McAfee Web Gateway Cloud Service Product Guide

Transcription

1 McAfee Web Gateway Cloud Service Product Guide

2 著作権 Copyright 2018 McAfee LLC 商標帰属 McAfee および McAfee ロゴ McAfee Active Protection epolicy Orchestrator McAfee epo Foundstone McAfee LiveSafe McAfee QuickClean McAfee SECURE SecureOS McAfee Shredder SiteAdvisor McAfee Stinger TrustedSource VirusScan は McAfee LLC または米国およびその他各国の支社の商標です その他の商標およびブランドはその他に属する所有権として申し立てることができます 使用許諾に関する情報 使用許諾契約全ユーザーへの注意事項 : 購入された使用許諾に対応する適切な法的取り決めを熟読してください これには使用許諾を受けたソフトウェアの使用に関する一般取引条件が明記されています 獲得した使用許諾の種類が不明な場合は セールスおよびその他関連するライセンス許諾に問い合わせるか ソフトウェアに付属の発注書 または購入時に別途受領した文書 ( パンフレット 製品 CD ファイル ソフトウェアパッケージをダウンロードしたウェブサイトから入手可能なファイル ) を参照してください 取り決めに明記された条件に同意できない場合は ソフトウェアをインストールしないでください 該当する場合 MCAFEE または購入店に製品を返却し 全額返金を請求できます 2 McAfee Web Gateway Cloud Service Product Guide

3 目次 1 製品の概要 5 概要 主な機能 仕組み ポリシー管理 9 グローバルポリシーモデル ポリシーブラウザーの使用 機能領域に対する機能ポリシーの設定 機能ポリシーの表示と編集 機能ポリシーのルールのタイプ 例外を使用した複雑なルールの作成 [ カタログ ] ペイン 選択リストによるリストの更新 クライアントシステムでの SSL 証明書のダウンロードとインストール McAfee Skyhigh Security Cloud との統合 統合の概要 統合の設定 SAML 以外のテナントの Enterprise コネクターのユーザーアカウントの作成 サービスグループの [ アクセス保護 ] ポリシーへの追加 リストの操作 McAfee 管理リストの操作 一般的なクラウドアプリケーションのホワイトリストの作成 サーバー IP 範囲の操作 URL リストの処理 ユーザーグループの利用 ルールの利用 ルールの追加 URL リストのインポートによるルールの作成 例外を使用したルールの作成 ルールの有効化または無効化 ルールの詳細の変更 ルールへのアクションの追加 アクションをプライマリアクションに変更する ルールからのアクションの削除 ルールの並べ替え ルールの削除 機能ポリシーの利用 ポリシーの詳細の編集 ブロックページの作成 ブロックページの編集 ブロックページの削除 McAfee Web Gateway Cloud Service Product Guide 3

4 目次 ポリシーへのブロックページの割り当て リストの作成 リストの編集 リストを削除する 割り当てられたポリシーの変更 ユーザーアクションの表示と保持 監査ログのエクスポート エラー条件 認証 43 認証とポリシーに関する決定事項 認証プロセスの流れ IP 範囲による認証 IP 範囲による認証を有効にする IP アドレス範囲の設定 IP アドレス範囲のリストのインポート IP アドレス範囲のリストのエクスポート SAML 認証 SAML 認証の利点 SAML 認証 高度な手順 SAML 構成の概要 SAML 認証の構成要件 SAML 認証の設定 SAML 認証の設定 IPsec サイト間認証 IPsec サイト間認証の構成 IPsec サイト間認証に関する注意点 IPsec サイト間認証の有効化 IPsec ロケーションの追加 IPsec サイト間の設定 IPsec サイト間設定の変更 IPsec サイト間認証に SAML 認証を追加する方法 IPsec VPN トラフィックのためのポリシールールの設定 レポート 59 オンプレミスレポート McAfee WGCS を Content Security Reporter のログソースとして設定します 独自のオンプレミスレポートソリューションの使用 McAfee Web Gateway Cloud Service Product Guide

5 1 製品の概要 1 目次概要主な機能仕組み 概要 McAfee Web Gateway Cloud Service (McAfee WGCS) はグローバルに利用可能な法人向けクラウドサービスで 詳細なコンテンツスキャンとその他の McAfee Web セキュリティ技術との統合により 包括的な Web 保護を提供します クラウドサービスは 組織内のユーザーが Web にアクセスしたときに発生するセキュリティ脅威から組織を保護します このサービスは以下の事柄を行います ユーザーとクラウドの間の Web トラフィックをスキャンしてフィルタリングします 設定したポリシーで許可されないトラフィックをブロックします ネットワーク内外で作業するユーザー ( コーヒーショップやホテルで作業するユーザーなど ) を保護します このサービスを使用すると 高度な脅威を防止し 組織のインターネットの使用ポリシーを作成して 生産性を向上させることができます たとえば ファイルアップロード Web サイトへのアクセスを制御できます 数百の Web コンテンツ アプリケーション およびメディアタイプのカテゴリを通して ネットワーク内外における Web の使用を細かく制御できます クラウドサービスプラットフォーム クラウドプラットフォームで実行されるサービスとして McAfee WGCS は McAfee のセキュリティエキスパートのチームにより 24 時間 365 日管理されます 必要なのはサービス契約の購入だけです ハードウェアやソフトウェアのインストールは必要ありません クラウドサービスプラットフォームは 接続拠点 (points of presence: PoP) と呼ばれる世界中に分散されたノードで構成されます Global Routing Manager (GRM) とは インテリジェントなトラフィックルーティング ロードシェアリング フェールオーバーを行う DNS サービスです GRM により トラフィックは最も効率の良い拠点にルーティングされます 管理プラットフォーム クラウドサービスは 管理コンソールを使用して McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) プラットフォームから管理されます このサービスは McAfee Client Proxy の有無にかかわらず配備できます Client Proxy ソフトウェア : McAfee Web Gateway Cloud Service Product Guide 5

