ビュー:

概要

ZTSAは、トレンドマイクロのセキュリティソリューション「Trend Vision One」の一機能であるアクセス制御ソリューションサービスとなります。
この度、ZTSAでは、2023年11月1日から「IWSVA 6.5 Service Pack 2 または IWSVA 6.5 Service Pack 3からの移行機能」、2024年4月23日から「IWSS 6.5からの移行機能」の提供を開始いたしました。
本機能は、IWSVA・IWSSの設定バックアップファイルをZTSAの「インターネットアクセス制御」に移行する機能となります。これにより、「IWSVA 6.5 Service Pack 2またはIWSVA 6.5 Service Pack 3をご利用のお客様」と「IWSS 6.5をご利用のお客様」は、ZTSAの「インターネットアクセス制御」への移行が可能への移行が可能となり、移行時点でのIWSVA・IWSSのライセンスの有効期限まで無償でZTSAをご利用いただけます。
移行対象となるIWSVA 6.5 Service Pack 2、IWSVA 6.5 Service Pack 3、IWSS 6.5のビルド番号には制限を設けておりません。任意のビルドのIWSVA 6.5 Service Pack 2、IWSVA 6.5 Service Pack 3、IWSS 6.5の設定バックアップファイルをZTSAへの移行で使用可能です。

  • IWSVA・IWSSをTRSL(Trend Micro Reliable Security License)でご利用いただいているお客様向けの機能となります。それ以外のライセンスでご購入されているお客様につきましては、恐れ入りますがご利用いただくことはできません。


移行手順につきましてはこちらの製品Q&Aをご確認ください。本ページでは、移行対象の詳細について紹介します。

 

 

IWSVA・IWSS(以降、IWSx)の設定および機能毎の「ZTSAのインターネットアクセス制御」へ移行可否は以下の通りです。

IWSx管理画面の設定移行可否移行先のTrend Vision Oneコンソールの設定説明
[システムステータス]不可 -

ZTSAのクラウドプロキシのリソース情報を表示するページはご用意しておりません。ZTSAのオンプレミスゲートウェイのリソース情報は、
[Workflow and Automation] > [Service Gateway Management]からご確認いただけます。

[ダッシュボード]不可 - ZTSAでは、Trend Vision Oneコンソール[Zero Trust Secure Access] > [Secure Access Overview]で使用できるウィジェット/ダッシュボードをご覧ください。
[アプリケーション制御] > [ポリシー]一部可[Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]一部、移行できないケースがございます。
詳細は本Q&Aの「移行可能な機能の詳細説明」の章の1. [アプリケーション制御] > [ポリシー]をご参照ください。

[アプリケーション制御] > [設定]
※IWSVA 6.5 Service Pack 2、IWSS 6.5 Patch 3未満のみ

不可 -ZTSAでは類似の設定はございません。
[HTTP] > [HTTPS復号化] > [ポリシー]一部可[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [インスペクションルール]IWSxのデフォルトのポリシーのみが移行されます。
詳細は本Q&Aの「移行可能な機能の詳細説明」の章の2. [HTTP] > [HTTPS復号化] > [ポリシー]をご参照ください。
[HTTP] > [HTTPS復号化] > [設定]不可 -ZTSAでは、証明書検証は常に有効となります。
ZTSAにおけるHTTPSインスペクション用CA証明書の導入に関してはこちらの製品Q&A の該当する項目をご参照ください。
[HTTP] > [HTTPS復号化] > [トンネリング][Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション]  > [インスペクションの除外]詳細は本Q&Aの「移行可能な機能の詳細説明」の章の3. [HTTP] > [HTTPS復号化] > [トンネリング]をご参照ください。
[HTTP] > [高度な脅威保護] > [ポリシー]一部可

・[Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]
・[Zero Trust Secure Access] > [Secure Access Resources] > [脅威対策]
・[Zero Trust Secure Access] > [Secure Access Resources] > [ファイルプロファイル] 

一部、移行できないケースがございます。
詳細は本Q&Aの「移行可能な機能の詳細説明」の章の4. [HTTP] > [高度な脅威保護] > [ポリシー]をご参照ください。
[HTTP] > [高度な脅威保護] > [カスタム保護]不可 -

ZTSA(Trend Vision One)とサンドボックス解析で連携可能な製品につきましては、オンラインヘルプをご参照ください。また、ZTSAでは、Creditsを使用することで「クラウド環境のサンドボックスを使用したサンドボックス解析」を行うことも可能です。
ZTSAでの不審オブジェクトの管理は、Trend Vision Oneコンソールの[Threat Intelligence] > [Sandbox Analysis]または[Suspicious Object Management]で行います。

[HTTP] > [高度な脅威保護] > [設定]不可 -Webレピュテーションのフィードバック機能は、ZTSAでは固定で無効となっております。
また、Webレピュテーションに対する監視オプションは、ZTSAではご用意しておりません。
[HTTP] > [HTTP検索]不可 -HTTPリクエストをフィルタリング条件とする類似の機能として、[Zero Trust Secure Access] > [Secure Access Resources] > [HTTP/HTTPS要求フィルタ]がございます。
[Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]で、当該フィルタを条件としたルールを作成することで類似のフィルタリングを実現可能です。
[HTTP] > [情報漏えい対策]不可 -ZTSAも、[Zero Trust Secure Access] > [Secure Access Configuration] > [Secure Access Resources] > [情報漏えい対策]にて同じ機能を提供しております。
ただし、現行の製品仕様上、移行を行うことはできません。
[HTTP] > [アプレット/ActiveX対策]
※IWSVA 6.5 Service Pack 2、IWSS 6.5 Patch  3未満のみ
不可 -ZTSAでは類似の機能を提供しておりません。
[HTTP] > [URLフィルタ] > [ポリシー]一部可[Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]一部、移行できないケースがございます。
詳細は本Q&Aの「移行可能な機能の詳細説明」の章の5.[HTTP] > [URLフィルタ] > [ポリシー]をご参照ください。
[HTTP] > [URLフィルタ] > [設定]不可 -ZTSAでは類似の設定はございません。
[HTTP] > [アクセス割り当てポリシー]不可 -ZTSAでは類似の機能を提供しておりません。
[HTTP] > [URLアクセス設定]一部可[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [許可リスト/拒否リスト]除外リストはZTSAには存在しないため、移行されません。詳細は本Q&Aの「移行可能な機能の詳細説明」の章の6. [HTTP] > [URLアクセス設定]をご参照ください。
[HTTP] > [設定] > [X-Forwarded-Forヘッダ]不可 -ZTSAでは、クライアントのプライベートIPアドレスの確認のためX-Forwarded-Forヘッダを参照いたします。当該ヘッダの変更については、[Zero Trust Secure Access] > [Secure Access Resources] > [テナントの制限]で可能です。
[HTTP] > [設定] > [除外リスト]一部可 [Zero Trust Secure Access] > [Secure Access Resources] > [カスタムURLカテゴリ]ZTSAではインターネットアクセス制御ルールに対する類似の除外設定はできません。代わりに、IWSxの除外リストのうち「URLリスト」のみが、バックアップ目的として、ZTSAの「カスタムURLカテゴリ」として移行されます。ただし、ZTSAへ移行された「アプリケーション制御ポリシー」「高度な脅威検索ポリシー」「URLフィルタポリシー」で使用されている「URLリスト」のみが、カスタムURLカテゴリとして移行されます。
詳細は本Q&Aの「移行可能な機能の詳細説明」の章の7.[HTTP] > [設定] > [除外リスト]をご参照ください。
[HTTP] > [設定] > [アクセス管理の設定]不可 -ZTSAでは、類似の機能をご用意しておりません。
[HTTP] > [設定] > [カスタムカテゴリ][Zero Trust Secure Access] > [Secure Access Resources] > [カスタムURLカテゴリ]詳細は本Q&Aの「移行可能な機能の詳細説明」の章の8.[HTTP] > [設定] > [カスタムカテゴリ]をご参照ください。
[HTTP] > [設定] > [デジタル証明書]一部可[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション]  > [TLS/SSL証明書]詳細は本Q&Aの「移行可能な機能の詳細説明」の章の9.[HTTP] > [設定] > [デジタル証明書]をご参照ください。
[HTTP] > [設定] > [WRS/URLキャッシュ]不可 -ZTSAでは、類似の機能をご用意しておりません。
[HTTP] > [設定] > [コンテンツキャッシュ]
※IWSVAのみ
不可 -ZTSAでは、類似の機能をご用意しておりません。
[FTP]不可 -ZTSAでは、FTP検索をご用意しておりません。
[ログ]不可 -

