概要
ZTSAは、トレンドマイクロのセキュリティソリューション「Trend Vision One」の一機能であるアクセス制御ソリューションサービスとなります。
この度、ZTSAでは、2023年11月1日から「TMWSからの移行機能」の提供を開始いたしました。
本機能は、TMWSの各種設定をZTSAの「インターネットアクセス制御」に移行する機能となります。これにより、TMWSをご利用のお客様はZTSAの「インターネットアクセス制御」への移行が可能となり、移行時点でのTMWSのライセンスの有効期限まで無償でZTSAをご利用いただけます。
- トレンドマイクロよりTrend Micro SaaS Subscription License(TSSL)で年額で購入いただいているお客様向けの機能となります。
弊社販売 SaaS パートナー様経由等で、月額など Trend Micro マネージド事業者ライセンス(MSPL)でご購入いただいている場合は、恐れ入りますがご利用いただくことはできません。 - 本移行機能を利用して有効化した ZTSA は、移行元のTMWSのライセンス有効期限までの間、試用版として動作します。
この試用期間中は、ZTSA インターネットアクセスの全機能をご利用いただけます。
移行元の TMWS のライセンス有効期限より、ZTSA の試用版の期限(利用開始より60日後)の方が後になる場合は、試用版の期限まで無償でご利用いただけます。 - 移行元の TMWS ライセンスが有効な間に、ZTSA の製品ライセンスをご購入いただき、弊社よりお送りするアクティベーションリンクを用いてアクティベーションすることで、ご購入いただいたライセンスに基づいた Trend Vision One Credits がお客様環境の Trend Vision One アカウントに付与されます。
手順につきましては、こちらをご参照ください。
ZTSA のアクティベーションを完了されましたら、[ZERO TRUST SECURE ACCESS] > [Secure Access Overview] 画面右上の歯車アイコンをクリックすることで確認できる [Credits設定] より「試用期間終了後にCreditsを自動的に割り当て」を有効にしてください。
本設定を行うことによって、付与された Credits が試用期間終了後に ZTSA のインターネットアクセスに自動的に割り当てられ、試用期間中にご利用いただいていた設定のまま、継続して ZTSA をご利用いただけます。
なお、有効な Credits をお持ちでない場合、上記「試用期間終了後にCreditsを自動的に割り当て」の設定は有効になりません。
そのため、事前に ZTSA インターネットアクセスのライセンスまたは Credits のご購入およびアクティベーションを実施いただくようお願いいたします。
本設定を行わず、「後で決定」を選択いただいたまま試用期間が終了すると、ZTSA インターネットアクセスの機能が停止し、ご利用いただいていた設定も削除されます。
移行の詳細は後述の内容をご確認ください。
ZTSAに移行されるTMWSの設定または機能は一部となります。
TMWSのログ、ダッシュボード、レポートは移行対象となりません。
移行対象となる設定の詳細につきましては、こちらの製品Q&Aをご参照ください。
以下のTMWSの機能または設定については、移行にあたって事前に注意が必要となります。
必要に応じて、移行前または移行後の対応をご検討ください。
| TMWSの機能 | ZTSAでの注意事項 |
|---|---|
| [ゲートウェイ] > [仮想ゲートウェイ] |
Webアクセスにあたり、ZTSAではユーザ認証を完全に無効にすることができません。 |
| [ゲートウェイ] > [オンプレミスゲートウェイ] |
TMWSのオンプレミスゲートウェイは、ZTSAに移行されません。 |
| [ポリシー] > [クラウドアクセスルール]の"トラフィックの種類” - "アプリケーションカテゴリ" | TMWSの"アプリケーションカテゴリ"で選択したカテゴリのうち、”XXXの機能”という名称のカテゴリがZTSAのインターネットアクセス制御ルールの移行対象となります。”XXXの機能”という名称ではないカテゴリ条件は、ZTSAでは用意しておりません。ZTSAでは、代わりにカスタムクラウドアプリカテゴリで当該カテゴリ条件をカバーする仕様となっております。必要に応じて、[Zero Trust Secure Access] > [Secure Access Resources] > [カスタムクラウドアプリカテゴリ]でカスタムクラウドアプリカテゴリを作成し、インターネットアクセス制御ルールの条件として設定してください。 |