6 1 製品の概要主な機能 組織内のエンドポイントにインストールする 場所を認識するソフトウェアです 組織内のユーザーがネットワーク外部で作業している場合 このソフトウェアは Web リクエストを McAfee WGCS にリダイレクトします McAfee epolicy Orchestrator (McAfee epo ) サーバーまたは McAfee epo Cloud プラットフォームから管理します McAfee WGCS は 管理しているのが McAfee epo のオンプレミスまたはクラウドのどちらのバージョンであっても Client Proxy との統合が可能です 管理対象エンドポイントとは McAfee epo または McAfee epo Cloud を使用して管理する組織内のクライアントまたはユーザーのコンピューターです 主な機能 McAfee では McAfee WGCS セキュリティ技術を使用することによって主要なセキュリティ機能を提供します URL フィルタリング ホワイトリスト ブラックリスト および McAfee Global Threat Intelligence (McAfee GTI) により決定されるリスクレベルに基づくレピュテーションカテゴリを使用します SSL スキャン 完全な復号化とコンテツ検査を含みます Web フィルタリング : Web カテゴリフィルターを使用した Web コンテンツフィルタリング アクセス保護を使用した Web アプリケーションフィルタリング メディアタイプフィルターを使用したメディアタイプフィルタリング マルウェア対策フィルタリング 従来のウイルス対策と動作エミュレーション技術を使用してマルウェアをインラインでブロックします クラウドサンドボックス サンドボックス環境で不明なファイルの静的な分析と動作分析を組み合わせて行います この機能を McAfee WGCS と統合するには McAfee Cloud Threat Detection (McAfee CTD) のサービス契約が必要です SAML IP 範囲 IPsec サイト間の認証 クラウドアクセスをリクエストするユーザーを認証します レポート 生産性 Web アクティビティ Web ポリシーの適用 および Web セキュリティの概要を示します McAfee Web セキュリティ技術 McAfee WGCS は 実証済みの McAfee の Web セキュリティコンポーネントと技術により提供される情報とインテリジェンスを使用します これらのコンポーネントと技術は Web セキュリティ情報とインテリジェンスが変化すると 動的にクラウドサービスを更新します このサービスと完全に統合されます ユーザーインターフェースで必要な設定は最小限です 6 McAfee Web Gateway Cloud Service Product Guide

7 製品の概要仕組み 1 McAfee GTI Web サイトのレピュテーションを過去の動作に基づいて評価し Web サイトを高 / 中 / 低および未確認のリスクレベルのカテゴリに割り当てます McAfee GTI は 120 カ国以上の 1 億個以上のセンサーからのデータをリアルタイムで収集し 分析して 配布します フィルター 類似の Web サイト Web アプリケーション およびファイルの種類をグループに割り当てることにより ポリシールールを単純化します Web カテゴリフィルター Web サイトをコンテンツに基づいてカテゴリに割り当てます このフィルターを使用すると ギャンブルサイトへのアクセスをブロックするなど 指定したコンテンツへのアクセスを許可またはブロックすることができます アクセス保護 Web アプリケーションをタイプ別のカテゴリに割り当てます このフィルターを使用すると アプリケーションを個別にあるいはカテゴリ別にアクセスを許可またはブロックできます たとえば クラウド上のファイル共有アプリケーションへのファイルのアップロードをブロックできます メディアタイプフィルター ファイルをドキュメントの種類またはオーディオやビデオのフォーマットにより分類します このフィルターを使用すると ストリーミングメディアへのアクセスをブロックするなど 指定した種類のメディアへのアクセスを許可またはブロックできます Gateway Anti-Malware Engine Web トラフィックをフィルタリングし エミュレーション技術を使用して エンドユーザーデバイスが感染する前に インラインでゼロデイマルウェアを検出してブロックします McAfee CTD サンドボックス環境で不明なファイルの動作をオフラインで監視および分析します このクラウドサービスはビッグデータを使用してファイルを分類し 結果をユーザーおよび他の McAfee コンポーネント (McAfee GTI など ) にレポートします 掘り下げた脅威の検出 Web ベースの脅威のほぼ 100% を検出する さまざまな McAfee Web セキュリティ技術が連動した徹底的な処理により 組織をマルウェア スパイウェア ウイルス フィッシング詐欺 URL ターゲット攻撃 および複合的脅威から保護します 1 シグネチャベースのウイルス対策技術と McAfee GTI からの URL カテゴリとレピュテーションデータを使用して McAfee WGCS は既知の脅威を Web トラフィックからフィルタリングし 問題のない既知のトラフィックを通過させます 検出プロセスのこの段階で Web ベースの脅威の約 80% が検出されます 2 残りの Web トラフィックに問題があるかどうかは不明です 疑わしい未知のトラフィックは Gateway Anti-Malware エンジンにより検査されます エミュレーション技術を使用して 管理された環境で動的な Web コンテンツとアクティブなコードが監視され その目的を理解し動作を予測します プロセスのこの手順は Web ベースの脅威をほぼ 100% を検出します ゼロデイマルウェアとして知られるこれらの脅威は 新しいあるいは変化したマルウェアで まだシグネチャがありません 仕組み McAfee WGCS と Client Proxy は連携して ユーザーが Web にアクセスする際に直面する脅威から保護します 1 Client Proxy は 組織内のエンドポイントにインストールされます 2 管理者は McAfee epo または McAfee epo Cloud を使用して Web リクエストを McAfee WGCS にリダイレクトする Client Proxy ポリシーを作成し そのポリシーを組織内のすべての管理対象エンドポイントに割り当てます 管理者は複数のポリシーを設定し そのそれぞれを異なる管理対象エンドポイントグループに割り当てることができます 3 管理対象エンドポイントは 組織のネットワーク内部に配置されていることもあれば VPN 経由でネットワーク に接続されている場合も ネットワーク外部に配置されている場合もあります McAfee Web Gateway Cloud Service Product Guide 7