ZTSAにおけるインターネットアクセス制御のログは、[XDR Threat Investigation] > [Search]において、「検索方法:」として"詳細:セキュアアクセスアクティビティデータ"を指定することでご確認いただけます。
IWSxでSyslog転送を使用している場合、ZTSAにて新たにSyslog転送を設定いただく必要があります。ただし、[XDR Threat Investigation] > [Workload Bench]または[Observed Attack Techniques]のみが転送対象となり、アクセスログである"セキュアアクセスアクティビティデータ”は対象となりません。

Syslogコネクタ (オンプレミス):オンプレミスのSyslogサーバ向け
Syslogコネクタ (SaaS/クラウド):クラウドのSyslogサーバ向け

ZTSAのオンプレミスゲートウェイでは、自身の"セキュアアクセスアクティビティデータ"をsyslogサーバへ転送する機能を用意しております。

[レポート]不可 -ZTSAにおけるレポートは、[Dashboard and Reports] > [Reports]にて設定可能です。
[アップデート]不可 -ZTSAはクラウドサービスベースの製品であり、各種パターンファイル自動更新スケジュールは固定となっています。
[通知]不可 -ZTSAでのWebサイトブロック画面等の設定は、新規に[Zero Trust Secure Access] > [Secure Access Configuration] > [Customization Settings]から設定いただくことになります。
[管理] > [監査ログ]不可 -ZTSAにおける監査ログは、[Administration] > [Audit Logs]からご確認いただけます。
[管理] > [配置ウィザード]不可 -

ZTSAのクラウドプロキシではプロキシ転送モード、オンプレミスゲートウェイではプロキシ転送モードとICAPモード、リバースプロキシモード(※)を提供しております。
(※)現状、リバースプロキシモードにおいてLISTENポートとしてTCP:80とTCP:443を使用することができません。こちらは将来的な機能改善を予定しております。

[管理] > [一般設定] > [ユーザの識別]不可 -ZTSAでサポートするディレクトリサービスは、Active Directory,OpenLDAP,Microsoft Entra ID,Okta,Google Cloud Identityの5種類です。ZTSA向けに新規に設定いただくことになります。ディレクトリサービスの設定は、[Zero Trust Secure Access] > [Secure Access Configuration]  > [Identity and Access Management]から行います。
ZTSAのディレクトリサービス設定の詳細につきましては、オンラインヘルプをご参照ください。
また、ZTSAではユーザ認証は原則必須です。ユーザ認証の無効化につきましてはこちらをご参照ください。
[管理] > [一般設定] > [ポリシー配信]不可 -ZTSAでは類似の機能を提供しておりません。
[管理] > [一般設定] > [データベース接続]不可 -

ZTSAでは類似の機能を提供しておりません。

[管理] > [一般設定] > [隔離管理]不可 -ZTSAでは類似の機能を提供しておりません。
[管理] > [一般設定] > [システム時間]不可 -ZTSAクラウド環境向けにはNTPサーバの設定は不要です。オンプレミスゲートウェイ向けには、CLIから設定いただくことになります。
[管理] > [一般設定] > [予約期間]一部可[Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]移行対象となるIWSxのルールで使用されている予約期間設定が、移行先のインターネットアクセス制御ルールの条件"予約"にそのまま設定されます。
[管理] > [一般設定] > [Control Managerへの登録]不可 -Apex Centralへの統合機能はご用意しておりません。
[管理] > [一般設定] > [複製の設定]不可 -ZTSAでは、クラウドプロキシまたはオンプレミスゲートウェイで共通の設定を使用するため、当該機能を提供しておりません。
[管理] > [一般設定] > [集中管理ログ/レポート]不可 -ZTSAでは、クラウドプロキシまたはオンプレミスゲートウェイのログを集約するようになっているため、当該機能を提供しておりません。
[管理] > [一般設定] > [検索方法]不可 -ZTSAでは、スマートスキャンを使用しておりません。代わりに、[Zero Trust Secure Access] > [Secure Access Configuration] > [Secure Access Resources] > [脅威対策]にて機械学習型検索を提供しております。
[管理] > [一般設定] > [PACファイル管理]不可 -ZTSAのPACファイルは、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] >[PACファイル]から設定します。PACファイルの詳細は、オンラインヘルプをご参照ください。また、ZTSAのホストまたはポートの情報につきましても、オンラインヘルプをご参照ください。

[管理] > [ネットワーク設定]
※IWSVAのみ

不可 -ZTSAクラウドプロキシ向けには当該関連機能はご用意しておりません。オンプレミスゲートウェイで提供しているネットワーク関連の設定につきましては、CLIから設定いただくことになります。
[管理] > [管理コンソール] > [アカウント管理]不可 -

ZTSAにおける管理ユーザは、[Administration] > [User Accounts]から作成可能です。また、ZTSA上の一般のローカルユーザとしてローカルアカウントを作成いただくことも可能です。

[管理] > [管理コンソール] > [役割の管理]不可 -ZTSAにおける管理ユーザの役割は、[Administration] > [User Roles]から作成可能です。
[管理] > [管理コンソール] > [アクセス管理の設定]不可 -Trend Vision Oneコンソールへのアクセス制限は、[Administration] > [Console Settings]から設定可能です。
[設定のバックアップ/復元]不可 -

ZTSAにおいても、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] >[グローバル設定] > [設定のバックアップと復元]で類似機能はご用意しております。