| [ポリシー] > [オブジェクト] > [IPアドレスグループ] | TMWSのクラウドアクセスルールにおけるIPアドレスグループ条件は、ZTSAのインターネットアクセス制御ルールのプライベートIPアドレスグループ条件に移行されます。パブリックIPアドレスは移行されません。 当該条件では、クライアントの接続元IPアドレス情報をチェックいたします。TMWSでプライベートIPアドレスによるIPアドレスグループ条件をご利用の場合、社内環境にX-Forwarded-Forヘッダを付与するネットワーク機器等を導入いただき、TMWSクラウドプロキシへの接続の前にX-Forwarded-Forヘッダの最初の値としてクライアントのIPアドレスを付与する必要がありました。ZTSAの「インターネットアクセス制御」においても、プライベートIPアドレスグループ条件によるクライアントの識別には、X-Forwarded-Forヘッダの付与またはSecure Access Moduleの各種端末へのインストールが必要となります。TMWSの環境で既にX-Forwarded-Forヘッダを付与するネットワーク機器等を導入済みの場合は、引き続きZTSAにても使用いただくことをご検討ください。 なお、ZTSAがクライアント端末のプライベートIPアドレスを取得するための要件は以下の通りです。クライアント端末はクラウドゲートウェイまたはオンプレミスゲートウェイを経由してZTSAへアクセスすることが必要になります。 ■クラウドゲートウェイ経由の場合 |
| [ポリシー] > [グローバル設定] > [送信トラフィック用の静的IPアドレス] |
ZTSAでは、類似の機能をご用意しておりません。 |
| [ポリシー] > [グローバル設定] > [HTTPSインスペクション]のHTTPSインスペクション用のCA証明書 |
ZTSAの「インターネットアクセス制御」のクラウドプロキシで使用するデフォルトのHTTPSインスペクション用CA証明書は、TMWSのクラウドプロキシで使用するデフォルトのHTTPSインスペクション用CA証明書と同じです。 |
| [ログ] > [クラウドSyslog転送] |
TMWSでSyslog転送機能ならびにSyslog転送ツールは移行されません。 ZTSAのオンプレミスゲートウェイでは、自身の"セキュアアクセスアクティビティデータ"をsyslogサーバへ転送する機能を用意しております。 |
| [管理] > [サービス配信] > [PACファイル] |
TMWSのPACファイルは、ZTSAへ移行されません。ZTSAのPACファイルは、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] >[PACファイル]から設定します。 |
| [管理] > [サービス配信] > [適用エージェント] |
TMWSで使用していた適用エージェント(Windows版/MacOS版/iOS版/Android版)は、ZTSAへ移行されません。 |
| [管理] > [ユーザと認証] > [ディレクトリサービス] | TMWSのディレクトリサービス連携設定は、ZTSAへ移行されません。ZTSA向けに新規に設定いただくことになります。 ZTSAでサポートするディレクトリサービスは、Active Directory,OpenLDAP,Microsoft Entra ID,Okta,Google Cloud Identityの5種類です。 ディレクトリサービスの設定は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management]から行います。ZTSAのディレクトリサービス設定の詳細につきましては、オンラインヘルプをご参照ください。 |
| [管理] > [ユーザと認証] > [ホストされているユーザ] |
TMWSのローカルユーザである「ホストされているユーザ」は、ZTSAへ移行されません。[Administration] > [User Accounts]からZTSAの管理者アカウントを作成いただけます。管理者アカウント作成につきましては、オンラインヘルプをご参照ください。 |
移行を行う前に、移行対象となる機能と移行の仕様をこちらの製品Q&Aからご確認ください。
1.Trend Vision OneのセットアップとZTSA移行機能の有効化
ご注意:以下のTrend Vision One Console(以下、V1コンソール)の画面は2024年4月時点のものとなります。
1.1.V1コンソールにアクセスし「今すぐセットアップ」をクリック
1.2.「既存のトレンドマイクロソリューション」で"他のSaaSサービス"を選択
1.3.ご利用のTMWSに紐づくCustomer License Portalのアカウントを入力
1.4.ご利用のリージョンを選択
リージョンは「Japan」を選択し、「Provision Console」をクリックしてください。
本設定は決定後の変更が不可能なため、ご注意ください。
1.5.V1コンソールにログイン後、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]へ移動
