ビュー:

概要

ZTSAは、トレンドマイクロのセキュリティソリューション「Trend Vision One」の一機能であるアクセス制御ソリューションサービスとなります。
この度、ZTSAでは、2023年11月1日から「IWSVA 6.5 Service Pack 2 または IWSVA 6.5 Service Pack 3からの移行機能」、2024年4月23日から「IWSS 6.5からの移行機能」の提供を開始いたしました。
本機能は、IWSVA・IWSSの設定バックアップファイルをZTSAの「インターネットアクセス制御」に移行する機能となります。これにより、「IWSVA 6.5 Service Pack 2またはIWSVA 6.5 Service Pack 3をご利用のお客様」と「IWSS 6.5をご利用のお客様」は、ZTSAの「インターネットアクセス制御」への移行が可能となり、移行時点でのIWSVA・IWSSのライセンスの有効期限まで無償でZTSAをご利用いただけます。
移行対象となるIWSVA 6.5 Service Pack 2、IWSVA 6.5 Service Pack 3、IWSS 6.5のビルド番号には制限を設けておりません。任意のビルドのIWSVA 6.5 Service Pack 2、IWSVA 6.5 Service Pack 3、IWSS 6.5の設定バックアップファイルをZTSAへの移行で使用可能です。

IWSVA・IWSS を TRSL(Trend Micro Reliable Security License) でご利用いただいているお客様向けの機能となります。
それ以外のライセンスでご購入されているお客様につきましては、恐れ入りますがご利用いただくことはできません。
本移行機能を利用して有効化した ZTSA は、移行元の IWSVA・IWSS のライセンス有効期限までの間、試用版として動作します。この試用期間中は、ZTSA インターネットアクセスの全機能をご利用いただけます。上述の通り、試用期間は「ZTSA への移行操作で IWSVA・IWSS のライセンスを登録した時点での当該ライセンスの有効期限まで」となります。その後は IWSVA・IWSSのライセンスの有効期限を延長しても、ZTSAの試用期間は延長されません。
移行元の IWSVA・IWSS のライセンス有効期限より、ZTSA の試用版の期限（利用開始より60日後）の方が後になる場合は、試用版の期限まで無償でご利用いただけます。
移行元の IWSVA・IWSS ライセンスが有効な間に、ZTSA の製品ライセンスをご購入いただき、弊社よりお送りするアクティベーションリンクを用いてアクティベーションすることで、ご購入いただいたライセンスに基づいた Trend Vision One Credits がお客様環境の Trend Vision One アカウントに付与されます。
手順につきましては、こちらをご参照ください。

ZTSA のアクティベーションを完了されましたら、[ZERO TRUST SECURE ACCESS] > [Secure Access Overview] 画面右上の歯車アイコンをクリックすることで確認できる [Credits設定] より「試用期間終了後にCreditsを自動的に割り当て」を有効にしてください。
本設定を行うことによって、付与された Credits が試用期間終了後に ZTSA のインターネットアクセスに自動的に割り当てられ、試用期間中にご利用いただいていた設定のまま、継続して ZTSA をご利用いただけます。

なお、有効な Credits をお持ちでない場合、上記「試用期間終了後にCreditsを自動的に割り当て」の設定は有効になりません。
そのため、事前に ZTSA インターネットアクセスのライセンスまたは Credits のご購入およびアクティベーションを実施いただくようお願いいたします。
本設定を行わず、「後で決定」を選択いただいたまま試用期間が終了すると、ZTSA インターネットアクセスの機能が停止し、ご利用いただいていた設定も削除されます。

移行の詳細は後述の内容をご確認ください。

移行対象の設定

ZTSAに移行されるIWSVA・IWSSの設定または機能は一部となります。
IWSVA・IWSSのログ、ダッシュボード、レポートは移行対象となりません。
移行対象となる設定の詳細につきましては、こちらの製品Q&Aをご参照ください。

移行前の注意

以下のIWSVA・IWSS(以下、IWSx)の機能または設定については、移行にあたって事前に注意が必要となります。
必要に応じて、移行前または移行後の対応をご検討ください。