[管理] > [システムアップデート]不可 -ZTSAクラウドプロキシに対してお客様がシステムアップデート操作を行うことはございません。オンプレミスゲートウェイに対するアップデートにつきましては、[Workflow and Automation] > [Service Gateway Management]で管理いたします。
[管理] > [システムのメンテナンス]
※IWSVAのみ
不可 -ZTSAクラウドプロキシの停止または再起動を行うことはできません。オンプレミスゲートウェイの停止または再起動につきましては、CLIをご確認ください。
[管理] > [システムイベントログ]不可 -ZTSAクラウドプロキシのシステムログ閲覧機能は提供しておりません(お客様がご確認いただく必要はありません)。オンプレミスゲートウェイのトラブルシュートのログ情報につきましては、オンラインヘルプをご参照ください。
[管理] > [製品ライセンス]不可 -ZTSAへのライセンス登録は移行前に実施いただく必要があります。なお、ZTSAのライセンス情報は[Administration] > [License Information]から確認可能です。

[管理] > [SNMPの設定]
※IWSSのみ

不可 -ZTSAでは類似の機能を提供しておりません。
[管理] > [Webコンソール]
※IWSSのみ
不可 -ZTSAでは類似の機能を提供しておりません。
[管理] > [サポート情報]不可 -ZTSAクラウドプロキシの不具合等を確認された場合はつきましては、サポートにお問い合わせください。オンプレミスゲートウェイのトラブルシュートのログ情報につきましては、オンラインヘルプをご参照ください。
 

移行可能な各機能がどのように移行されるかの詳細は、以下で説明しております。

 

1. [アプリケーション制御] > [ポリシー]

移行先のZTSAの設定画面:[Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]

IWSVA・IWSS(以下、IWSx)の各ルールが、ZTSAのインターネットアクセス制御のルールとして移行されます。
ルール内の設定毎の移行先の設定は以下の通りです。

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
ルール名ルール名

ZTSAの値は「IWS_APPC_(IWSxの値) (migrated)」になります。移行不可能な設定がある場合、「IWS_APPC_(IWSxの値) (partially migrated)」という値になることがあります。
ただし、IWSx側のルールがプライベートIPv4アドレス条件とユーザ/グループ条件の両方を持つ場合、ZTSAでは以下2つの名称のルールが生成されます。ZTSAでは、当該条件を1つのルールで同時に設定することができないためです。

■プライベートIPv4アドレス条件用ルール「IWS_APPC_(IWSxの値)_ip (migrated)」または「IWS_APPC_(IWSxの値)_ip (partially migrated)」

■ユーザ/グループ条件用ルール
「IWS_APPC_(IWSxの値)_account (migrated)」または「IWS_APPC_(IWSxの値)_account (partially migrated)」

ポリシーを有効にするステータスIWSxの設定がそのまま移行されます。
IWSxのデフォルトルール「アプリケーション制御グローバルポリシー」は無効にできません。そのため、当該ルールは"有効"として移行されます。
ただし、「アプリケーション制御を有効にする」を無効にしている場合、デフォルトルール「アプリケーション制御グローバルポリシー」も含め、すべてのルールがステータス"無効"として移行されます。
アカウントユーザ/グループ/プライベートIPグループ
  1. IWSxで設定できるクライアント条件のうち、プライベートIPv4アドレス、ユーザ/グループ条件のみが移行されます。パブリックIPv4アドレス、IPv6アドレス、ホスト名条件は移行できません。移行できない条件が設定されていた場合、当該条件は削除されますがルール自体は移行されます。
  2. IWSxのルールがプライベートIPv4アドレス条件とユーザ/グループ条件の両方を持つ場合、ZTSAでは2つのルールに分かれます。詳細は「ルール名」の項をご参照ください。
  3. 各プライベートIPv4アドレス条件は、ZTSAの1つのプライベートIPアドレスグループとして「IWS_(数字) (migrated)」という名称で移行され、ZTSAの移行先のルールで自動的に使用されます。プライベートIPアドレスグループはZTSA管理画面の[Zero Trust Secure Access] > [Secure Access Resources] > [IPアドレスグループ]で設定・確認できます。なお、「IWS_(数字) (migrated)」の(数字)には、当該条件に対応するIWSxのデータベース上のIDが入ります。
  4. ユーザ/グループ条件を移行する場合、ZTSA側に事前に同名のユーザ/グループが登録ないしは同期されている必要があります。ZTSA側に同名のユーザ/グループが存在しない場合は、当該条件は移行されません(その他の移行可能な条件やルールは移行されます)。ただし、同期を行っていても移行されないケースがあります。
    ZTSAでは、IWSxでサポートするLDAPサービスのうち、Active DirectoryとOpenLDAPをサポートいたします。ZTSAにLDAPユーザ/グループ条件が移行されるには、IWSxの各ポリシーのLDAPユーザ/グループ条件で表示されるユーザ名/グループ名が、それぞれ以下の属性値と一致している必要があります。一致しない場合、ユーザ/グループ条件はZTSAへは移行されません。ZTSAへの移行後に、改めて手動でユーザ/グループ条件を設定しなおしてください。
    ZTSAへの移行はIWSxの設定バックアップファイルベースで行っており、ZTSAはIWSxのポリシー情報ベースでしかLDAPユーザ/グループ情報を確認できません。そのため、このような制限が発生いたします。
    ■Active Directoryの場合
    ユーザ名:属性"userPrincipalName"
    グループ名:属性"cn"
    ■OpenLDAPの場合
    ユーザ:属性"mail"
    グループ:属性"cn"
 -デバイス構成プロファイル"設定なし"と設定されます。
 -場所"すべての場所"と設定されます。
ルール - (各種アプリケーションカテゴリ)URL/クラウドアプリ
  1. ”選択したいずれかのURL/クラウドアプリ”が設定され、それぞれ以下のように移行されます。
    URLカテゴリ:何も選択されません。
    カスタムクラウドアプリカテゴリ:何も選択されません。
    カスタムクラウドアプリの処理:IWSxで選択したカテゴリのうち、”詳細な検索処理”条件のカテゴリで処理が"ブロック"となっているものが移行されます。”詳細な検索処理”条件ではないカテゴリ条件は、ZTSAでは用意しておりません。ZTSAでは、代わりにカスタムクラウドアプリカテゴリで当該カテゴリ条件をカバーする仕様となっております。必要に応じて、[Zero Trust Secure Access] > [Secure Access Resources] > [カスタムクラウドアプリカテゴリ]でカスタムクラウドアプリカテゴリを作成し、インターネットアクセス制御ルールの条件として設定してください。
  2. IWSxのルールの処理として"ブロック"以外の処理のみを使用している場合、当該ルールそのものがZTSAへ移行されません。
 -HTTP/HTTPS要求"任意の要求"と設定されます。
 -ファイルの種類"任意のファイル"と設定されます。
ルール - スケジュール予約IWSxで"常時"と設定している場合、ZTSAでも"常時"となります。
そうではない場合、ZTSAでは"カスタム"と設定され、IWSx管理画面の[管理] > [一般設定] > [予約期間]で作成したスケジュール内容がそのまま設定されます。
ルール - 備考説明IWSxの値がそのまま移行されます。
 -処理"クラウドアプリ/URLへのアクセスをブロック"と設定されます。
 