移動後、以下のポップアップが表示される場合は、「今すぐ開始」を押下後にそのまま閉じてください。
画面に表示されている「今すぐ開始」を押下します。
1.6.Credit設定に移動するので、"適用"を押下
「サービスステータス」で「インターネットアクセス」が有効なことをご確認のうえ、画面左下の「適用」を押下してください。
1.7.[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]へ再度移動
画面の右上に「Webゲートウェイをアップグレード」のボタンが表示されていれば、ZTSA移行機能の準備が完了します。
2.移行機能実行前の作業
2.1.ユーザ/グループ情報の同期とシングルサインオン設定(オプション)
V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management]にて、ディレクトリサービスの登録とユーザ/グループ情報のZTSAへの同期を実施します。
TMWSのクラウドアクセスルールのユーザ/グループ条件の移行には、事前にZTSAへのユーザ/グループ情報の同期が必要です。[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management] の「IAM管理」タブでディレクトリサービスの登録と同期、「認証管理」タブでシングルサインオン設定を実施してください。これら2つの設定を行わないと、インターネットアクセス制御ルールでユーザ/グループ条件を使用することができません。設定の詳細はオンラインヘルプをご参照ください。
「ユーザ/グループ条件の移行は不要で、移行後に新規に設定される」場合等は、本作業をスキップいただいて問題ありません。
2.2.インターネットアクセス制御の一時的な無効化(オプション)
V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]の右上にある「Webゲートウェイをアップグレード」の右にある「インターネットアクセス制御:」を一時的にオフにします。移行機能実行前のタイミングでZTSAの「インターネットアクセス制御」の利用を防ぐ目的です。特に不要であれば、本作業をスキップいただいて問題ありません。
2.3.ZTSAの不要なクラウドゲートウェイの削除
V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [ゲートウェイ] > [クラウドゲートウェイ]にて、TMWSの仮想ゲートウェイと同じIPアドレスを持つクラウドゲートウェイを事前に削除します。TMWSの仮想ゲートウェイは、ZTSA側で既に同じIPアドレスを持つ既存の他のクラウドゲートウェイが存在する場合、ZTSAへ移行されません。
2.4.ZTSAのオンプレミスゲートウェイの導入(オプション)
ZTSAでオンプレミスゲートウェイを使用する場合、事前に導入を行います。Service Gateway仮想アプライアンスを導入し、オンプレミスゲートウェイとして配置いただくことになります。Service Gateway仮想アプライアンスはV1コンソールの[Workflow Automation] > [Service Gateway Management]から入手または確認可能です。オンプレミスゲートウェイの配置につきましてはオンラインヘルプをご参照ください。
Service Gateway仮想アプライアンスのシステム要件につきましても、オンラインヘルプをご参照ください。
移行後にオンプレミスゲートウェイを導入される場合は、本作業をスキップいただいて問題ありません。
2.5.仮想サンドボックス解析の有効化(オプション)
ZTSAで仮想サンドボックス解析を使用される場合は、V1コンソールの[Zero Trust Secure Access] > [Secure Access Overview]の画面右上の歯車アイコンをクリックすることで確認できる [Credits設定] にて、"サンドボックスに送信:"を有効にしてください。その後、[Zero Trust Secure Access] > [Secure Access Resources] > [脅威対策]の脅威対策ルールにて[詳細検索]タブの設定"オブジェクトをSandbox Analysisに提出する"を有効にすることで、当該脅威対策ルールでサンドボックス解析が実施されるようになります。
仮想サンドボックス解析が不要な場合は、本作業をスキップいただいて問題ありません。
3.移行機能の実行
3.1.「Webゲートウェイのアップグレード」のクリック
V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]に移動し、右上にある「Webゲートウェイをアップグレード」をクリックします。
3.2.移行機能の実行