IWSxの機能	ZTSAでの注意事項
[アプリケーション制御] > [ポリシー]	IWSxのアプリケーション制御ポリシーで選択したアプリケーションカテゴリのうち、”詳細な検索処理”条件のカテゴリのみがZTSAのインターネットアクセス制御ルールの移行対象となります。”詳細な検索処理”条件ではないカテゴリ条件は、ZTSAでは用意しておりません。 ZTSAでは、代わりにカスタムクラウドアプリカテゴリで当該カテゴリ条件をカバーする仕様となっております。必要に応じて、[Zero Trust Secure Access] > [Secure Access Resources] > [カスタムクラウドアプリカテゴリ]でカスタムクラウドアプリカテゴリを作成し、インターネットアクセス制御ルールの条件として設定してください。なお、例外的に、IWSxのカテゴリ"Facebook Chat"に関しては処理が通常の"ブロック"となっていても、ZTSAにカテゴリ"Messanger"として移行されます。詳細はこちらのQ&Aをご参照ください。
・[アプリケーション制御] > [ポリシー] ・[HTTP] > [高度な脅威保護] > [ポリシー] ・[HTTP] > [URLフィルタ]	IWSVAのポリシー条件としてクライアントIPアドレス条件を使用していた場合、プライベートIPアドレスの条件のみがZTSAに移行されます。 ZTSAのインターネットアクセス制御ルールでプライベートIPアドレス条件を使用する場合、ZTSAがクライアント端末のプライベートIPアドレスを取得するためには、クライアント端末はクラウドゲートウェイまたはオンプレミスゲートウェイを経由してZTSAへアクセスすることが必要になります。 ■クラウドゲートウェイ経由の場合 Secure Access Moduleがクライアント端末にインストールされている必要があります。Secure Access Moduleがクライアント端末にインストールされていない場合、HTTP/HTTPSリクエスト内のX-Forwarded-Forヘッダの最初の値に「クライアント端末のプライベートIPアドレス」が付与されている必要があります。Secure Access ModuleもX-Forwarded-Forヘッダも無い場合は、プライベートIPアドレスを取得できません。 ■オンプレミスゲートウェイ経由の場合 Secure Access Moduleがクライアント端末にインストールされている場合、Secure Access Moduleを介してクライアントIPアドレスを取得します。Secure Access Moduleがクライアント端末にインストールされていない場合、HTTP/HTTPSリクエスト内のX-Forwarded-Forヘッダの最初の値に「クライアント端末のプライベートIPアドレス」が付与されている必要があります。Secure Access ModuleもX-Forwarded-Forヘッダも無い場合は、オンプレミスゲートウェイ接続時のクライアントIPアドレスを参照します。 Secure Access Moduleを使用する場合は、オンラインヘルプをご参照のうえで各端末に配布をお願いいたします。
・[アプリケーション制御] > [ポリシー] ・[HTTP] > [高度な脅威保護] > [ポリシー] ・[HTTP] > [URLフィルタ]	IWSxのポリシー条件としてLDAPユーザ/グループ条件を使用している場合、事前にZTSA側で参照先LDAPサーバのユーザ/グループ情報の同期が必要です。ただし、同期を行っていても移行されないケースがあります。 ZTSAでは、IWSxでサポートするLDAPサービスのうち、Active DirectoryとOpenLDAPをサポートいたします。ZTSAにLDAPユーザ/グループ条件が移行されるには、IWSxの各ポリシーのLDAPユーザ/グループ条件で表示されるユーザ名/グループ名が、それぞれ以下の属性値と一致している必要があります。一致しない場合、ユーザ/グループ条件はZTSAへは移行されません。ZTSAへの移行後に、改めて手動でユーザ/グループ条件を設定しなおしてください。 ZTSAへの移行はIWSxの設定バックアップファイルベースで行っており、ZTSAはIWSxのポリシー情報ベースでしかLDAPユーザ/グループ情報を確認できません。そのため、このような制限が発生いたします。 ■Active Directoryの場合ユーザ名：属性"userPrincipalName" グループ名：属性"cn" ■OpenLDAPの場合ユーザ：属性"mail" グループ：属性"cn"
・[アプリケーション制御] > [ポリシー] ・[HTTP] > [高度な脅威保護] > [ポリシー] ・[HTTP] > [URLフィルタ]	IWSxの左記3つのポリシーは、すべてZTSAのインターネットアクセス制御ルールへ移行されます。一方で、ZTSAのインターネットアクセス制御ルールの上限数は100となります。ZTSA移行機能の実行で当該上限を超えると判断された場合、移行処理は行われず失敗扱いとなります。IWSxで多くのポリシーを設定されている場合は、必要に応じて事前に不要なポリシーの削除等を行い、当該上限値を超えないようポリシーの変更をお願いいたします。別途「TMWS移行設定準備用のIWSx」を構築いただき、当該IWSxサーバで移行用に設定の削除や変更を実施いただく等の対応をご検討ください。左記3つのポリシーの移行仕様の詳細は、こちらの製品Q&Aをご参照ください。なお、ZTSAへの移行機能は再実行可能となっております。
[HTTP] > [HTTPS復号化] > [設定]	ZTSAの「インターネットアクセス制御」で使用するHTTPSインスペクション用CA証明書を、クライアント端末にインストールいただく必要があります。HTTPSインスペクション用CA証明書は、クラウドプロキシ用とオンプレミスゲートウェイ用の2つがございます。クラウドプロキシ用、オンプレミスゲートウェイ用共に、以下いずれかの対応が必要となります。オンプレミスゲートウェイ用のHTTPSインスペクション用CA証明書のインストールは、オンプレミスゲートウェイを導入されない場合は不要です。・ZTSAのデフォルトのCA証明書を各クライアント端末にインストール。・独自の組織のCA証明書でクロス署名した証明書を使用する場合、当該証明書をZTSAへアップロードし、独自の組織のCA証明書を各クライアント端末にインストール。 ZTSAでのHTTPSインスペクションの証明書は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [インスペクションルール]から管理および確認可能です。デフォルトのHTTPSインスペクション用CA証明書は、同画面の右にある歯車のアイコンからダウンロード可能です。詳細は、オンラインヘルプをご参照ください。
[FTP]	ZTSAでは、現在FTP検索機能を提供しておりません。
[ログ]	IWSxでのSyslog転送設定は、ZTSAへ移行されません。IWSVAで当該機能を使用している場合、ZTSAにて新たにSyslog転送を設定いただく必要があります。ただし、[XDR Threat Investigation] > [Workload Bench]または[Observed Attack Techniques]のみが転送対象となり、アクセスログである"セキュアアクセスアクティビティデータ”は対象となりません。 Syslogコネクタ (オンプレミス)：オンプレミスのSyslogサーバ向け Syslogコネクタ (SaaS/クラウド)：クラウドのSyslogサーバ向け ZTSAのオンプレミスゲートウェイでは、自身の"セキュアアクセスアクティビティデータ"をsyslogサーバへ転送する機能を用意しております。
[管理] > [配置ウィザード]	ZTSAで利用いただける配置モードは、ZTSAのクラウドプロキシではプロキシ転送モード、オンプレミスゲートウェイではプロキシ転送モードとICAPモード、リバースプロキシモード(※)のみとなります。IWSxでZTSAで対応していない配置モードをご利用の場合、システム構成の変更等が必要となります。 (※)現状、リバースプロキシモードにおいてLISTENポートとしてTCP:80とTCP:443を使用することができません。こちらは将来的な機能改善を予定しております。
[管理] > [一般設定] > [ユーザの識別]	IWSxのLDAPサービス連携設定は、ZTSAへ移行されません。ZTSA向けに新規に設定いただくことになります。ZTSAでサポートするディレクトリサービスは、Active Directory,OpenLDAP,Microsoft Entra ID,Okta,Google Cloud Identityの5種類です。ディレクトリサービスの設定は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management]から行います。ZTSAのディレクトリサービス設定の詳細につきましては、オンラインヘルプをご参照ください。また、ZTSAではユーザ認証が原則必須となります。IWSxをユーザ認証無しで運用されていたお客様は、新規にディレクトリサービスを設定いただくか、ZTSA上にローカルアカウントを作成いただくことをご検討ください。
[管理] > [一般設定] > [PACファイル]	IWSxのPACファイルは、ZTSAへ移行されません。ZTSAのPACファイルは、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] >[PACファイル]から設定します。 PACファイルの詳細は、オンラインヘルプをご参照ください。また、ZTSAのホストまたはポートの情報につきましても、オンラインヘルプをご参照ください。