2. [HTTP] > [HTTPS復号化] > [ポリシー]

移行先のZTSAの設定画面:[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPインスペクション] > [HTTPインスペクションルール]

IWSVA・IWSS(以下、IWSx)のデフォルトルール「HTTPS復号化のグローバルポリシー」のみが、ZTSAへ移行されます。他のHTTPS復号化ルールは移行できません。
ルール内の設定毎の移行先の設定は以下の通りです。 

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
ルール名基本設定 - ルール名

ZTSAの値は「IWS_DEFAULT_HTTPS_(移行元の値) (migrated)」になります。

説明基本設定 - 説明IWSxの値がそのまま移行されます。
ポリシーを有効にする基本設定 - ステータスIWSxのデフォルトルール「HTTPS復号化のグローバルポリシー」は無効にできません。そのため、当該ルールは"有効"として移行されます。ただし、IWSxのポリシー一覧画面で「HTTPS復号化を有効にする」を無効にしている場合は、"無効"となります。
 -基本設定 - 場所

"すべての場所"と設定されます。

URLカテゴリ基本設定 - URLIWSxで選択していたカテゴリが選択されます。
IWSxでカスタムカテゴリを選択している場合、当該カテゴリはZTSAのカスタムURLカテゴリに移行され、本インターネットアクセス制御ルールで使用されます。詳細は8.[HTTP] > [設定] > [カスタムカテゴリ]をご参照ください。
HTTPS復号化の除外設定 -IWSxとは異なり、ZTSAのインスペクションルールでは、ルール毎に除外設定を行うことができません。そのため、移行されません。ZTSAで除外設定を行い場合は、個別に以下から手動設定をお願いします。

[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [インスペクションの除外]
 -証明書 - クラウドゲートウェイ証明書"初期設定の証明書"と設定されます。
 -証明書 - オンプレミスゲートウェイ証明書"初期設定の証明書"と設定されます。
 

3. [HTTP] > [HTTPS復号化] > [トンネリング]

移行先のZTSAの設定画面:[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [インスペクションの除外]

IWSVA・IWSS(以下、IWSx)からの移行の詳細は以下の通りです。

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
ドメイントンネリング - トンネリングされたドメインドメイン

IWSxの1エントリがZTSAの1エントリとしてそのまま移行されます。
なお、IWSxの"HTTPSドメイントンネリングを有効にする"の有効/無効は、移行には影響いたしません。

ドメイントンネリング - トンネリングされたドメインの除外次のサブドメインを対象外にする
  1. IWSxのトンネリングされたドメインに親ドメインが登録されているかによって、以下のように移行されます。
    ①親ドメインが"トンネリングされたドメイン"に存在する場合
    当該親ドメインの"次のサブドメインを対象外にする"エントリとして移行されます。
    ②親ドメインが"トンネルリングされたドメイン"に存在しない場合
    以下のように、同じ値が設定されたエントリとして移行されます。
    ドメイン:(IWSxの"トンネリングされたドメインの除外"に設定したドメイン)
    次のサブドメインを対象外にする:(IWSxの"トンネリングされたドメインの除外"に設定したドメイン)
  2. IWSxの"HTTPSドメイントンネリングを有効にする"の有効/無効は、移行には影響いたしません。
失敗したHTTPSアクセス - 致命的なエラーに対する自動トンネリングを有効にする -「インスペクションの除外」には移行されません。
[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [HTTPSインスペクションルール]の画面中央右にある設定(歯車のアイコン)の[バイパスモード]タブにある、”復号に失敗した場合にWebサーバへのHTTPS要求を許可”に設定が移行されます。
失敗したHTTPSアクセス - ドメインリスト -移行されません。
 

4. [HTTP] > [高度な脅威検索] > [ポリシー]

移行先のZTSAの設定画面:[Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]、[Zero Trust Secure Access] > [Secure Access Resources] > [脅威対策]、[Zero Trust Secure Access] > [Secure Access Resources] > [ファイルプロファイル]

IWSVA・IWSS(以下、IWSx)の各ルールが、ZTSAの「脅威対策ルールを使用したインターネットアクセス制御ルール」として移行されます。ZTSAでは、ウイルス検索等の脅威に対する条件は脅威対策ルールで設定いたします。そのため、IWSxの1つのルールに対し、ZTSAでは対応するインターネットアクセス制御ルールと脅威対策ルールが生成されることになります。ただし、IWSxのルールで[ウイルス/不正プログラム検索ルール] - [ブロックするファイルタイプ]を使用している場合、以下2つのルールが生成されます。ZTSAのインターネットアクセス制御ルールで脅威対策ルールを使用する場合、コンテンツタイプ条件ベースのブロック処理を同時に設定できないためです。

・脅威対策ルールを使用したインターネットアクセス制御ルール
・ファイルプロファイルを使用したインターネットアクセス制御ルール
 

4.1. [Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]の移行詳細

■脅威対策ルールを使用したインターネットアクセス制御ルール

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
ルール名ルール名

ZTSAの値は「IWS_ATP_TEMP_(IWSxの値) (migrated)」になります。移行不可能な設定がある場合、「IWS_ATP_TEMP_(IWSxの値) (partially migrated)」という値になることがあります。
ただし、IWSx側のルールがプライベートIPv4アドレス条件とユーザ/グループ条件の両方を持つ場合、ZTSAでは以下2つの名称のルールが生成されます。ZTSAでは、当該条件を1つのルールで同時に設定することができないためです。

■プライベートIPv4アドレス条件用ルール
「IWS_ATP_TEMP_(IWSxの値)_ip (migrated)」または「IWS_ATP_TEMP_(IWSxの値)_ip (partially migrated)」

■ユーザ/グループ条件用ルール
「IWS_ATP_TEMP_(IWSxの値)_account (migrated)」または「IWS_ATP_TEMP_(IWSxの値)_account (partially migrated)」