8 1 製品の概要仕組み 4 管理者は McAfee epo Cloud を使用して Web Protection ポリシーと そのポリシーを有効にするタイミングを決定する認証設定を構成します 5 エンドポイントで作業するユーザーが Web リソースへのアクセスをリクエストします Client Proxy は Web リクエストを McAfee WGCS にリダイレクトします 6 McAfee WGCS が Web Protection ポリシーを Web リクエストに適用します このポリシーによって 脅威がブロックされ 組織の要件を満たす Web リソースへのアクセスは許可されます 8 McAfee Web Gateway Cloud Service Product Guide

9 2 2 ポリシー管理 目次グローバルポリシーモデルポリシーブラウザーの使用クライアントシステムでの SSL 証明書のダウンロードとインストール McAfee Skyhigh Security Cloud との統合リストの操作ルールの利用機能ポリシーの利用ユーザーアクションの表示と保持監査ログのエクスポートエラー条件 グローバルポリシーモデル McAfee WGCS ポリシーモデルは 組織全体に適用される 1 つのポリシーに基づいています McAfee epo Cloud ポリシーブラウザーインターフェースから McAfee WGCS が Web トラフィックをフィルター処理し Web コンテンツ アプリケーション オブジェクトへのアクセスを許可またはブロックする方法を判別する Web セキュリティポリシーを設定します このポリシーは 組織内のすべてのユーザーとグループ全体に適用されます ポリシーを特定のユーザーまたはグループにカスタマイズするには ポリシーを構成するルールに例外を設定します McAfee Web Gateway Cloud Service Product Guide 9

10 2 ポリシー管理ポリシーブラウザーの使用 ポリシーブラウザーの使用 ポリシーブラウザーインターフェースでは インストールされているオプション インターフェースの現在の領域 選択内容に基づいてコンテキスト情報が示されます 使用する McAfee 製品とサービスに関連する主要な機能領域を保護するためのポリシーを管理できます 図 2-1 [ ポリシーブラウザー ] インターフェース 主要な機能領域は次のとおりです [ グローバル設定 ] すべてのユーザーとポリシーに適用される [ グローバル URL ホワイトリスト ] と [ グローバルブラックリスト ] を管理します [SSL スキャナー ] SSL (Secure Sockets Layer) スキャンを設定します [Web レピュテーション ] では レピュテーションレベルに応じて Web サイトへの応答を構成します [Web カテゴリフィルター ] では カテゴリ別にスキャンを設定し 不適切なカテゴリの Web サイトからユーザーを保護します [ アクセス保護 ] では ユーザーが使用できる Web ベースアプリケーションを設定します [ メディアタイプフィルター ] ユーザーがアクセス可能なファイル形式を設定します [ マルウェア対策フィルター ] では マルウェアのフィルタリングに関連する設定を行います 機能領域に対する機能ポリシーの設定 インターフェースの主要な機能領域には この領域に関連する機能ポリシーが表示されます 機能ポリシーを使用すると その主要な機能領域にさまざまな制限を設定できます 各ポリシーにはそれぞれに固有のルールセットと例外が設定されています たとえば 制限の強い機能ポリシーの場合 大半のユーザーと場所へのアクセスがブロックされています 制限の緩いポリシーの場合 大半のユーザーにほとんどの場所へのアクセスが許可されます 10 McAfee Web Gateway Cloud Service Product Guide

11 ポリシー管理ポリシーブラウザーの使用 2 これらのポリシーは 異なる産業 教育 政府のセクターで共通に使用する設定で構成されています たとえば 組織によっては 従業員や学生が仕事や教育でインターネットを最大限活用できるよう より制限の緩い設定を選びます 国防省の場合は非常に厳しい制限が必要になります 通常の日常的な状況に使用するポリシーと セキュリティの問題を調査する場合のより厳しいポリシーの 2 つのポリシーを各機能向けに保持することをお勧めします 各機能領域で利用可能な機能ポリシーを表示するには ポリシーのドロップダウンリストをクリックして各ポリシーを選択します 各ポリシーで 必要な数のルールを構成できます 図 2-2 ポリシードロップダウンリストからポリシーを選択して表示 機能ポリシーの表示と編集 [ 制限なし ] や [Very Restrictive] ( 非常に制限的 ) などの機能ポリシーをクリックすると [ ポリシーの詳細 ] ペインが表示されます [ ポリシーの詳細 ] ペインでは 機能ポリシーの名前を表示および編集できます また 機能ポリシーが使用するブロックページを表示および編集できます 図 2-3 McAfee Web Gateway Cloud Service ポリシーの [ ポリシーの詳細 ] ペイン McAfee Web Gateway Cloud Service Product Guide 11