移行を行う前に、移行対象となる機能と移行の仕様をこちらの製品Q&Aからご確認ください。

以下の移行手順の実施前に既にZTSAをアクティベートしている場合、手順1.8における「Webゲートウェイをアップグレード」ボタンが表示されず移行を行うことができません。こちらに該当する場合は、手順3.1で取得可能なIWSVA・IWSSの設定バックアップファイルとあわせてサポート窓口までお問い合わせをお願いいたします。

1.Trend Vision OneのセットアップとZTSA移行機能の有効化

ご注意:以下のTrend Vision One Console(以下、V1コンソール)の画面は2023年10月時点のものとなります。

1.1.V1コンソールにアクセスし「今すぐセットアップ」をクリック

1.2.「既存のトレンドマイクロソリューション」で"オンプレミス製品"を選択

現在使用中のIWSVAのアクティベーションコードを入力します。アクティベーションコードは、IWSVA管理コンソールの[管理] > [製品ライセンス]から確認可能です。

1.3.以下の画面に移動するので、チェックボックスにチェックを入れ「続行」を押下。

1.4.以下の画面に移動するので、Customer License Portalのアカウントにログイン

既にCustomer License PortalまたはVision Oneのアカウントをお持ちの場合は、「登録ビジネス下のライセンスをアクティベート」を選択し、アカウントを入力しログインします。
お持ちでない場合は、「ビジネスがトレンドマイクロに登録されていません」からアカウント登録を行います。