ポリシーを有効にするステータスIWSxの設定がそのまま移行されます。
IWSxのデフォルトルール「ウイルス検索のグローバルポリシー(HTTP検索グローバルポリシー)」は無効にできません。そのため、当該ルールは"有効"として移行されます。
なお、IWSxのポリシー一覧画面にある「ウイルス検索を有効にする」、「高度な脅威検索を有効にする」はZTSAへの移行では参照されません。
アカウントユーザ/グループ/プライベートIPグループ
  1. IWSxで設定できるクライアント条件のうち、プライベートIPv4アドレス、ユーザ/グループ条件のみが移行されます。パブリックIPv4アドレス、IPv6アドレス、ホスト名条件は移行できません。移行できない条件が設定されていた場合、当該条件は削除されますがルール自体は移行されます。
  2. IWSxのルールがプライベートIPv4アドレス条件とユーザ/グループ条件の両方を持つ場合、ZTSAでは2つのルールに分かれます。詳細は「ルール名」の項をご参照ください。
  3. 各プライベートIPv4アドレス条件は、ZTSAの1つのプライベートIPアドレスグループとして「IWS_(数字) (migrated)」という名称で移行され、ZTSAの移行先のルールで自動的に使用されます。プライベートIPアドレスグループはZTSA管理画面の[Zero Trust Secure Access] > [Secure Access Resources] > [IPアドレスグループ]で設定・確認できます。なお、「IWS_(数字) (migrated)」の(数字)には、当該条件に対応するIWSxのデータベース上のIDが入ります。
  4. ユーザ/グループ条件を移行する場合、ZTSA側に事前に同名のユーザ/グループが登録ないしは同期されている必要があります。ZTSA側に同名のユーザ/グループが存在しない場合は、当該条件は移行されません(その他の移行可能な条件やルールは移行されます)。ただし、同期を行っていても移行されないケースがあります。
    ZTSAでは、IWSxでサポートするLDAPサービスのうち、Active DirectoryとOpenLDAPをサポートいたします。ZTSAにLDAPユーザ/グループ条件が移行されるには、IWSxの各ポリシーのLDAPユーザ/グループ条件で表示されるユーザ名/グループ名が、それぞれ以下の属性値と一致している必要があります。一致しない場合、ユーザ/グループ条件はZTSAへは移行されません。ZTSAへの移行後に、改めて手動でユーザ/グループ条件を設定しなおしてください。
    ZTSAへの移行はIWSxの設定バックアップファイルベースで行っており、ZTSAはIWSxのポリシー情報ベースでしかLDAPユーザ/グループ情報を確認できません。そのため、このような制限が発生いたします。
    ■Active Directoryの場合
    ユーザ名:属性"userPrincipalName"
    グループ名:属性"cn"
    ■OpenLDAPの場合
    ユーザ:属性"mail"
    グループ:属性"cn"
ポリシー除外 - 承認するURLリスト

 -

ZTSAには該当する機能が無いため、移行されません。

ポリシー除外 - 除外ファイル名([Zero Trust Secure Access] >  [Secure Access Resources] > [脅威対策]へ移行)ルール名「(IWSxのルール名)_template (migrated)」としてZTSAの脅威対策ルールに移行され、当該脅威対策ルールがインターネットアクセス制御ルールに設定されます。詳細は後述の4.2[Zero Trust Secure Access] > [Secure Access Resources] > [脅威対策]の移行詳細をご参照ください。
Webレピュテーションルール([Zero Trust Secure Access] >  [Secure Access Resources] > [脅威対策]へ移行)ルール名「(IWSxのルール名)_template (migrated)」としてZTSAの脅威対策ルールに移行され、当該脅威対策ルールがインターネットアクセス制御ルールに設定されます。詳細は後述の4.2[Zero Trust Secure Access] > [Secure Access Resources] > [脅威対策]の移行詳細をご参照ください。
 -デバイス構成プロファイル”設定なし”と設定されます。
 -場所

"すべての場所"と設定されます。

 -トラフィック - URL/クラウドアプリ

”すべての”トラフィック"と設定されます。

 -トラフィック - HTTP/HTTPS要求"任意の要求"と設定されます。
ウイルス/不正プログラム検索ルール - ブロックするファイルタイプトラフィック - ファイルの種類

IWSxで当該条件を使用していない場合、"任意のファイル"と設定されます。
使用している場合は、前述の通り、「ファイルプロファイルを使用したインターネットアクセス制御ルール」が別途生成されます。詳細は後述の「ファイルプロファイルを使用したインターネットアクセス制御ルール」の項をご参照ください。

ウイルス/不正プログラム検索ルール - ブロックするファイルタイプ以外([Zero Trust Secure Access] >  [Secure Access Resources] > [脅威対策]へ移行)ルール名「(IWSxのルール名)_template (migrated)」としてZTSAの脅威対策ルールに移行され、当該脅威対策ルールがインターネットアクセス制御ルールに設定されます。詳細は後述の4.2[Zero Trust Secure Access] > [Secure Access Resources] > [脅威対策]の移行詳細をご参照ください。
スパイウェア検索ルール -ZTSAでは該当する設定が無いため移行されません。
脅威対策ルールによる脅威検出に包含されます。
ボット検出ルール([Zero Trust Secure Access] >  [Secure Access Resources] > [脅威対策]へ移行)ルール名「(IWSxのルール名)_template (migrated)」としてZTSAの脅威対策ルールに移行され、当該脅威対策ルールがインターネットアクセス制御ルールに設定されます。詳細は後述の4.2[Zero Trust Secure Access] > [Secure Access Resources] > [脅威対策]の移行詳細をご参照ください。
 -予約"常に"と設定されます。
処理 - 備考説明IWSxの値がそのまま移行されます。
処理 - ファイルタイプ処理IWSx側の設定によらず、「アクセス制御」は固定で"クラウドアプリ/URLへのアクセスを許可"と設定されます。
「詳細なセキュリティ設定」は以下に設定されます。

 テナント制御を有効化:(チェック無し)
 脅威対策を有効化:脅威対策ルール「(IWSxのルール名)_template (migrated)」が選択
 情報漏えい対策を有効化:(チェック無し)

脅威が検出された場合、設定された脅威対策ルールに従ってブロック等の処理が行われます。
 

■ファイルプロファイルを使用したインターネットアクセス制御ルール
IWSxのルールで[ウイルス/不正プログラム検索ルール] - [ブロックするファイルタイプ]を使用している場合にのみ、追加で生成されます。

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
ルール名ルール名

ZTSAの値は「IWS_ATP_(IWSxの値) (migrated)」になります。移行不可能な設定がある場合、「IWS_ATP_(IWSxの値) (partially migrated)」という値になることがあります。
ただし、IWSx側のルールがプライベートIPv4アドレス条件とユーザ/グループ条件の両方を持つ場合、ZTSAでは以下2つの名称のルールが生成されます。ZTSAでは、当該条件を1つのルールで同時に設定することができないためです。

■プライベートIPv4アドレス条件用ルール
「IWS_ATP_(IWSxの値)_ip (migrated)」または「IWS_ATP_(IWSxの値)_ip (partially migrated)」

■ユーザ/グループ条件用ルール
「IWS_ATP_(IWSxの値)_account (migrated)」または「IWS_ATP_(IWSxの値)_account (partially migrated)」