12 2 ポリシー管理ポリシーブラウザーの使用 ブロックページをコピーして 別のブロックページを作成できます ポリシーが有効になっているか無効になっているかに関わらず 詳細を表示することができます 無効になっているポリシーアイコンは 現在使用されていないポリシーにマークを付けます また 機能ポリシー固有の情報を表示できます 表 2-1 機能ポリシー固有の情報 機能ポリシー [SSL スキャナー ] 追加情報 [SSL 証明書バンドルのダウンロード ] リンク [Web カテゴリフィルター ] [ 未分類サイトのブロック ] チェックボックス このオプションを選択すると 後に続く領域にある [URL ホワイトリスト ] にリストされているサイトを含め 未分類のすべてのサイトはブロックされます [ 安全な検索の実行 ] チェックボックス 別の機能ポリシーに移動する場合 [ ポリシーの詳細 ] ペインは開いたままですが 新しい機能ポリシー名をクリックするまでは更新されません 機能ポリシーのルールのタイプ 機能領域の各機能ポリシーには 保護されているユーザーグループへの特定のアクセス権を提供するルールセットが含まれます ルールは 上から下への順序で実行されます それぞれのルールに合致した状況があると そのルールで設定されているアクションが実行されます こうしたルールは 図で強調表示されています 図 2-4 機能ポリシールールの例 12 McAfee Web Gateway Cloud Service Product Guide

13 ポリシー管理ポリシーブラウザーの使用 2 表 2-2 ルールのタイプ 機能 [ グローバル設定 ] [SSL スキャナー ] [Web レピュテーション ] [Web カテゴリフィルター ] [ アクセス保護 ] [ メディアタイプフィルター ] 許容されるルール [ グローバル URL ホワイトリスト ] 安全と見なされ この機能の他のルールより前に評価された URL 一致する URL は この機能の残りのルールをバイパスします [ グローバルブラックリスト ] 安全ではないと見なされ この機能の他のルールより前に評価される URL 一致する URL は この機能の残りのルールをバイパスし アクセスはブロックされます [URL ホワイトリスト ] SSL スキャナー機能に適用される URL [SSL Web カテゴリ ] URL カテゴリに基づいてトラフィックを検査するか または検査しません [SSL Web アプリケーション ] 使用される Web アプリケーションリストに基づいて SSL トラフィックを検査するか または検査しません [ 他のすべての SSL 接続 ] ( キャッチオールルール ) この機能のルールでまだ一致しないすべての要求に適用されます [URL ホワイトリスト ] Web レピュテーション機能に適用される URL [Web レピュテーション ] Global Threat Intelligence (GTI) レピュテーションスコアに基づいてサイトを許可またはブロックします [URL ホワイトリスト ] Web カテゴリフィルター機能に適用される URL [Web カテゴリ ] URL カテゴリに基づいて要求を許可またはブロックします [ 他のすべての Web カテゴリ ] ( キャッチオールルール ) この機能のルールでまだ一致しないすべての要求に適用されます [Web Application URL Whitelist] (Web アプリケーション URL ホワイトリスト ) [ アクセス保護 ] 機能に適用される URL [Web アプリケーション ] 要求内で検出された Web アプリケーションに基づいて要求を許可またはブロックします [ 他のすべての Web アプリケーション ] ( キャッチオールルール ) この機能のルールでまだ一致しないすべての要求に適用されます メディア [URL ホワイトリスト ] [ メディアタイプフィルター ] 機能に適用される URL [ メディアタイプ ] 要求内で検出されたメディアタイプに基づいて要求を許可またはブロックします [ 他のすべてのメディア ] ( キャッチオールルール ) この機能のルールでまだ一致しないすべてのリクエストに適用されます [ マルウェア対策フィルター ] [URL ホワイトリスト ] [ マルウェア対策フィルター ] 機能に適用される URL [ マルウェア対策スキャン ] ゲートウェイマルウェア対策 (GAM) の可能性に基づいて 悪意のあるファイルのリクエストをブロックします McAfee Web Gateway Cloud Service Product Guide 13

14 2 ポリシー管理ポリシーブラウザーの使用 ルールの詳細ペイン ルールをクリックすると [ ルールの詳細 ] ペインが表示されます このペインでは ルール名やルールの状態 ( 有効または無効 ) を確認できます また 設定されたプライマリアクションと例外も確認できます 図 2-5 ルールの詳細ペイン [ ルールの詳細 ] ペインの上部領域に プライマリオブジェクト ルールが適用されるオブジェクトまたはリスト およびそのステータスが表示されます [ ルールの詳細 ] メニューにはこれらの項目が含まれます 表 2-3 ルールの詳細メニュー メニュー項目 説明 [ ルールを有効にする ] 選択しているルールを有効にして ユーザーの Web リクエストを評価します [ ルールを無効にする ] ユーザーの Web リクエストの評価対象から特定のルールを除外する場合は [ ルールを無効にする ] を選択します [ アクションの追加 ] 選択した機能とルールに該当する場合に ルールにさらにアクションを追加します [ 閉じる ] [ ルールの詳細 ] ペインを閉じます プライマリオブジェクトはコンテキストに依存します 異なるタイプのルールを選択すると そのタイプに関連するプライマリオブジェクトのみが表示されます 選択したルールに使用可能なプライマリアクションが表示されます 14 McAfee Web Gateway Cloud Service Product Guide