「既存の製品からの設定の移行」が画面右に表示されるので、「設定の移行」をクリックします。
「設定を移行」に移動するので、「アップグレードする製品を選択」で"Trend Micro Web Security as a Service"を選択します。そして、「エンドユーザ使用許諾契約書(EULA)を読み、内容に同意します」にチェックを入れて画面右下の「移行」を押下します。
3.3.移行機能実行の完了
以下が表示されれば、移行機能が正常に開始されています。
その後、「既存の製品からの設定の移行」の「移行ステータス」が"移行済み"に変更されれば移行機能の実行が完了します。完了までの目安時間は約十数秒~数分程度となります。
なお、移行結果の簡易ログは「移行ログをダウンロード」からダウンロードしてご確認いただけます。また、移行機能は再実行いただくことが可能です。
4.移行機能実行後の作業
4.1.ユーザ/グループ情報の同期とシングルサインオン設定
移行機能実行前に実施していない場合は、V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management]にて、ディレクトリサービスの登録とユーザ/グループ情報のZTSAへの同期を実施します。[Zero Trust Secure Access] > [Secure Access Configuration] > [Identity and Access Management] の「IAM管理」タブでディレクトリサービスの登録と同期、「認証管理」タブでシングルサインオン設定を実施してください。これら2つの設定を行わないと、インターネットアクセス制御ルールでユーザ/グループ条件を使用することができません。設定の詳細はオンラインヘルプをご参照ください。
4.2.HTTPSインスペクション用CA証明書の準備と展開
ZTSAの「インターネットアクセス制御」のクラウドプロキシ、オンプレミスゲートウェイで使用するHTTPSインスペクション用のCA証明書の準備と展開を行います。ZTSAでのHTTPSインスペクションの証明書は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [インスペクションルール]から管理および確認可能です。デフォルトのHTTPSインスペクション用CA証明書は、同画面の右にある歯車のアイコンからダウンロード可能です。詳細は、オンラインヘルプをご参照ください。
■クラウドプロキシ向け
ZTSAのクラウドプロキシで使用するデフォルトのHTTPSインスペクション用CA証明書は、TMWSのクラウドプロキシで使用するデフォルトのHTTPSインスペクション用CA証明書と同じです。そのため、TMWSのクラウドプロキシ向けのHTTPSインスペクション用CA証明書は、以下2つを共に満たす場合以外は、ZTSAでもそのままご利用いただけます。各クライアント端末に改めて証明書をインストールいただく必要はありません。以下2つを共に満たす場合は、「クロス署名した証明書をZTSAへアップロードし、独自の組織の新CA証明書を各クライアント端末にインストール」する必要があります。
・独自の組織のCA証明書でクロス署名した証明書を使用している
・独自の組織のCA証明書を、ZTSA移行のタイミングに合わせて変更する
■オンプレミスゲートウェイ向け
ZTSAのオンプレミスゲートウェイで使用するデフォルトのHTTPSインスペクション用CA証明書は、TMWSのクラウドプロキシで使用するデフォルトのHTTPSインスペクション用CA証明書とは異なります。そのため、以下いずれかの対応が必要となります。
・ZTSAのデフォルトのオンプレミスゲートウェイ用のCA証明書を各クライアント端末にインストール。
・独自の組織のCA証明書でクロス署名した証明書を使用する場合、当該証明書をZTSAへアップロードし、独自の組織のCA証明書を各クライアント端末にインストール。
なお、ZTSAの適用エージェントであるSecure Access Moduleをインストールしたクライアント端末には、クラウドプロキシ、オンプレミスゲートウェイのデフォルトのHTTPSインスペクション用CA証明書が自動的にインストールされます。独自の組織のCA証明書でクロス署名した証明書を使用する場合は、別途独自の組織のCA証明書を各クライアント端末にインストールいただく必要があります。
4.3.ZTSAのオンプレミスゲートウェイの導入(オプション)
ZTSAでオンプレミスゲートウェイを使用する場合で、移行機能実行前に導入を行っていなければ、こちらのタイミングで導入を行います。Service Gateway仮想アプライアンスを導入し、オンプレミスゲートウェイとして配置いただくことになります。Service Gateway仮想アプライアンスはV1コンソールの[Workflow Automation] > [Service Gateway Management]から入手または確認可能です。オンプレミスゲートウェイの配置につきましてはオンラインヘルプをご参照ください。