1.5.ご利用のリージョンを選択

リージョンは「Japan」を選択し、「Provision Console」をクリックしてください。
本設定は決定後の変更が不可能なため、ご注意ください。

1.6.V1コンソールにログイン後、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]へ移動

移動後、以下のポップアップが表示される場合は、「今すぐ開始」を押下後にそのまま閉じてください。

画面に表示されている「今すぐ開始」を押下します。

1.7.Credit設定に移動するので、"適用"を押下

「サービスステータス」で「インターネットアクセス」が有効なことをご確認のうえ、適用を押下してください。ライセンス有効期限の引継ぎ状況は、「アクティブなInterScan Web Securityライセンス」を押下することでご確認いただけます。

1.8.[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]へ再度移動

画面の右上に「Webゲートウェイをアップグレード」のボタンが表示されていれば、ZTSA移行機能の準備が完了します。

2.移行機能実行前の作業

2.1.ユーザ/グループ情報の同期とシングルサインオン設定(オプション)

V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management]にて、ディレクトリサービスの登録とユーザ/グループ情報のZTSAへの同期を実施します。
IWSVAのクラウドアクセスルールのユーザ/グループ条件の移行には、事前にZTSAへのユーザ/グループ情報の同期が必要です。[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management] の「IAM管理」タブでディレクトリサービスの登録と同期、「認証管理」タブでシングルサインオン設定を実施してください。これら2つの設定を行わないと、インターネットアクセス制御ルールでユーザ/グループ条件を使用することができません。設定の詳細はオンラインヘルプをご参照ください。
「ユーザ/グループ条件の移行は不要で、移行後に新規に設定される」場合等は、本作業をスキップいただいて問題ありません。

2.2.インターネットアクセス制御の一時的な無効化(オプション)

V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]の右上にある「Webゲートウェイをアップグレード」の右にある「インターネットアクセス制御:」を一時的にオフにします。移行機能実行前のタイミングでZTSAの「インターネットアクセス制御」の利用を防ぐ目的です。特に不要であれば、本作業をスキップいただいて問題ありません。

2.3.ZTSAのクラウドゲートウェイの設定(オプション)

ZTSAでクラウドゲートウェイを使用する場合、事前に設定を行います。V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [ゲートウェイ] > [クラウドゲートウェイ]にて設定を行ってください。設定の詳細はオンラインヘルプをご参照ください。
移行後にクラウドゲートウェイを設定される場合は、本作業をスキップいただいて問題ありません。

2.4.ZTSAのオンプレミスゲートウェイの導入(オプション)

ZTSAでオンプレミスゲートウェイを使用する場合、事前に導入を行います。Service Gateway仮想アプライアンスを導入し、オンプレミスゲートウェイとして配置いただくことになります。Service Gateway仮想アプライアンスはV1コンソールの[Workflow Automation] > [Service Gateway Management]から入手または確認可能です。オンプレミスゲートウェイの配置につきましてはオンラインヘルプをご参照ください。
Service Gateway仮想アプライアンスのシステム要件につきましても、オンラインヘルプをご参照ください。
移行後にオンプレミスゲートウェイを導入される場合は、本作業をスキップいただいて問題ありません。

2.5.仮想サンドボックス解析の有効化(オプション)

ZTSAで仮想サンドボックス解析を使用される場合は、V1コンソールの[Threat Intelligence] > [Sandbox Analysis]の「送信設定」から"1日あたりの引当"を設定し、当該解析を有効化する必要があります。設定の詳細はオンラインヘルプをご参照ください。当該設定には、Creditsの使用が必要となります。Creditsは、V1コンソールの[Administration] > [Credit Usage]から確認可能です。
仮想サンドボックス解析が不要な場合は、本作業をスキップいただいて問題ありません。

3.移行機能の実行

3.1.IWSVA・IWSSの設定バックアップファイルの取得

IWSVA・IWSS管理コンソールの[管理] > [設定のバックアップ/復元]から、設定バックアップファイルをエクスポートしてクライアント端末に保存しておきます。

3.2.「Webゲートウェイのアップグレード」のクリック

V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]に移動し、右上にある「Webゲートウェイをアップグレード」をクリックします。

3.3.移行機能の実行

「既存の製品からの設定の移行」が画面右に表示されるので、「設定の移行」をクリックします。　

「設定を移行」に移動するので、「アップグレードする製品を選択」で"InterScan Web Security"を選択します。そして、「ファイルを選択」から3.1で取得したIWSVA・IWSSの設定バックアップファイルを指定します。設定バックアップファイルのアップロード完了後、「エンドユーザ使用許諾契約書(EULA)を読み、内容に同意します」にチェックを入れて「移行」を押下します。

