Trend Micro Email Security (TMEmS) では以下のアクセスに対してアクセス元のIPアドレス (接続元IPアドレス) に応じて制限できます。
- 管理コンソールへのアクセス
- エンドユーザコンソールへのアクセス (隔離通知のインライン処理によるアクセスも含む)
- REST API を使用した API アクセス
設定方法
TMEmS のアクセス制御機能では管理コンソールの 管理 > ログオンのアクセス制御 にあるタブ 承認済みIPアドレス に登録されたIPアドレス (IPアドレスの範囲) と アクセス制御の設定 タブの設定にしたがってアクセスが制限されます。
例えばエンドユーザによるエンドユーザコンソールへのアクセスを社内のみに制限するのであれば、承認済みIPアドレス に社内からインターネットにアクセスする際に接続元となるゲートウェイのIPアドレスまたはIPアドレスの範囲を登録し、アクセス制御の設定 で「ブロックしてログに記録」を選択します。
承認済みIPアドレス
TMEmS においてアクセス制御を行う場合、まず 承認済みIPアドレス のタブにクライアントにアクセスを許可するIPアドレスを登録します。
例えば社内からのアクセスのみ許可する場合、[追加] ボタンから接続元となるゲートウェイのIPアドレスを入力し、[保存] ボタンをクリックして登録します。203.0.113.0 のようなIPアドレスに加え、203.0.113.0/24 のように CIDR 形式でIPアドレスの範囲 (ブロック) を登録できます。
登録できるIPアドレスは IPv4 のグローバルIPアドレスのみです。
社内のクライアントマシンに割り当てられているプライベートIPアドレスは「IPアドレスまたはCIDRブロックが無効です。」のエラーメッセージが表示され、登録できません。必ずゲートウェイのグローバルIPアドレスを登録してください。
なお、ゲートウェイのIPアドレスを確認するには、まず管理コンソールの ログ > 監査ログ の画面において活動の種類に「許可されたアクセス」を選択し、ログのイベントの種類に「SSOポータルでのユーザログイン」と表示される、管理者が管理コンソールにアクセスしたログを検索します。検索されたログの日時をクリックすると監査ログの詳細画面が表示されますので、「クライアントのIPアドレス」に記載されているIPアドレスがゲートウェイのIPアドレスです。
アクセス制御の設定
承認済みIPアドレス に許可するIPアドレスを登録したら、次に アクセス制御の設定 のタブで管理コンソール、エンドユーザコンソール、APIアクセスに対するアクセス制御をそれぞれ「処理なし」「許可してログに記録」「ブロックしてログに記録」から選択します。
「処理なし」が選択されている場合、アクセス制御は無効な状態であり、どの接続元IPアドレスであったとしてもアクセスは許可されます。
許可してログに記録
「許可してログに記録」を選択した場合、接続元IPアドレスが 承認済みIPアドレス に登録されていなかったとしてもアクセスは許可されますが、管理コンソールの ログ > 監査ログ の画面において活動の種類に「ブロックされてログに記録されたアクセス」を選択して検索することで、そのログを確認できるようになります。
例えば 承認済みIPアドレス に登録されていないIPアドレスから Customer Licensing Portal または Licensing Management Platform のアカウントで管理者による管理コンソールへのアクセスが発生した場合、イベントの種類に「SSOポータルでのユーザログインがログに記録されました」が記載されたログが表示されます。あるいは、管理 > 管理者の管理 > アカウント管理 に用意されたサブアカウントまたはスーパー管理者アカウントによる管理コンソールへのアクセスが発生した場合、イベントの種類に「管理者ログインがログに記録されました」が記載されたログが表示されます。
同様にエンドユーザコンソールへのアクセスが発生した場合には「エンドユーザコンソールでのユーザログインがログに記録されました」、API アクセスが発生した場合には「ログに記録されたAPIアクセス」がイベントの種類に記載されたログが表示されます。
ブロックしてログに記録
「ブロックしてログに記録」を選択した場合、接続元IPアドレスが 承認済みIPアドレス に登録されていない場合、アクセスはブロックされます。
承認済みIPアドレス に許可するIPアドレスが適切に設定されていなかった場合、管理コンソールやエンドユーザコンソールに意図せずアクセスできなくなってしまうことが考えられます。特に管理コンソールの場合、アクセスできなければアクセス制御の設定も変更できなくなります。そのため、まず「許可してログに記録」を選択して動作を確認した上で「ブロックしてログに記録」を設定することをお奨めします。
管理コンソールへのアクセスがブロックされた場合、ブラウザの画面上に以下のメッセージが表示されます。
お使いのIPアドレスがIPの制限によって拒否されたため、このIPアドレスからログオンできません。管理者にお問い合わせください。
エンドユーザコンソールへのアクセスがブロックされた場合、ブラウザの画面上に以下のメッセージが表示されます。
お使いのIPアドレスがIPの制限によって拒否されたため、このアカウントからログオンできません。管理者にお問い合わせください。
REST API のリクエスト (API アクセス) がブロックされた場合、TMEmS の API サーバはリクエストに対して "HTTP/1.1 403 Forbidden" のレスポンスを返します。
また、管理コンソールの ログ > 監査ログ の画面では活動の種類に「ブロックされてログに記録されたアクセス」を選択して検索することで、ブロックされたアクセスのログを確認できます。
例えば 承認済みIPアドレス に登録されていないIPアドレスから Customer Licensing Portal または Licensing Management Platform のアカウントで管理者による管理コンソールへのアクセスが発生した場合、イベントの種類に「SSOポータルでのユーザログインがブロックされました」が記載されたログが表示されます。あるいは、管理 > 管理者の管理 > アカウント管理 に用意されたサブアカウントまたはスーパー管理者アカウントによる管理コンソールへのアクセスが発生した場合、イベントの種類に「管理者ログインがブロックされました」が記載されたログが表示されます。
同様にエンドユーザコンソールへのアクセスがブロックされた場合には「エンドユーザコンソールでのユーザログインがブロックされました」、API アクセスがブロックされた場合には「ブロックされたAPIアクセス」がイベントの種類に記載されたログが表示されます。
