこの制限を超えた場合:

Maximum compression ratio exceeded. Contact
    support.

最大解凍ファイル数

説明: 検索エンジンが抽出して分析するアーカイブ内のファイルの最大数を制御します。

この設定は、多数のファイルを含むアーカイブを処理する際のスキャン時間とシステムリソースの管理に役立ちます。

Accepted Values: 0+

初期設定: 0

値	挙動
`0`	制限なし - アーカイブ内のすべてのファイルを検索
`1+`	アーカイブ内の指定された数のファイルを検索

例: 1000に設定されている場合、スキャナーは1つのアーカイブ内で最大1,000ファイルを分析します。この数を超えるファイルはスキャンされません。

影響: 値を低くすると大きなアーカイブのスキャン時間が短縮されますが、一部のファイルがスキャンされない可能性があります。0(制限なし) に設定すると、すべてのファイルがカバーされますが、多くのファイルを含むアーカイブの処理時間が長くなる可能性があります。

エラーメッセージ: スキャン中にファイルがこの制限を超えた場合:

Too many files in the zip. Remove some files to scan the
    zip.

最大解凍サイズ

説明: 解凍後のアーカイブ内の各ファイルの最大許可サイズ (メガバイト単位) を制御します。

この設定は、アーカイブ内の非常に大きなファイルが抽出およびスキャン中に過剰なシステムリソースを消費しないようにします。

Accepted Values: 0 から 2048 (MB)

初期設定: 2048

値	挙動
`0`	すべてのアーカイブ内容の解凍を完全にスキップする
`1-2048`	指定されたサイズ (MB) までのファイルを抽出して検索する

例: 500に設定されている場合、解凍時に500 MBを超えるアーカイブ内の個々のファイルはスキップされます。

影響: 値を低くするとスキャン中のメモリとディスク使用量が減少しますが、大きなファイルをスキップする可能性があります。値を高くすると (最大2048 MB / 2 GB)、大きなファイルのスキャンが可能になりますが、十分なシステムリソースが必要です。

エラーメッセージ: スキャン中にファイルがこの制限を超えた場合:

File is too large to extract. Reduce the file size and try
    again.

最適な運用の為に

検索パラメータを設定する際:

Balance security and performance: より高い制限は、より包括的なスキャンを提供しますが、より多くのシステムリソースを必要とします
Consider your use case: 組織が通常扱うファイルの種類に基づいて設定を調整
Monitor for errors: 制限超過エラーが頻繁に発生する場合は、関連するポリシー設定の調整を検討してください
Protect against attacks: 悪意のあるアーカイブ攻撃から保護するために、解凍比率の合理的な制限を維持する