ポリシーを有効にするステータスIWSxの設定がそのまま移行されます。
IWSxのデフォルトルール「ウイルス検索のグローバルポリシー(HTTP検索グローバルポリシー)」は無効にできません。そのため、当該ルールは"有効"として移行されます。
なお、IWSxのポリシー一覧画面にある「ウイルス検索を有効にする」、「高度な脅威検索を有効にする」はZTSAへの移行では参照されません。
アカウントユーザ/グループ/プライベートIPグループ
  1. IWSxで設定できるクライアント条件のうち、プライベートIPv4アドレス、ユーザ/グループ条件のみが移行されます。パブリックIPv4アドレス、IPv6アドレス、ホスト名条件は移行できません。移行できない条件が設定されていた場合、当該条件は削除されますがルール自体は移行されます。
  2. IWSxのルールがプライベートIPv4アドレス条件とユーザ/グループ条件の両方を持つ場合、ZTSAでは2つのルールに分かれます。詳細は「ルール名」の項をご参照ください。
  3. 各プライベートIPv4アドレス条件は、ZTSAの1つのプライベートIPアドレスグループとして「IWS_(数字) (migrated)」という名称で移行され、ZTSAの移行先のルールで自動的に使用されます。プライベートIPアドレスグループはZTSA管理画面の[Zero Trust Secure Access] > [Secure Access Resources] > [IPアドレスグループ]で設定・確認できます。なお、「IWS_(数字) (migrated)」の(数字)には、当該条件に対応するIWSVAのデータベース上のIDが入ります。
  4. ユーザ/グループ条件を移行する場合、ZTSA側に事前に同名のユーザ/グループが登録ないしは同期されている必要があります。ZTSA側に同名のユーザ/グループが存在しない場合は、当該条件は移行されません(その他の移行可能な条件やルールは移行されます)。ただし、同期を行っていても移行されないケースがあります。
    ZTSAでは、IWSxでサポートするLDAPサービスのうち、Active DirectoryとOpenLDAPをサポートいたします。ZTSAにLDAPユーザ/グループ条件が移行されるには、IWSxの各ポリシーのLDAPユーザ/グループ条件で表示されるユーザ名/グループ名が、それぞれ以下の属性値と一致している必要があります。一致しない場合、ユーザ/グループ条件はZTSAへは移行されません。ZTSAへの移行後に、改めて手動でユーザ/グループ条件を設定しなおしてください。
    ZTSAへの移行はIWSxの設定バックアップファイルベースで行っており、ZTSAはIWSxのポリシー情報ベースでしかLDAPユーザ/グループ情報を確認できません。そのため、このような制限が発生いたします。
    ■Active Directoryの場合
    ユーザ名:属性"userPrincipalName"
    グループ名:属性"cn"
    ■OpenLDAPの場合
    ユーザ:属性"mail"
    グループ:属性"cn"
ポリシー除外 - 承認するURLリスト

 -

ZTSAには該当する機能が無いため、移行されません。

ポリシー除外 - 除外ファイル名 -ファイルプロファイルを使用したインターネットアクセス制御ルールには移行されません。
Webレピュテーションルール -ファイルプロファイルを使用したインターネットアクセス制御ルールには移行されません。
 -デバイス構成プロファイル”設定なし”と設定されます。
 -場所

"すべての場所"と設定されます。

 -トラフィック - URL/クラウドアプリ

”すべての”トラフィック"と設定されます。

 -トラフィック - HTTP/HTTPS要求"任意の要求"と設定されます。
ウイルス/不正プログラム検索ルール - ブロックするファイルタイプトラフィック - ファイルの種類

プロファイル名「(IWSxのルール名) (migrated CloudAccess)」または「(IWSxのルール名) (partially migrated CloudAccess)」として、Zero Trust Secure Access] > [Secure Access Resources] > [ファイルプロファイル]に対応するファイルプロファイルが作成されます。当該ファイルプロファイルが本設定に指定されることで、移行を実現しております。IWSxの「ブロックするファイルタイプ」は、ZTSAのファイルプロファイルの「実際のファイルの種類」に移行されます。

ウイルス/不正プログラム検索ルール - ブロックするファイルタイプ以外 -ファイルプロファイルを使用したインターネットアクセス制御ルールには移行されません。
スパイウェア検索ルール -ファイルプロファイルを使用したインターネットアクセス制御ルールには移行されません。
ボット検出ルール -ファイルプロファイルを使用したインターネットアクセス制御ルールには移行されません。
 -予約"常に"と設定されます。
処理 - 備考説明IWSxの値がそのまま移行されます。
処理 - ファイルタイプ処理IWSx側の設定によらず、「アクセス制御」は固定で"クラウドアプリ/URLへのアクセスをブロック"と設定されます。

 

4.2. [Zero Trust Secure Access] > [Secure Access Resources] > [脅威対策]の移行詳細

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
ルール名ルール名

ZTSAの値は「(IWSxのルール名)_template (migrated)」になります。

ポリシーを有効にする -脅威対策ルールには移行されません。
アカウント -脅威対策ルールには移行されません。
ポリシー除外 - 承認するURLリスト -ZTSAには該当する機能が無いため、移行されません。
ポリシー除外 - 除外ファイル名 -ZTSAには該当する機能が無いため、移行されません。
WebレピュテーションルールWebレピュテーション
  1. IWSxの設定がそのまま移行されます。
  2. IWSxの以下のオプション設定は移行対象外です。
     -ファーミング検索を含める
     -フィッシング検索を含める
     -C&Cコールバック試行の検索を含める
  3. ZTSAの設定「トレンドマイクロによる評価が完了していないWebサイトをブロック」は、IWSx側でセキュリティレベルが"高"である場合にのみ有効と設定されます。
  4. IWSxのポリシー一覧画面の"Webレピュテーションを有効にする"を無効にすると、移行されたすべての脅威対策ルールの"Webレピュテーションを有効化"が無効になります。
ウイルス/不正プログラム検索ルール - ブロックするファイルタイプ -脅威対策ルールには移行されません。
ウイルス/不正プログラム検索ルール - ブロックするファイルタイプ以外ファイル検索 -  指定したファイルの種類を検索しないIWSxの設定のうち、「検索するファイルタイプ(ブロックされなかった場合) – 検索を省略するMIMEコンテントタイプ」のみが「ファイル検索 - 指定したファイルの種類を検索しない」に移行されます。その際、プロファイル名「(IWSxのルール名)_template (migrated ThreatProtection)」として、[Zero Trust Secure Access] > [Secure Access Resources] > [ファイルプロファイル]に対応するファイルプロファイルが作成されます。当該ファイルプロファイルがファイル検索 - 指定したファイルの種類を検索しない」に設定されることで、移行を実現しております。
IWSxの「検索を省略するMIMEコンテントタイプ」は、ZTSAのファイルプロファイルの「メディアの種類」に移行されます。ただし、IWSxで設定した「その他」のカスタマイズ条件は、ZTSAには移行されません。
 -ファイル検索 - 次のサイズを超えるファイルは検索しないデフォルトの10MBに設定されます。
 -ファイル検索 - 圧縮階層が次の値を超えるファイルは検索しないデフォルトの10に設定されます。
 -ファイル検索 - 検索不可ファイルを許可デフォルトの"チェックあり"に設定されます。
スパイウェア検索ルール -脅威対策ルールに対応する設定がないため、移行されません。(脅威検索対象には含まれます)
ボット検出ルール詳細検索 - ボットネットの検出時に実行する処理IWSxの設定が移行されます。IWSxで"このポリシーでボット/C&C検出ルールを使用する"にチェックを入れていない場合、ZTSAの"ボットネットの検出時に実行する処理"は"ログ"と設定されます。また、IWSxのポリシー一覧画面の"ボット検出を有効にする"を無効にしていた場合は、移行されたすべての脅威対策ルールで"ボットネットの検出時に実行する処理"は"ログ"と設定されます。