15 ポリシー管理ポリシーブラウザーの使用 2 表 2-4 ルールタイプ別の使用可能なプライマリアクション ルールタイプ 使用可能なプライマリアクション アプリケーションルール [ 許可 ] [ ブロック ] マルウェア対策ルール グローバル URL ブラックリスト [ ブロック ] [ 許可 ] [ ブロック ] [ サンドボックスに送信 ], [ バイパス ] キャッチオールルール [ 許可 ] [ ブロック ] グローバル URL ホワイトリスト [ 常に許可 ] メディアタイプルール [ 許可 ] [ ブロック ] 注 [ マルウェア対策 ] ルールは作成できません [ サンドボックスに送信 ] アクションと [ バイパス ] アクションを使用できるのは [ クラウドの脅威の検出 ] サービスを購入済みの場合のみです [ ブラックリスト ] ルールは作成できません ブラックリストは [ グローバル設定 ] 機能でのみ使用できます Web レピュテーションルール [ 許可 ] [ ブロック ] [Web レピュテーション ] プライマリオブジェクト を編集することはできません SSL スキャナールール [ 検査 ] [ 検査しない ] Web カテゴリルール [ 許可 ] [ ブロック ] URL ホワイトリストルール [ 許可 ] [Web レピュテーション ] ルールを作成することはできません 許可された場合には 各プライマリアクションに設定済みの例外オブジェクトが含まれます 表 2-5 アクションの説明 アクション 説明 [ 許可 ]/[ ブロック ] [ 許可 ] アクションを設定すると Web リクエストは現在の機能をバイパスし トップダウンリストの次の機能に進みます [ ブロック ] アクションを設定すると すべての処理が停止し 要求がブロックされます [ 常に許可 ] この設定は [ グローバル URL ホワイトリスト ] にのみ適用されます [ 常に許可 ] を設定すると Web リクエストが通過されて 残りの機能による以降のすべての処理が停止します [ 検査 ]/[ 検査しない ] [ 検査 ] アクションを設定すると SSL 情報が復号されてからリスト内の次の機能に渡されます [ 検査しない ] を設定すると SSL 情報は復号されず 事実上 残りの機能による以降のすべての処理が停止します [ サンドボックスに送信 ]/[ バイパス ] ([ クラウドの脅威の検出 ] サービスでのみ使用可能 ) [ サンドボックスに送信 ] アクションを使用すると 不審なファイルがその後の分析に備えて [ クラウドの脅威の検出 ] サービスに送信されます [ 悪意がある ] ゲートウェイマルウェア対策によってリスクスコアが 90 以上と評価されたファイル これらのファイルは自動的にブロックされます [ 不審 ] ゲートウェイマルウェア対策によってリスクスコアが 70 から 90 の範囲であると評価されたファイル これらのファイルはさらに処理するためにサンドボックスに送信されます [ バイパス ] アクションは ファイルが [ クラウドの脅威の検出 ] サービスに送信されないようにします McAfee Web Gateway Cloud Service Product Guide 15

16 2 ポリシー管理ポリシーブラウザーの使用 ルールの順序の重要性 [ 常に許可 ] アクションがトリガーされると 以降のルールはスキップされ 現在のリクエストに関して評価されません [ 許可 ] アクションでは 現在の機能ポリシーの残りのすべてのルールがスキップされ 次の機能ポリシーで処理が続行されます [ 許可 ] または [ 常に許可 ] のアクションでは トリガー項目が許可されます 各機能ポリシーのルールを並べ替えるのに使用する順序を考慮します 最も厳密なルールをルールリストの先頭に置き キャッチオールルールをリストの最後に置きます アクションの順序の重要性 [ ルールの詳細 ] ペインの最後にあるアクションは プライマリアクションと見なされ キャッチオールアクションとして実行されます たとえば 最後にあるアクションが [ ブロック ] の場合は 上方のアクションに一致しないトラフィックはブロックされます 関連トピック : 32 ページの ルールの有効化または無効化 [ オブジェクトの詳細 ] ペイン [ オブジェクトの詳細 ] ペインには ルールに含まれる関連項目が表示されます 図 2-6 [ オブジェクトの詳細 ] ペイン のワークフローを移動すると [ オブジェクトの詳細 ] ペインに表示される情報が変わります この動的な情報によって 現在のワークフローに関連するオプションが常に表示されます たとえば [Web レピュテーション ] ルールを選択した場合 ルールを有効または無効にしたり 例外を追加したりできます [Web レピュテーション ] ルールの説明は編集できません ワークフロー内の現在のステージで許可されていれば 選択したオブジェクトの項目を編集できます インターフェースの一部の領域には 選択可能な多数のエントリが含まれています これらの領域には 検索フィールドがあり 探しているものをより容易に検索することができます 16 McAfee Web Gateway Cloud Service Product Guide

