脅威対策に有効な推奨設定の例は以下の通りです。
目次
1. HTTPSインスペクションの使用
HTTPSのWebサイトのコンテンツに対して脅威解析を実施するには、HTTPSインスペクション機能によるHTTPS通信の復号が必要になります。以下をご参照のうえ、当該機能の使用をご検討ください。
なお、HTTPSインスペクション機能の有効/無効によるフィルタリング機能の差分につきましてはこちらもご参照ください。
1-1. HTTPSインスペクションの有効化
管理画面の[ポリシー] > [グローバル設定]の[HTTPSインスペクション]にて、"有効化:"を"オン"に設定します(図の赤枠の箇所)。これにより、HTTPSインスペクション機能が有効になります。
なお、HTTPSインスペクション機能の使用にあたって、予めクライアント端末へHTTPSインスペクション用CA証明書(図の緑枠内のリンク)をインストールする必要があります。詳細はこちらをご参照ください。
1-2. 復号ルールの設定
管理画面の[ポリシー] > [HTTPSインスペクション] > [復号ルール]にて、復号ルールを設定します。
復号ルールの条件に合致したHTTPSトラフィックがHTTPSインスペクション機能による復号の対象となります。
デフォルトで"初期設定"ルールが設定されていますが、個別にルールを設定したい場合は"+追加"を押下して新規ルールを作成します。復号ルールの各設定の詳細は以下の通りです。
| 設定項目 | 説明 |
|---|---|
| 「ルールの追加/編集」-「ルール名」 |
編集中の復号ルールのルール名を設定します。 |
| 「ルールの追加/編集」-「説明」 | 編集中の復号ルールに対する説明を記載します。 "初期設定"ルールの説明は"初期設定のHTTPSポリシー"で固定になります。 |
| 「ルールの追加/編集」-「有効化」 |
編集中のルールを有効にするかを設定します。 |
| 「ゲートウェイ」 |
編集中のルールの適用対象を特定のゲートウェイに限定するかを設定します。ゲートウェイは管理画面の[ゲートウェイ]で設定いたします。 |
| 「URLカテゴリ」 |
編集中のルールの適用対象とするアクセス先HTTPSサイトのURLカテゴリを選択します。 |
| 「証明書」- 「クラウド用のクロス署名された証明書」 |
クラウドプロキシでHTTPS復号時に使用するCA証明書を表示しています。 |
| 「証明書」- 「オンプレミス用のクロス署名された証明書」 |
オンプレミスゲートウェイでHTTPS復号時に使用するCA証明書を表示しています。 |
2. コンテンツタイプベースのルールの使用
クラウドアクセスルールの条件「コンテンツタイプ」を使用することで、指定したコンテンツ(ファイル)に対してアクセス制限を適用することが可能です。不要なコンテンツのダウンロードをブロックしたい場合は、コンテンツタイプベースのルールの設定をご検討ください。
クラウドアクセスルールは管理画面の[ポリシー] > [クラウドアクセスルール]で設定します。デフォルトで"初期設定"ルールが用意されていますが、当該ルールは特定の設定が固定値となる優先度最下位のルールです。ご要件に応じて、新規に専用のルールを作成することをご検討ください。
クラウドアクセスルールの各設定項目の詳細は、こちらをご参照ください。
■例「すべてのクライアントとすべてのアクセス先に対し、文書、実行ファイル、アーカイブファイルのダウンロードをブロックする」ルール
| 設定項目 | 説明 | 設定例 |
|---|---|---|
| 「ルールの追加/編集」-「ルール名」 |
編集中のルールのルール名を設定します。 | 任意のルール名を設定します。 |
| 「ルールの追加/編集」-「説明」 | 編集中のルールに対する説明を記載します。 "初期設定"ルールの説明は空値で固定になります。 | 任意の説明を記載します。 |
| 「ルールの追加/編集」-「有効化」 |
編集中のルールを有効にするかを設定します。 | 有効にするため、"オン"に設定します。 |
| 「ユーザ/グループ」 |
編集中のルールの適用対象を特定のクライアントに限定するかを設定します。 | すべてのクライアントを対象とするため、"すべて"を選択します。 |