3.4.移行機能実行の完了

以下が表示されれば、移行機能が正常に開始されています。

その後、「既存の製品からの設定の移行」の「移行ステータス」が"移行済み"に変更されれば移行機能の実行が完了します。完了までの目安時間は約十数秒～数分程度となります。
なお、移行結果の簡易ログは「移行ログをダウンロード」からダウンロードしてご確認いただけます。また、移行機能は再実行いただくことが可能です。

4.移行機能実行後の作業

4.1.ユーザ/グループ情報の同期とシングルサインオン設定

移行機能実行前に実施していない場合は、V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management]にて、ディレクトリサービスの登録とユーザ/グループ情報のZTSAへの同期を実施します。[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management] の「IAM管理」タブでディレクトリサービスの登録と同期、「認証管理」タブでシングルサインオン設定を実施してください。これら2つの設定を行わないと、インターネットアクセス制御ルールでユーザ/グループ条件を使用することができません。設定の詳細はオンラインヘルプをご参照ください。

4.2.HTTPSインスペクション用CA証明書の準備と展開

ZTSAの「インターネットアクセス制御」のクラウドプロキシ、オンプレミスゲートウェイで使用するHTTPSインスペクション用のCA証明書の準備と展開を行います。オンプレミスゲートウェイ用のCA証明書の準備と展開は、オンプレミスゲートウェイを導入されない場合は不要です。
ZTSAでのHTTPSインスペクションの証明書は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [インスペクションルール]から管理および確認可能です。デフォルトのHTTPSインスペクション用CA証明書は、同画面の右にある歯車のアイコンからダウンロード可能です。詳細は、オンラインヘルプをご参照ください。

なお、ZTSAの適用エージェントであるSecure Access Moduleをインストールしたクライアント端末には、クラウドプロキシ、オンプレミスゲートウェイのデフォルトのHTTPSインスペクション用CA証明書が自動的にインストールされます。独自の組織のCA証明書でクロス署名した証明書を使用する場合は、別途独自の組織のCA証明書を各クライアント端末にインストールいただく必要があります。

4.3.ZTSAのクラウドゲートウェイの導入(オプション)

ZTSAでクラウドゲートウェイを使用する場合で、移行機能実行前に設定を行っていなければ、こちらのタイミングで設定を行います。V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [ゲートウェイ] > [クラウドゲートウェイ]にて設定を行ってください。設定の詳細はオンラインヘルプをご参照ください。

4.4.ZTSAのオンプレミスゲートウェイの導入(オプション)

ZTSAでオンプレミスゲートウェイを使用する場合で、移行機能実行前に導入を行っていなければ、こちらのタイミングで導入を行います。Service Gateway仮想アプライアンスを導入し、オンプレミスゲートウェイとして配置いただくことになります。Service Gateway仮想アプライアンスはV1コンソールの[Workflow Automation] > [Service Gateway Management]から入手または確認可能です。オンプレミスゲートウェイの配置につきましてはオンラインヘルプをご参照ください。
Service Gateway仮想アプライアンスのシステム要件につきましても、オンラインヘルプをご参照ください。

4.5.移行された各種ルールや設定の確認

移行された各種ルールや設定をご確認いただき、必要であれば修正を行います。
移行対象の詳細につきましては、こちらの製品Q&Aをご参照ください。
なお、2.2でインターネットアクセス制御の無効にしている場合、新規にインターネットアクセス制御ルールを作成することができません。新規にインターネットアクセス制御ルールの作成が必要な場合は、先行して4.8にてインターネットアクセス制御の有効化を実施してください。

4.6.PACファイルの準備(オプション)

PACファイルを使用してクライアント端末をZTSAの「インターネットアクセス制御」にアクセスさせる場合は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] >[PACファイル]からPACファイルの設定を行います。PACファイルの詳細は、オンラインヘルプをご参照ください。また、ZTSAのホストまたはポートの情報につきましても、オンラインヘルプをご参照ください。

4.7.PACファイルの配布またはSecure Access Moduleの展開(オプション)

前章で作成したPACファイルをクライアント端末に展開します。ZTSAの適用エージェントであるSecure Access Moduleを使用しない場合は、Active DirectoryのGPO機能等を利用してPACファイルを各端末に配布いたします。Secure Access Moduleを使用する場合は、オンラインヘルプをご参照のうえで各端末に配布をお願いいたします。

4.8.インターネットアクセス制御の有効化(オプション)

移行機能実行前にインターネットアクセス制御を無効化していた場合、V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]の右上にある「Webゲートウェイをアップグレード」の右にある「インターネットアクセス制御:」をオンにします。

4.9.組織内のファイアウォール等の通信制限設定の変更(オプション)