初期設定ではエンドユーザコンソールへのアクセスに隔離通知の インライン処理 によるアクセスは含まれていません。
インライン処理によるアクセスもエンドユーザコンソールのアクセスに含めるのであれば、「通知のインライン処理にも適用する」のオプションを有効化してください。
アラートの送信としきい値
「メールアドレス」に管理者のメールアドレスなど任意のメールアドレスを指定すると、承認済みIPアドレス に登録されていないIPアドレスからアクセスが発生した場合に以下のような英語で記載されたアラート (通知) が送信されます。
送信者: no-reply@tmes.trendmicro.com
件名: Trend Micro Email Security detected access from an unapproved IP address
本文:This alert is triggered because of the following Trend Micro Email Security access activity from an unapproved IP address:
Account: john@example.com
Time: 2023-11-01 03:26:46 (UTC +0)
Client IP: 198.51.100.1
Access Activity: Logon to End User Console
Action Taken: Allow and logIf you want to allow the access from this IP address, log on to the Trend Micro Email Security administrator console using a license account and add this IP address to the approved IP address list under Administration > Logon Access Control.
Best regards,
Trend Micro
上記アラートのサンプルでは、エンドユーザコンソールに「許可してログに記録」が選択されている環境で、日本時間の 2023/11/1 12:26:46 に john@example.com というユーザが許可されていない 198.51.100.1 のIPアドレスからエンドユーザコンソールにアクセスを試みたことが通知されています。
一方、アラートの送信数は「アラートのしきい値」で制限されており、5, 20, 50, 100 の値から選択できます。初期設定では 5 が選択されています。
初期設定値である 5 が選択されている場合、承認済みIPアドレス に登録されていないIPアドレスからのアクセスが最初に確認されてから 24時間、送信されるアラート数が 5 に制限されます。
以下に具体的な例を挙げてアラートの挙動を説明します。
| 日時 | 監査ログのイベントの種類 | アラート送信 |
|---|---|---|
| 2023/11/1 12:26:46 | エンドユーザコンソールでのユーザログインがログに記録されました | ✔ |
| 2023/11/1 12:35:19 | SSOポータルでのユーザログインがログに記録されました | ✔ |
| 2023/11/1 14:03:56 | SSOポータルでのユーザログインがログに記録されました | ✔ |
| 2023/11/2 04:23:10 | SSOポータルでのユーザログインがログに記録されました | ✔ |
| 2023/11/2 06:00:00 | ログに記録されたAPIアクセス | ✔ |
| 2023/11/2 08:46:35 | SSOポータルでのユーザログインがログに記録されました | ✖ |
| 2023/11/2 10:13:50 | エンドユーザコンソールでのユーザログインがログに記録されました | ✖ |
| 2023/11/2 11:50:41 | エンドユーザコンソールでのユーザログインがログに記録されました | ✖ |
| 2023/11/2 14:13:50 | SSOポータルでのユーザログインがログに記録されました | ✔ |
| 2023/11/2 14:23:58 | エンドユーザコンソールでのユーザログインがログに記録されました | ✔ |
| 2023/11/2 17:36:10 | SSOポータルでのユーザログインがログに記録されました | ✔ |
| 2023/11/2 19:33:49 | SSOポータルでのユーザログインがログに記録されました | ✔ |
| 2023/11/3 06:42:58 | SSOポータルでのユーザログインがログに記録されました | ✔ |
| 2023/11/3 11:23:04 | エンドユーザコンソールでのユーザログインがログに記録されました | ✖ |
| 2023/11/3 14:50:29 | エンドユーザコンソールでのユーザログインがログに記録されました | ✔ |
上記例では管理コンソール、エンドユーザコンソール、API アクセスのすべてに「許可してログに記録」が選択されていることが前提となっています。
まず 2023/11/1 12:26:46 に初めて 承認済みIPアドレス に登録されていないIPアドレスからのアクセスが発生しています。したがって、2023/11/1 12:26:46 から 24時間、送信されるアラートは 5回 に制限され、アラートのしきい値を超過した 2023/11/2 08:46:35, 2023/11/2 10:13:50, 2023/11/2 11:50:41 のアクセスではアラートは通知されません。
次に、2023/11/1 12:26:46 から 24時間 以上経過して制限はすでに解除されているため、2023/11/2 14:13:50 が最初に 承認済みIPアドレス に登録されていないIPアドレスからのアクセスとなり、アラートが送信されます。同様に 2023/11/2 14:13:50 から 24時間、送信されるアラートは 5回 に制限されるため、アラートのしきい値を超過した 2023/11/3 11:23:04 のアクセスではアラートは通知されません。
最後に、2023/11/2 14:13:50 から 24時間 以上経過して制限はすでに解除されているため、2023/11/3 14:50:29 が最初に 承認済みIPアドレス に登録されていないIPアドレスからのアクセスとなり、アラートが送信されます。
なお、「アラートのしきい値」を超えて送信されなかったアラートが再度送信されることはありません。