「機械学習型検索を有効にする」は常にオフになります。
 -詳細検索 - 不審オブジェクトの検出時に実行する処理

常に以下と設定されます。

不審IPアドレス: オン: 初期設定の処理を使用
不審URL: オン: 初期設定の処理を使用
不審ドメイン: オン: 初期設定の処理を使用
不審ファイルSHA-1: オン: 初期設定の処理を使用

 -詳細検索 - Sandbox Analysis常に無効と設定されます。
処理 - 備考説明

IWSx側の設定によらず、値は空白となります。

処理 - ファイルタイプ -脅威対策ルールには移行されません。

 

5. [HTTP] > [URLフィルタ] > [ポリシー]

移行先のZTSAの設定画面:[Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]

IWSVA・IWSS(以下、IWSx)の各ルールが、ZTSAのインターネットアクセス制御のルールとして移行されます。
なお、「動的なURLカテゴリ分類を有効にする」はZTSAへ移行されません。ZTSAでは当該機能は常に有効であり無効にできません。
ルール内の設定毎の移行先の設定は以下の通りです。

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
ルール名ルール名

ZTSAの値は「IWS_URLF_(IWSxの値) (migrated)」になります。移行不可能な設定がある場合、「IWS_URLF_(IWSxの値) (partially migrated)」という値になることがあります。
ただし、IWSx側のルールがプライベートIPv4アドレス条件とユーザ/グループ条件の両方を持つ場合、ZTSAでは以下2つの名称のルールが生成されます。ZTSAでは、当該条件を1つのルールで同時に設定することができないためです。

■プライベートIPv4アドレス条件用ルール
「IWS_URLF_(IWSxの値)_ip (migrated)」または「IWS_URLF_(IWSxの値)_ip (partially migrated)」

■ユーザ/グループ条件用ルール
「IWS_URLF_(IWSxの値)_account (migrated)」または「IWS_URLF_(IWSxの値)_account (partially migrated)」

ポリシーを有効にするステータスIWSVAの設定がそのまま移行されます。
IWSVAのデフォルトルール「URLフィルタのグローバルポリシー」は無効にできません。そのため、当該ルールは"有効"として移行されます。
ただし、「URLフィルタを有効にする 」を無効にしている場合、デフォルトルール「URLフィルタのグローバルポリシー」も含め、すべてのルールがステータス"無効"として移行されます。
アカウントユーザ/グループ/プライベートIPグループ
  1. IWSxで設定できるクライアント条件のうち、プライベートIPv4アドレス、ユーザ/グループ条件のみが移行されます。パブリックIPv4アドレス、IPv6アドレス、ホスト名条件は移行できません。移行できない条件が設定されていた場合、当該条件は削除されますがルール自体は移行されます。
  2. IWSxのルールがプライベートIPv4アドレス条件とユーザ/グループ条件の両方を持つ場合、ZTSAでは2つのルールに分かれます。詳細は「ルール名」の項をご参照ください。
  3. 各プライベートIPv4アドレス条件は、ZTSAの1つのプライベートIPアドレスグループとして「IWS_(数字) (migrated)」という名称で移行され、ZTSAの移行先のルールで自動的に使用されます。プライベートIPアドレスグループはZTSA管理画面の[Zero Trust Secure Access] > [Secure Access Resources] > [IPアドレスグループ]で設定・確認できます。なお、「IWS_(数字) (migrated)」の(数字)には、当該条件に対応するIWSVAのデータベース上のIDが入ります。
  4. ユーザ/グループ条件を移行する場合、ZTSA側に事前に同名のユーザ/グループが登録ないしは同期されている必要があります。ZTSA側に同名のユーザ/グループが存在しない場合は、当該条件は移行されません(その他の移行可能な条件やルールは移行されます)。ただし、同期を行っていても移行されないケースがあります。
    ZTSAでは、IWSxでサポートするLDAPサービスのうち、Active DirectoryとOpenLDAPをサポートいたします。ZTSAにLDAPユーザ/グループ条件が移行されるには、IWSVAの各ポリシーのLDAPユーザ/グループ条件で表示されるユーザ名/グループ名が、それぞれ以下の属性値と一致している必要があります。一致しない場合、ユーザ/グループ条件はZTSAへは移行されません。ZTSAへの移行後に、改めて手動でユーザ/グループ条件を設定しなおしてください。
    ZTSAへの移行はIWSxの設定バックアップファイルベースで行っており、ZTSAはIWSxのポリシー情報ベースでしかLDAPユーザ/グループ情報を確認できません。そのため、このような制限が発生いたします。
    ■Active Directoryの場合
    ユーザ名:属性"userPrincipalName"
    グループ名:属性"cn"
    ■OpenLDAPの場合
    ユーザ:属性"mail"
    グループ:属性"cn"
 -デバイス構成プロファイル”設定なし”と設定されます。
 -場所

"すべての場所"と設定されます。

ルール - URLカテゴリトラフィック - URL/クラウドアプリ
  1. ZTSAでは"選択したいずれかのURL/クラウドアプリ"と設定され、それぞれ以下のように移行されます。
    URLカテゴリ:IWSxで"ブロック"と選択していたカテゴリのみが選択されます。IWSxでカスタムカテゴリを選択している場合、当該カテゴリはZTSAのカスタムURLカテゴリに移行され、本インターネットアクセス制御ルールで使用されます。詳細は8.[HTTP] > [設定] > [カスタムカテゴリ]をご参照ください。
    カスタムクラウドアプリカテゴリ:何も選択されません。
    カスタムクラウドアプリの処理:何も選択されません。
  2. IWSxのルールの処理として"ブロック"以外の処理のみを使用している場合、当該ルールそのものがZTSAへ移行されません。
 -トラフィック - HTTP/HTTPS要求"任意の要求"と設定されます。
 -トラフィック - ファイルの種類

"任意のファイル"と設定されます。

ルール - スケジュール予約IWSxで"常時"と設定している場合、ZTSAでも"常時"となります。
そうではない場合、ZTSAでは"カスタム"と設定され、IWSx管理画面の[管理] > [一般設定] > [予約期間]で作成したスケジュール内容がそのまま設定されます。
ルール - パスワードオーバーライドの設定 -移行されません。
ルール - 時間制限の設定 -移行されません。
ルール - 備考説明IWSxの値がそのまま移行されます。
安全な検索エンジン - 移行されません。
ZTSAにおけるセーフサーチ機能の設定は、[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [グローバル設定] > [セーフサーチ設定]で行います。
除外設定(承認するURLリスト) -移行されません。
 -処理"クラウドアプリ/URLへのアクセスをブロック"と設定されます。