Service Gateway仮想アプライアンスのシステム要件につきましても、オンラインヘルプをご参照ください。
4.4.移行された各種ルールや設定の確認
移行された各種ルールや設定をご確認いただき、必要であれば修正を行います。
移行対象の詳細につきましては、こちらの製品Q&Aをご参照ください。
なお、2.2でインターネットアクセス制御の無効にしている場合、新規にインターネットアクセス制御ルールを作成することができません。新規にインターネットアクセス制御ルールの作成が必要な場合は、先行して4.7にてインターネットアクセス制御の有効化を実施してください。
4.5.PACファイルの準備(オプション)
PACファイルを使用してクライアント端末をZTSAの「インターネットアクセス制御」にアクセスさせる場合は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] >[PACファイル]からPACファイルの設定を行います。必要に応じて、TMWSで使用していたPACファイルの内容を複製し、「TMWSのクラウドプロキシまたはオンプレミスゲートウェイのホスト:ポート」を「ZTSAのクラウドプロキシまたはオンプレミスゲートウェイのホスト:ポート」に変更してください。PACファイルの詳細は、オンラインヘルプをご参照ください。また、ZTSAのホストまたはポートの情報につきましても、オンラインヘルプをご参照ください。
4.6.PACファイルの配布またはSecure Access Moduleの展開(オプション)
前章で作成したPACファイルをクライアント端末に展開します。ZTSAの適用エージェントであるSecure Access Moduleを使用しない場合は、Active DirectoryのGPO機能等を利用してPACファイルを各端末に配布いたします。Secure Access Moduleを使用する場合は、オンラインヘルプをご参照のうえで各端末に配布をお願いいたします。
4.7.インターネットアクセス制御の有効化(オプション)
移行機能実行前にインターネットアクセス制御を無効化していた場合、V1コンソールの[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration]の右上にある「Webゲートウェイをアップグレード」の右にある「インターネットアクセス制御:」をオンにします。
4.8.組織内のファイアウォール等の通信制限設定の変更(オプション)
必要に応じて、ご利用の組織内のファイアウォール等による通信制限の設定をZTSA向けに変更いたします。
ZTSAの通信要件につきましては、オンラインヘルプをご参照ください。
4.9.動作確認の実施
ZTSAのインターネットアクセス制御が期待通り動作するか動作確認を行います。
確認結果に応じて、必要であればルールや設定の追加または変更を行います。ZTSAのトラブルシュートにつきましては、オンラインヘルプもご参照ください。
以上で、TMWSからZTSAへの移行が完了となります。
Q1.ZTSAへの移行は再実行できますか。
はい、再実行可能です。再実行した場合、既存のルールや設定は上書きで移行されます。
Q2.ZTSA移行機能の実行によって、TMWSの設定や動作、ライセンス等に影響はありますでしょうか。
TMWSの既存の設定や動作、ライセンス等に影響はありません。TMWSの環境自体は引き続きそのまま残存し、ご利用いただけます。
Q3.ZTSA移行機能の実行によってエラーが発生いたしましたが、エラーの意味と対処方法が分かりません。
表示されたエラーの画面キャプチャを取得いただき、サポート窓口までお問い合わせください。その際に、Trend Vision Oneコンソールの[Administration] > [License Information]に記載の”ビジネス名:”と"ビジネスID:"もお知らせください。
Q4.ZTSA移行機能の移行ログを確認いたしましたが、内容または内容に伴う対処方法が分かりません。
移行ログをダウンロードいただき、確認されたい内容と合わせてサポート窓口までお問い合わせください。その際に、Trend Vision Oneコンソールの[Administration] > [License Information]に記載の”ビジネス名:”と"ビジネスID:"もお知らせください。
Q5.ZTSA移行機能の実行後、移行されたルールを確認すると(partially migrated)と記載されているものがあります。これは移行に失敗したということでしょうか。
いいえ。「一部ZTSAには移行できない設定が存在したため、移行可能なもののみを移行した」という意味になります。移行が失敗したということではありません。移行対象の詳細につきましては、こちらの製品Q&Aをご参照ください。