必要に応じて、ご利用の組織内のファイアウォール等による通信制限の設定をZTSA向けに変更いたします。
ZTSAの通信要件につきましては、オンラインヘルプをご参照ください。

4.10.動作確認の実施

ZTSAのインターネットアクセス制御が期待通り動作するか動作確認を行います。
確認結果に応じて、必要であればルールや設定の追加または変更を行います。ZTSAのトラブルシュートにつきましては、オンラインヘルプもご参照ください。

以上で、IWSVA・IWSSからZTSAへの移行が完了となります。

よくあるご質問

Q1.ZTSAへの移行は再実行できますか。

はい、再実行可能です。再実行した場合、既存のルールや設定は上書きで移行されます。

Q2.ZTSAへの移行が可能なIWSVA 6.5 Service Pack 2/Service Pack 3、IWSS 6.5のビルド番号に制限はありますか。

ございません。IWSVA 6.5 Service Pack 2/Service Pack 3、IWSS 6.5であれば、任意のビルドの設定バックアップを使用してZTSAへの移行が可能です。

Q3.ZTSA移行機能の実行によって、IWSVA・IWSSの設定や動作、ライセンス等に影響はありますでしょうか。

IWSVA・IWSSの既存の設定や動作、ライセンス等に影響はありません。IWSVA・IWSSの環境自体は引き続きそのまま残存し、ご利用いただけます。

Q4.ZTSA移行機能の実行によってエラーが発生いたしましたが、エラーの意味と対処方法が分かりません。

表示されたエラーの画面キャプチャを取得いただき、サポート窓口までお問い合わせください。その際に、Trend Vision Oneコンソールの[Administration] > [License Information]に記載の”ビジネス名:”と"ビジネスID:"もお知らせください。

Q5.ZTSA移行機能の移行ログを確認いたしましたが、内容または内容に伴う対処方法が分かりません。

移行ログをダウンロードいただき、確認されたい内容と合わせてサポート窓口までお問い合わせください。その際に、Trend Vision Oneコンソールの[Administration] > [License Information]に記載の”ビジネス名:”と"ビジネスID:"もお知らせください。

Q6.ZTSA移行機能の実行後、移行されたルールを確認すると(partially migrated)と記載されているものがあります。これは移行に失敗したということでしょうか。

いいえ。「一部ZTSAには移行できない設定が存在したため、移行可能なもののみを移行した」という意味になります。移行が失敗したということではありません。移行対象の詳細につきましては、こちらの製品Q&Aをご参照ください。

キーワード: IWSVA IWSS ZTSA 移行

InterScan Web SecurityシリーズからTrend Micro Zero Trust Secure Accessへの移行について

製品・バージョン:

Interscan Web Security Suite6.5 , Trend Vision OneAll , Interscan Web Security Virtual Appliance6.5

更新日: 2024/11/07

記事ID: KA-0015549

カテゴリ: SPEC , Migrate

概要

Trend Micro Zero Trust Secure Access(以下、ZTSA)では、InterScan Web Security Virtual Appliance(以下、IWSVA)とInterScan Web Security Suite Linux版(以下、IWSS)の一部の設定の移行が可能かと存じます。本移行機能を使用して設定を移行する手順について教えてください。

概要

IWSVA・IWSS を TRSL(Trend Micro Reliable Security License) でご利用いただいているお客様向けの機能となります。
それ以外のライセンスでご購入されているお客様につきましては、恐れ入りますがご利用いただくことはできません。
本移行機能を利用して有効化した ZTSA は、移行元の IWSVA・IWSS のライセンス有効期限までの間、試用版として動作します。この試用期間中は、ZTSA インターネットアクセスの全機能をご利用いただけます。上述の通り、試用期間は「ZTSA への移行操作で IWSVA・IWSS のライセンスを登録した時点での当該ライセンスの有効期限まで」となります。その後は IWSVA・IWSSのライセンスの有効期限を延長しても、ZTSAの試用期間は延長されません。
移行元の IWSVA・IWSS のライセンス有効期限より、ZTSA の試用版の期限（利用開始より60日後）の方が後になる場合は、試用版の期限まで無償でご利用いただけます。
移行元の IWSVA・IWSS ライセンスが有効な間に、ZTSA の製品ライセンスをご購入いただき、弊社よりお送りするアクティベーションリンクを用いてアクティベーションすることで、ご購入いただいたライセンスに基づいた Trend Vision One Credits がお客様環境の Trend Vision One アカウントに付与されます。
手順につきましては、こちらをご参照ください。

ZTSA のアクティベーションを完了されましたら、[ZERO TRUST SECURE ACCESS] > [Secure Access Overview] 画面右上の歯車アイコンをクリックすることで確認できる [Credits設定] より「試用期間終了後にCreditsを自動的に割り当て」を有効にしてください。
本設定を行うことによって、付与された Credits が試用期間終了後に ZTSA のインターネットアクセスに自動的に割り当てられ、試用期間中にご利用いただいていた設定のまま、継続して ZTSA をご利用いただけます。