| 「対象ドメイン」 |
編集中のルールの適用対象とするアクセス先サイトの特定のドメインに限定するかを設定します。 | ドメインによらず、すべてのアクセス先サイトを対象とするため、"すべて"を選択します。 |
| 「ゲートウェイ」 |
編集中のルールの適用対象を特定のゲートウェイに限定するかを設定します。ゲートウェイは管理画面の[ゲートウェイ]で設定いたします。 | ゲートウェイによらず、すべてのクライアントを対象とするため、"すべて"を選択します。 |
| 「トラフィックの種類」 |
編集中のルールの適用対象とするURLカテゴリ条件、アプリケーションカテゴリ条件、クラウドアプリケーションアクセスセット条件を設定します。アクセス先サイトが設定した条件に合致した場合、ルールが適用されます。 | 左記の条件によらずすべてのアクセス先サイトを対象とするため、"すべて"を選択します。 |
| 「クラウドサービス」 | 編集中のルールの適用対象を特定のクラウドサービスフィルタ条件に合致するアクセスに限定するかを設定します。 クラウドサービスフィルタ条件は、管理画面の[ポリシー] > [オブジェクト] > [クラウドサービスフィルタ]で設定いたします。 | クラウドサービスフィルタ条件によらず、すべてのアクセスを対象とするため、"すべて"を選択します。 |
| 「コンテンツタイプ」 | 編集中のルールの適用対象を特定のコンテンツに限定するかを設定します。 |
"選択したコンテンツタイプ"を選択し、それぞれ以下のように設定します。 |
| 「スケジュール」 | 編集中のルールの適用対象を特定の期間に限定するかを設定します。 なお、"初期設定"ルールは"常時"で固定になります。 | 期間によらずルールを動作させるため、"常時"を選択します。 |
| 「処理」 | 編集中のルールの条件に合致したWebアクセスに対する処理を設定します。 | 条件に合致した場合にブロックさせたいため、"ブロック"を選択し"他の処理を実行せずにブロック"を選択します。 |
3. 脅威対策テンプレートの使用
クラウドアクセスルールの機能である「脅威対策テンプレート」を使用することで、アクセス先サイトに対して脅威解析を行うことができます。脅威を検知した場合は、当該アクセス先サイトへのアクセスをブロックいたします。「脅威対策テンプレート」を使用したクラウドアクセスルールの設定をご検討ください。
3-1. 脅威対策テンプレートの設定
脅威対策テンプレートは管理画面の[ポリシー] > [セキュリティテンプレート] > [脅威対策]で設定します。
デフォルトで"初期設定"テンプレートが用意されていますが、個別のテンプレートを設定したい場合は"+追加"を押下して新規テンプレートを作成します。テンプレートの各設定例は以下の通りです。
各設定の詳細は、こちらもご参照ください。
| 設定項目 | 説明 | 設定例 |
|---|---|---|
| 「テンプレートの追加/編集」-「テンプレート名」 |
編集中のテンプレートの名前を設定します。 | 任意の名前を設定します。 |
| 「テンプレートの追加/編集」-「説明」 | 編集中のテンプレートに対する説明を記載します。 "初期設定"ルールの説明は空値で固定になります。 | 任意の説明を記載します。 |
| 「Webレピュテーション」-「有効化」 |
Webレピュテーションを有効にするかを設定します。 | 有効にするため、"オン"を選択します。 |
| 「Webレピュテーション」-「セキュリティレベル」 |
Webレピュテーションのセキュリティレベルを設定します。高くなるほど、より多くのWebサイトを脅威と見なしてブロックしますが、誤検出の可能性も高くなります。 | デフォルトの"中"を選択します。 |
| 「除外するコンテンツタイプ」 |
脅威解析の対象外とするコンテンツタイプを設定します。 | すべてを対象とするため、何も設定しません。 |
| 「ファイル検索」 |
脅威解析時の制限や例外処理を設定します。 | 以下のように設定します。 ■次のサイズより大きいファイルは許可し検索しない デフォルトの10MBに設定します。 ■検索する圧縮階層 デフォルトの10に設定します。 ■検索不能ファイル "ブロック"を選択します。 |