17 ポリシー管理ポリシーブラウザーの使用 2 キャッチオールルール キャッチオールルールは 他のルールがトリガーされない場合に有効になる機能ポリシーを構成するメソッドを提供します キャッチオールルールは [SSL スキャナー ] [Web カテゴリフィルター ] [ アクセス保護 ] および [ メディアタイプフィルター ] の各ポリシーに含まれています キャッチオールルールは 関連する機能ポリシーのリストの最後に表示されます 削除したり 順序を変更したりすることはできません このタイプのルールは無効にできます 例外を使用した複雑なルールの作成 例外は 特定のルールやアクションをユーザーグループ例外を使用して ビジネス要件に適した複合ルールを作成できます 例外の使用については 例を挙げて説明するのが一番分かりやすいでしょう エグゼクティブユーザーグループがソーシャルネットワーキングサイトにアクセスできないようにするルールを作成するとします そのために エグゼクティブを対象にしたルールと許可されているユーザーグループを対象にしたルールを 1 つずつ作成するのも一案です しかし 例外を使用すれば 1 つのルールを作成するだけでその要件に対応できます 例外は より具体的なものから より一般的なものに進む方向でルールに影響を与えます 関連トピック : 31 ページの 例外を使用したルールの作成 [ カタログ ] ペイン カタログには ブロックページ Web カタログのリスト Web アプリケーションタイプのリスト メディアタイプのリストなどの関連データのグループが保持されます [ カタログ ] ペインは 画面の右側に表示されます 図 2-7 カタログペイン [ カタログ ] ペインの内容は 選択した機能領域とルールによって異なります McAfee Web Gateway Cloud Service Product Guide 17

18 2 ポリシー管理クライアントシステムでの SSL 証明書のダウンロードとインストール 選択リストによるリストの更新 すでに入力されている選択リストから項目を選択することによって リストに項目を追加できます 選択リストは 以下の機能領域のカタログ項目の追加または削除に使用されます [Web カテゴリフィルター ] [ アクセス保護 ] [ メディアタイプフィルター ] 図 2-8 選択リスト リストに項目を追加するには 対象項目の隣にある目の隣にあるをクリックします をクリックします リストから項目を削除するには 対象項 クライアントシステムでの SSL 証明書のダウンロードとインストール SSL 証明書をインストールすると McAfee WGCS が SSL トラフィックをスキャンできます 証明書は McAfee WGCS と通信する各デバイスにインストールする必要があります 異なるブラウザーとオペレーティングシステムに SSL 証明書をインストールする方法の詳細は 証明書バンドルに含まれています 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] から [SSL スキャナー ] を選択します 3 [SSL スキャナー ] 領域の右のポリシー名 - たとえば [SSL 検査なし ] または [ 基本的な対応範囲 ] をクリックします 4 [ ポリシーの詳細 ] ペインで [SSL 証明書バンドルのダウンロード ] をクリックします 5 プロンプトが表示されたら.zip ファイルをローカルに保存します ファイルを解凍し ユーザーと共有します 6 Importing_Certificates_into_Browsers.pdf ドキュメント ( 証明書バンドル.zip ファイルに含まれる ) に記載さ れた ブラウザーとオペレーティングシステムの説明に従います McAfee Skyhigh Security Cloud との統合 目次統合の概要統合の設定 SAML 以外のテナントの Enterprise コネクターのユーザーアカウントの作成 18 McAfee Web Gateway Cloud Service Product Guide

19 ポリシー管理 McAfee Skyhigh Security Cloud との統合 2 サービスグループの [ アクセス保護 ] ポリシーへの追加 統合の概要 McAfee Skyhigh Security Cloud は クラウドで開発されたクラウドアクセスセキュリティーブローカー (CASB) です McAfee Skyhigh Security Cloud と統合することで CASB 機能が McAfee WGCS に追加されます McAfee Skyhigh Security Cloud は リスク属性に基づいてクラウドサービスをサービスグループにグループ化します McAfee WGCS インターフェースで統合が有効化されると 以下のようになります 1 McAfee WGCS ソフトウェアによりログファイルが自動的に McAfee Skyhigh Security Cloud にエクスポート されます 2 McAfee Skyhigh Security Cloud ログファイル内のアクセスデータに基づいて コンプライアンスマネージャーが危機的なサービスを既存のサービスグループに追加したり 新しいグループを作成したりできます 3 McAfee Skyhigh Security Cloud ソフトウェアによりサービスグループが自動的に McAfee WGCS にエクスポ ートされます 4 McAfee WGCS ソフトウェアによりサービスグループがサブスクライブ済みリストとしてインポートされます 管理者は カタログからリストを選択し それらをルールとして [ アクセス保護 ] ポリシーに追加できます 統合の設定 統合を設定するには McAfee Skyhigh Security Cloud および McAfee WGCS インターフェースでの設定が必要です McAfee Skyhigh Security Cloud ダッシュボード このインターフェースでは ユーザーは役割に基づいてを管理するためのアクセス権があります 例えば ユーザーマネージャー役割を持つユーザーは Enterprise コネクターユーザーを作成でき コンプライアンスマネージャー役割を持つユーザーはサービスグループの作成と管理ができます McAfee WGCS インターフェース このクラウドサービスは McAfee epo Cloud プラットフォームから管理されます セットアップ手順は次のとおりです McAfee Web Gateway Cloud Service Product Guide 19