なお、有効な Credits をお持ちでない場合、上記「試用期間終了後にCreditsを自動的に割り当て」の設定は有効になりません。
そのため、事前に ZTSA インターネットアクセスのライセンスまたは Credits のご購入およびアクティベーションを実施いただくようお願いいたします。
本設定を行わず、「後で決定」を選択いただいたまま試用期間が終了すると、ZTSA インターネットアクセスの機能が停止し、ご利用いただいていた設定も削除されます。

移行の詳細は後述の内容をご確認ください。

移行対象の設定

移行前の注意

IWSxの機能	ZTSAでの注意事項
[アプリケーション制御] > [ポリシー]	IWSxのアプリケーション制御ポリシーで選択したアプリケーションカテゴリのうち、”詳細な検索処理”条件のカテゴリのみがZTSAのインターネットアクセス制御ルールの移行対象となります。”詳細な検索処理”条件ではないカテゴリ条件は、ZTSAでは用意しておりません。 ZTSAでは、代わりにカスタムクラウドアプリカテゴリで当該カテゴリ条件をカバーする仕様となっております。必要に応じて、[Zero Trust Secure Access] > [Secure Access Resources] > [カスタムクラウドアプリカテゴリ]でカスタムクラウドアプリカテゴリを作成し、インターネットアクセス制御ルールの条件として設定してください。なお、例外的に、IWSxのカテゴリ"Facebook Chat"に関しては処理が通常の"ブロック"となっていても、ZTSAにカテゴリ"Messanger"として移行されます。詳細はこちらのQ&Aをご参照ください。
・[アプリケーション制御] > [ポリシー] ・[HTTP] > [高度な脅威保護] > [ポリシー] ・[HTTP] > [URLフィルタ]	IWSVAのポリシー条件としてクライアントIPアドレス条件を使用していた場合、プライベートIPアドレスの条件のみがZTSAに移行されます。 ZTSAのインターネットアクセス制御ルールでプライベートIPアドレス条件を使用する場合、ZTSAがクライアント端末のプライベートIPアドレスを取得するためには、クライアント端末はクラウドゲートウェイまたはオンプレミスゲートウェイを経由してZTSAへアクセスすることが必要になります。 ■クラウドゲートウェイ経由の場合 Secure Access Moduleがクライアント端末にインストールされている必要があります。Secure Access Moduleがクライアント端末にインストールされていない場合、HTTP/HTTPSリクエスト内のX-Forwarded-Forヘッダの最初の値に「クライアント端末のプライベートIPアドレス」が付与されている必要があります。Secure Access ModuleもX-Forwarded-Forヘッダも無い場合は、プライベートIPアドレスを取得できません。 ■オンプレミスゲートウェイ経由の場合 Secure Access Moduleがクライアント端末にインストールされている場合、Secure Access Moduleを介してクライアントIPアドレスを取得します。Secure Access Moduleがクライアント端末にインストールされていない場合、HTTP/HTTPSリクエスト内のX-Forwarded-Forヘッダの最初の値に「クライアント端末のプライベートIPアドレス」が付与されている必要があります。Secure Access ModuleもX-Forwarded-Forヘッダも無い場合は、オンプレミスゲートウェイ接続時のクライアントIPアドレスを参照します。 Secure Access Moduleを使用する場合は、オンラインヘルプをご参照のうえで各端末に配布をお願いいたします。
・[アプリケーション制御] > [ポリシー] ・[HTTP] > [高度な脅威保護] > [ポリシー] ・[HTTP] > [URLフィルタ]	IWSxのポリシー条件としてLDAPユーザ/グループ条件を使用している場合、事前にZTSA側で参照先LDAPサーバのユーザ/グループ情報の同期が必要です。ただし、同期を行っていても移行されないケースがあります。 ZTSAでは、IWSxでサポートするLDAPサービスのうち、Active DirectoryとOpenLDAPをサポートいたします。ZTSAにLDAPユーザ/グループ条件が移行されるには、IWSxの各ポリシーのLDAPユーザ/グループ条件で表示されるユーザ名/グループ名が、それぞれ以下の属性値と一致している必要があります。一致しない場合、ユーザ/グループ条件はZTSAへは移行されません。ZTSAへの移行後に、改めて手動でユーザ/グループ条件を設定しなおしてください。 ZTSAへの移行はIWSxの設定バックアップファイルベースで行っており、ZTSAはIWSxのポリシー情報ベースでしかLDAPユーザ/グループ情報を確認できません。そのため、このような制限が発生いたします。 ■Active Directoryの場合ユーザ名：属性"userPrincipalName" グループ名：属性"cn" ■OpenLDAPの場合ユーザ：属性"mail" グループ：属性"cn"