 

6. [HTTP] > [URLアクセス設定]

移行先のZTSAの設定画面:[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [許可リスト/拒否リスト] 

IWSVA・IWSS(以下、IWSx)からの移行の詳細は以下の通りです。

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
グローバルURLブロックURL拒否リスト
  1. IWSxでのエントリタイプは、ZTSAでは以下のタイプに移行されます。
    "前方一致":ドメイン一致
    "部分一致":キーワード一致
    "完全一致":URL一致
  2. IWSxで設定できた除外リスト設定は、ZTSAでは対応する設定が存在しないため移行できません。
グローバルURLの信頼URL許可リスト
  1. IWSxでのエントリタイプは、ZTSAでは以下のタイプに移行されます。
    "前方一致":ドメイン一致
    "部分一致"(※):キーワード一致
    "完全一致":URL一致
    ※IWSxで値の両端に"*"を付与して「完全一致」として登録した場合
  2. IWSxで設定できた除外リスト設定は、ZTSAでは対応する設定が存在しないため移行できません。
 

7. [HTTP] > [設定] > [除外リスト]

移行先のZTSAの設定画面:[Zero Trust Secure Access] > [Secure Access Resources] > [カスタムURLカテゴリ]

「ファイル名リスト」は移行されません。ZTSAへ移行された「アプリケーション制御ポリシー」「高度な脅威検索ポリシー」「URLフィルタポリシー」で使用されている「URLリスト」のみが、カスタムURLカテゴリとして移行されます。
IWSVA・IWSS(以下、IWSx)の「URLリスト」の移行詳細は以下の通りです。 

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
リスト名カテゴリ名

移行先のカテゴリ名は、「(IWSxのリスト名)_C (migrated)」になります。ただし、ZTSAの[カスタムURLカテゴリ]は1カテゴリあたり最大1000エントリまでしか保持できません。移行先のカテゴリのエントリが1000以上になる場合、「(IWSxのカテゴリ名)_C-N (migrated)」(N=1,2,....) と複数個に分割されます。

URL(各エントリ)IWSxのエントリタイプは、ZTSAでは以下のタイプに移行されます。

 "Web":ドメイン一致
 "キーワード":キーワード一致
 "文字列":URL一致
 

8. [HTTP] > [設定] > [カスタムカテゴリ]

移行先のZTSAの設定画面:[Zero Trust Secure Access] > [Secure Access Resources] > [カスタムURLカテゴリ]

IWSVA・IWSS(以下、IWSx)移行の詳細は以下の通りです。 

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
カテゴリ名カテゴリ名

移行先のカテゴリ名は、「(IWSxのカテゴリ名)_C (migrated)」になります。ただし、ZTSAの[カスタムURLカテゴリ]は1カテゴリあたり最大1000エントリまでしか保持できません。移行先のカテゴリのエントリが1000以上になる場合、「(IWSxのカテゴリ名)_C-N (migrated)」(N=1,2,....) と複数個に分割されます。

URL(各エントリ)IWSxのエントリタイプは、ZTSAでは以下のタイプに移行されます。

 "Web":ドメイン一致
 "キーワード":キーワード一致
 "文字列":URL一致
 

9. [HTTP] > [設定] > [デジタル証明書]

移行先のZTSAの設定画面:[Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [TLS/SSL証明書]

IWSVA・IWSS(以下、IWSx)からの移行の詳細は以下の通りです。

IWSxの設定項目移行先のZTSAの設定項目移行後のZTSAの設定値
アクティブな証明書TLS/SSL証明書ZTSAには「ステータス"不明"のルート/中間証明書」として移行されます。
移行後、必要に応じて、各証明書を"信頼済み"等に設定いただくことになります。
非アクティブな証明書 -移行されません。
  
 

IWSVA・IWSS(以下、IWSx)からの移行に関するZTSAの設定について、各種上限は以下の通りです。
移行により移行先設定の上限を超えた場合、超えた設定につきましては移行されません。
上限を超える場合には、事前にIWSx側の設定の削除や変更をお願いいたします。別途「TMWS移行設定準備用のIWSx」を構築いただき、当該IWSxサーバで移行用に設定の削除や変更を実施いただく等の対応をご検討ください。
なお、ZTSAへの移行機能は再実行可能となっております。

移行元となるIWSx管理画面の設定移行先のTrend Vision Oneコンソールの設定ZTSAの上限
・[アプリケーション制御] > [ポリシー]
・[HTTP] > [高度な脅威保護] > [ポリシー]
・[HTTP] > [URLフィルタ] > [ポリシー]

[Zero Trust Secure Access] > [Secure Access Rules] > [インターネットアクセス制御]

インターネットアクセス制御ルールの上限数は100です。上限を超えた場合、移行処理自体が失敗扱いとなり、移行は行われません。
・[アプリケーション制御] > [ポリシー]
・[HTTP] > [高度な脅威保護] > [ポリシー]
・[HTTP] > [URLフィルタ] > [ポリシー]
[Zero Trust Secure Access] > [Secure Access Resources] > [IPアドレスグループ]グループの登録上限数は1000です。
各グループ内のIPアドレス入力欄の入力文字数上限は1024です。
[HTTP] > [URLアクセス設定][Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [許可リスト/拒否リスト]許可リスト、拒否リスト共に、エントリ上限数はそれぞれ1000です。
(各エントリで使用する一致モードによりません。エントリの合計数を確認しています)
[HTTP] > [高度な脅威保護] > [ポリシー][Zero Trust Secure Access] > [Secure Access Resources] > [脅威対策]脅威対策ルールの上限数は100です。
[HTTP] > [HTTPS復号化] > [ポリシー][Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > [インスペクションルール]インスペクションルールの上限数は100です。
[HTTP] > [設定] > [デジタル証明書][Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション]  > [TLS/SSL証明書]

それぞれ登録上限数は以下の通りです。

「ルート/中間証明書」- 信頼済み:100
「ルート/中間証明書」- 信頼されていない:100
「ルート/中間証明書」- 不明:100
「サーバ証明書」:100 ("種類"/"処理"によりません)

[HTTP] > [HTTPS復号化] > [トンネリング][Zero Trust Secure Access] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション]  > [インスペクションの除外]

エントリの登録上限数は1000です。
各エントリ内の"次のサブドメインを対象外にする"のエントリの上限数は100です。

・[HTTP] > [設定] > [カスタムカテゴリ]
・[HTTP] > [設定] > [除外リスト]
[Zero Trust Secure Access] > [Secure Access Resources] > [カスタムURLカテゴリ]カテゴリの登録上限数は100です。
各カテゴリ内のエントリの上限数は1000です。
[HTTP] > [高度な脅威保護] > [ポリシー][Zero Trust Secure Access] > [Secure Access Resources] > [ファイルプロファイル]プロファイルの登録上限数は100です。