20 2 ポリシー管理 McAfee Skyhigh Security Cloud との統合 1 McAfee Skyhigh Security Cloud ダッシュボード 管理ページへのアクセス権を持ちログの処理を行うことのできる Enterprise コネクターのユーザーアカウントを作成します McAfee Skyhigh Security Cloud と McAfee WGCS の間の接続をセットアップするには 追加の設定が必要です 2 McAfee WGCS インターフェース McAfee Skyhigh Security Cloud で設定した Enterprise コネクター認証情報を入力して 統合を有効化します [ ポリシーブラウザー ] の [ 設定 ] ペインから McAfee Skyhigh Security Cloud との統合を有効化できます SAML 以外のテナントの Enterprise コネクターのユーザーアカウントの作成 SAML 以外のテナントの Enterprise コネクターのユーザーアカウントを McAfee Skyhigh Security Cloud ダッシュボードで作成します 開始する前に ユーザーマネージャー役割が必要です アカウントを作成すると パスワードを指定できるページへのリンクが記載されたメールがシステムから届きます SAML テナントを使用しているか SAML テナント以外から SAML テナントへ移行する場合 Enterprise コネクターアカウントの作成に関する詳細については Skyhigh サポートに連絡してください 1 McAfee Skyhigh Security Cloud ダッシュボードで [ 設定 ] [ ユーザー管理 ] [ ユーザー ] の順に選択します 2 [ アクション ] [ ユーザーの新規作成 ] をクリックします 3 以下のフィールドに値を入力します Enterprise コネクターのアカウントにログオンするときに ユーザー名として電子メールアドレスを使用します 設定を保存したら パスワードを指定します [ 名 ] [ 姓 ] [ 電子メール ] 4 [ アクセス制御 ] ペインで 以下の役割を選択します [Enterprise コネクターユーザー ] ユーザーによる管理ページへのアクセスとログの処理を許可します [epo コネクター ] ユーザーによる McAfee Skyhigh Security Cloud と McAfee epo Cloud の間の接続の管理を許可します (McAfee WGCS が管理されている場合 ) 5 [ 保存 ] をクリックします サービスグループの [ アクセス保護 ] ポリシーへの追加 サービスグループを [ アクセス保護 ] ポリシーにルールとして追加することで クラウドサービスのグループへのアクセス権を構成できます コンプライアンスマネージャーが McAfee Skyhigh Security Cloud ダッシュボード上でサービスグループを構成します サービスグループから作成されたルールは McAfee Skyhigh Security Cloud との統合が無効になると無効になります 20 McAfee Web Gateway Cloud Service Product Guide

21 ポリシー管理リストの操作 2 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で [ アクセス保護 ] の横にあるをクリックしてから [ 新規ルール ] を選択します 3 [ カタログ ] ペインのドロップダウンリストから [Skyhigh サービスグループ ] を選択します 使用可能なサービスグループが表示されます 4 ルールとして追加するサービスグループの横にあるをクリックします 5 このサービスグループ内のクラウドサービスへのアクセスを制限するには [ ブロック ] の横にあるをクリック します 6 [ カタログ ] ペインで ブロックするユーザーグループの横にあるをクリックします 7 [ 保存 ] をクリックします サービスグループが [ アクセス保護 ] ポリシーにルールとして追加され 選択したユーザーグループは このグループ内のクラウドサービスへのアクセスがブロックされます リストの操作 目次 McAfee 管理リストの操作一般的なクラウドアプリケーションのホワイトリストの作成サーバー IP 範囲の操作 URL リストの処理ユーザーグループの利用 McAfee 管理リストの操作 McAfee はリストを管理し ユーザーがポリシーで使用し それらを最新の状態に保つことができるようにします 購読リスト これらのリストは 新しい情報が使用可能になると 動的に更新されます システムリスト これらのリストは時々更新するだけで問題ありません システムリストおよび購読リストは [ カタログ ] ペインで McAfee セキュアアイコンによって識別されます McAfee がこれらのリストを管理するため 編集したり 削除したりすることはできません 購読リストはコピーできません 一般的なクラウドアプリケーションのホワイトリストの作成 McAfee は Microsoft Office 365 などの一般的なクラウドアプリケーションのサーバー IP 範囲およびホスト名または URL のリストを管理し 新しい情報が使用可能になると これらのリストを動的に更新します これらの McAfee 管理リストを [ グローバル設定 ] にホワイトリストとして追加できます これらは [ ホストリス ト ] および [ サーバー IP 範囲 ] カタログにあり アイコンで識別されます ユーザーが IP 範囲またはホスト名がホワイトリストに登録されているクラウドアプリケーションに Web リクエストを送信すると そのリクエストはフィルタリングを回避できます これにより 処理が高速になります この機能は 頻繁にアクセスされる既知のアプリケーションで特に役立ちます McAfee Web Gateway Cloud Service Product Guide 21

22 2 ポリシー管理リストの操作 McAfee WGCS は 以下の Microsoft クラウドアプリケーションでサーバー IP 範囲 ホストリスト またはその両方をサポートします Microsoft Exchange Online Microsoft Office Mobile Microsoft Federation Gateway Microsoft Office Online Microsoft Lync Online Microsoft SharePoint Online Microsoft Office 365 Yammer Microsoft Office for ipad サーバー IP 範囲の操作 サーバー IP アドレス範囲を使用してホワイトリストを作成し クラウドアプリケーションに送信されるすべての Web リクエストでフィルタリングをバイパスし パフォーマンスを向上させることができます この機能は 頻繁にアクセスされるクラウドアプリケーションで特に役立ちます [ カタログ ] ペインで サーバー IP 範囲リストを作成および管理し それらを [ グローバル設定 ] 機能にホワイトリストまたはブラックリストとして追加します McAfee セキュアアイコンで示されているリストは McAfee によって管理されており 管理することはできません サーバー IP 範囲リストの作成サーバー IP 範囲リストを作成する場合 以下のオプションがあります サーバー IP 範囲をリストに手動で入力する.csv ファイルからサーバー IP 範囲のリストをインポートする 既存のサーバー IP 範囲リストをコピーする サーバー IP 範囲リストのフォーマット [ グローバル設定 ] ルールに設定されているサーバー IP 範囲リストは IP 範囲認証用に設定されているクライアント IP 範囲リストと同じようにフォーマットされます クライアント IP 範囲リストと同じように サーバー IP 範囲リストには以下の特長があります 文字列値の単一の列 1 行に 1 つの IP アドレス範囲 およびオプションのヘッダー行で構成される Classless Inter-Domain Routing (CIDR) IPv4 または IPv6 の表記を使用して設定されたエントリを含む IPv4 エントリと IPv6 エントリの両方を含めることができる 重複するエントリを含めることはできない サーバー IP 範囲リストの管理 [ カタログ ] ペインの [ サーバー IP 範囲 ] カタログからリストを選択し 以下のを実行できます リストを編集する カタログからリストを削除する.csv ファイルから新規リストをインポートすることによって既存のリストを置換する リストを.csv ファイルにエクスポートする 22 McAfee Web Gateway Cloud Service Product Guide