| 「高度な脅威検索」 | 各種「高度な脅威検索」のオプションの設定を行います。 オプション「クラウド仮想アナライザ」は、Advancedライセンスでのみご利用いただけます。 | 以下のように設定します。 ■ボットネット検索 "ブロック"を選択します。 ■機械学習型検索 "オン"を選択します。 ■クラウド仮想アナライザ "オン"を選択します。 ■不審オブジェクトの処理 "オン"を選択します。 "不審IPアドレス","不審URL","不審ドメイン","不審ファイルのSHA-1"はすべて"ブロック"を選択します。 |
3-2. 脅威対策テンプレートを使用したクラウドアクセスルールの設定
クラウドアクセスルールは管理画面の[ポリシー] > [クラウドアクセスルール]で設定します。デフォルトで"初期設定"ルールが用意されていますが、当該ルールは特定の設定が固定値となる優先度最下位のルールです。ご要件に応じて、新規に専用のルールを作成することをご検討ください。
クラウドアクセスルールの各設定項目の詳細は、こちらをご参照ください。
■例「すべてのクライアントとすべてのアクセス先に対し、3-1で作成した脅威対策テンプレートを適用する」ルール
| 設定項目 | 説明 | 設定例 |
|---|---|---|
| 「ルールの追加/編集」-「ルール名」 |
編集中のルールのルール名を設定します。 | 任意のルール名を設定します。 |
| 「ルールの追加/編集」-「説明」 | 編集中のルールに対する説明を記載します。 "初期設定"ルールの説明は空値で固定になります。 | 任意の説明を記載します。 |
| 「ルールの追加/編集」-「有効化」 |
編集中のルールを有効にするかを設定します。 | 有効にするため、"オン"に設定します。 |
| 「ユーザ/グループ」 |
編集中のルールの適用対象を特定のクライアントに限定するかを設定します。 | すべてのクライアントを対象とするため、"すべて"を選択します。 |
| 「対象ドメイン」 |
編集中のルールの適用対象とするアクセス先サイトの特定のドメインに限定するかを設定します。 | ドメインによらず、すべてのアクセス先サイトを対象とするため、"すべて"を選択します。 |
| 「ゲートウェイ」 |
編集中のルールの適用対象を特定のゲートウェイに限定するかを設定します。ゲートウェイは管理画面の[ゲートウェイ]で設定いたします。 | ゲートウェイによらず、すべてのクライアントを対象とするため、"すべて"を選択します。 |
| 「トラフィックの種類」 |
編集中のルールの適用対象とするURLカテゴリ条件、アプリケーションカテゴリ条件、クラウドアプリケーションアクセスセット条件を設定します。アクセス先サイトが設定した条件に合致した場合、ルールが適用されます。 | 左記の条件によらずすべてのアクセス先サイトを対象とするため、"すべて"を選択します。 |
| 「クラウドサービス」 | 編集中のルールの適用対象を特定のクラウドサービスフィルタ条件に合致するアクセスに限定するかを設定します。 クラウドサービスフィルタ条件は、管理画面の[ポリシー] > [オブジェクト] > [クラウドサービスフィルタ]で設定いたします。 | クラウドサービスフィルタ条件によらず、すべてのアクセスを対象とするため、"すべて"を選択します。 |
| 「コンテンツタイプ」 | 編集中のルールの適用対象を特定のコンテンツに限定するかを設定します。 |
コンテンツによらずルールの適用対象とするため、”すべて”を選択します。 |
| 「スケジュール」 | 編集中のルールの適用対象を特定の期間に限定するかを設定します。 なお、"初期設定"ルールは"常時"で固定になります。 | 期間によらずルールを動作させるため、"常時"を選択します。 |
| 「処理」 | 編集中のルールの条件に合致したWebアクセスに対する処理を設定します。 | "許可"を選択します。"許可"を選択することで設定「セキュリティテンプレート」が表示されます。当該設定は以下のように設定します。 ■脅威対策 3-1で作成した脅威対策テンプレートを選択します。 ■情報漏えい対策 "セキュリティテンプレートがありません"を選択します。 |