・[アプリケーション制御] > [ポリシー] ・[HTTP] > [高度な脅威保護] > [ポリシー] ・[HTTP] > [URLフィルタ]	IWSxの左記3つのポリシーは、すべてZTSAのインターネットアクセス制御ルールへ移行されます。一方で、ZTSAのインターネットアクセス制御ルールの上限数は100となります。ZTSA移行機能の実行で当該上限を超えると判断された場合、移行処理は行われず失敗扱いとなります。IWSxで多くのポリシーを設定されている場合は、必要に応じて事前に不要なポリシーの削除等を行い、当該上限値を超えないようポリシーの変更をお願いいたします。別途「TMWS移行設定準備用のIWSx」を構築いただき、当該IWSxサーバで移行用に設定の削除や変更を実施いただく等の対応をご検討ください。左記3つのポリシーの移行仕様の詳細は、こちらの製品Q&Aをご参照ください。なお、ZTSAへの移行機能は再実行可能となっております。
[HTTP] > [HTTPS復号化] > [設定]	ZTSAの「インターネットアクセス制御」で使用するHTTPSインスペクション用CA証明書を、クライアント端末にインストールいただく必要があります。HTTPSインスペクション用CA証明書は、クラウドプロキシ用とオンプレミスゲートウェイ用の2つがございます。クラウドプロキシ用、オンプレミスゲートウェイ用共に、以下いずれかの対応が必要となります。オンプレミスゲートウェイ用のHTTPSインスペクション用CA証明書のインストールは、オンプレミスゲートウェイを導入されない場合は不要です。・ZTSAのデフォルトのCA証明書を各クライアント端末にインストール。・独自の組織のCA証明書でクロス署名した証明書を使用する場合、当該証明書をZTSAへアップロードし、独自の組織のCA証明書を各クライアント端末にインストール。 ZTSAでのHTTPSインスペクションの証明書は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [インスペクションルール]から管理および確認可能です。デフォルトのHTTPSインスペクション用CA証明書は、同画面の右にある歯車のアイコンからダウンロード可能です。詳細は、オンラインヘルプをご参照ください。
[FTP]	ZTSAでは、現在FTP検索機能を提供しておりません。
[ログ]	IWSxでのSyslog転送設定は、ZTSAへ移行されません。IWSVAで当該機能を使用している場合、ZTSAにて新たにSyslog転送を設定いただく必要があります。ただし、[XDR Threat Investigation] > [Workload Bench]または[Observed Attack Techniques]のみが転送対象となり、アクセスログである"セキュアアクセスアクティビティデータ”は対象となりません。 Syslogコネクタ (オンプレミス)：オンプレミスのSyslogサーバ向け Syslogコネクタ (SaaS/クラウド)：クラウドのSyslogサーバ向け ZTSAのオンプレミスゲートウェイでは、自身の"セキュアアクセスアクティビティデータ"をsyslogサーバへ転送する機能を用意しております。
[管理] > [配置ウィザード]	ZTSAで利用いただける配置モードは、ZTSAのクラウドプロキシではプロキシ転送モード、オンプレミスゲートウェイではプロキシ転送モードとICAPモード、リバースプロキシモード(※)のみとなります。IWSxでZTSAで対応していない配置モードをご利用の場合、システム構成の変更等が必要となります。 (※)現状、リバースプロキシモードにおいてLISTENポートとしてTCP:80とTCP:443を使用することができません。こちらは将来的な機能改善を予定しております。
[管理] > [一般設定] > [ユーザの識別]	IWSxのLDAPサービス連携設定は、ZTSAへ移行されません。ZTSA向けに新規に設定いただくことになります。ZTSAでサポートするディレクトリサービスは、Active Directory,OpenLDAP,Microsoft Entra ID,Okta,Google Cloud Identityの5種類です。ディレクトリサービスの設定は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management]から行います。ZTSAのディレクトリサービス設定の詳細につきましては、オンラインヘルプをご参照ください。また、ZTSAではユーザ認証が原則必須となります。IWSxをユーザ認証無しで運用されていたお客様は、新規にディレクトリサービスを設定いただくか、ZTSA上にローカルアカウントを作成いただくことをご検討ください。
[管理] > [一般設定] > [PACファイル]	IWSxのPACファイルは、ZTSAへ移行されません。ZTSAのPACファイルは、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] >[PACファイル]から設定します。 PACファイルの詳細は、オンラインヘルプをご参照ください。また、ZTSAのホストまたはポートの情報につきましても、オンラインヘルプをご参照ください。