23 ポリシー管理リストの操作 2 サーバー IP 範囲リストの作成 サーバー IP 範囲リストの作成後に それをホワイトリストとして [ グローバル設定 ] 機能に追加できます リストの範囲内の IP アドレスに送信された Web 要求は フィルタリングをバイパスできます サーバー IP 範囲リストを作成する場合 以下のオプションがあります サーバー IP 範囲をリストに手動で入力する.csv ファイルからサーバー IP 範囲のリストをインポートする 既存のサーバー IP 範囲リストをコピーする.csv ファイルから IP アドレス範囲をインポートする前に 次の注意事項を確認してください ファイルでは 1 行につき 1 つの IP アドレス範囲が含まれていること ファイルの最初の行には ヘッダーを含めることができます 見出しが含まれている場合は ファイルをインポートする際に [ このファイルには見出し行が含まれています ] を選択します 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ グローバル設定 ] を展開してから ルールを選択します 3 [ カタログ ] ドロップダウンリストから [ サーバー IP 範囲 ] を選択します 設定されたリストが表示されます 4 リストを作成する方法を選択します サーバー IP 範囲をリストに手動で入力します 1 [ カタログ ] メニューから [ 新しいサーバー IP 範囲 ] を選択します 2 CIDR 形式を使用して それぞれの IPv4 または IPv6 アドレス範囲を入力して [ 追加 ] をクリックします.csv ファイルからサーバー IP 範囲のリストを次のようにインポートします 1 [ カタログ ] メニューから [ 新しいサーバー IP 範囲のインポート ] を選択します 2 インポートする.csv ファイルを見つけて開き [ インポート ] をクリックします 既存のサーバー IP 範囲リストをコピーします 1 コピーするリストを選択し [ カタログ ] メニューから [ サーバー IP 範囲のコピー ] を選択します 2 必要に応じてリストを編集します 5 リストにカスタム名を指定します 6 [ 保存 ] をクリックします 新しいサーバー IP 範囲リストが [ サーバー IP 範囲 ] カタログに追加されます サーバー IP 範囲カタログでのリストの管理 [ 編集 ] [ 削除 ] [ インポート ] および [ エクスポート ] オプションを使用して [ サーバー IP 範囲 ] カタログでリストを管理できます カタログで リストを選択して以下のを実行できます [ 編集 ] リストを編集したり リストの名前を変更したりする [ 削除 ] カタログからリストを削除する McAfee Web Gateway Cloud Service Product Guide 23

24 2 ポリシー管理リストの操作 [ インポート ] 必要に応じて リスト項目を.csv ファイルにインポートされた項目に置き換えてから リストを編集したり リストの名前を変更したりする [ エクスポート ] リストを.csv ファイルにエクスポートする McAfee セキュアアイコンで示されているリストは McAfee によって管理されており 管理することはできません 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ グローバル設定 ] を展開してから ルールを選択します 3 [ カタログ ] ドロップダウンリストから [ サーバー IP 範囲 ] を選択します 設定されたリストが表示されます 4 カタログで サーバー IP 範囲リストを選択します リスト項目が下のペインに表示されます 5 下のペインのリスト名の隣の をクリックしてから オプションをクリックします [ 編集 ] 選択したリストの項目を追加 削除 編集し 必要に応じてリストの名前を変更してから [ 保存 ] をクリックします [ 削除 ] [ 削除 ] をクリックして 選択したリストをカタログから削除することを確認します ルールで使用されるリストは削除できません [ インポート ] [ リストのインポート ] ダイアログボックスから インポートする.csv ファイルを見つけて開き [ インポート ] をクリックします [ 置換 ] をクリックしてインポートを確認します 必要に応じて リストを編集または名前変更してから [ 保存 ] をクリックします 選択されたリストのエントリは インポートされたリストのエントリに置換されます [ エクスポート ] [OK] をクリックして 選択したリストを Downloads フォルダに.csv ファイルとして保存するか そのファイルを Microsoft Excel で開きます このリストは カタログから更新 エクスポート または削除されます URL リストの処理 URL を URL リストに追加することによって ユーザーがアクセスする Web サイトを制御できます 追加した URL は URL リストに維持され 必要に応じて編集できます また URL をエクスポートして情報をバックアップすることもできます URL リスト用のドメイン名のフォーマット サポートされているドメイン名フォーマットは次のとおりです ホスト. ドメイン. トップレベルドメイン / パス ホスト. ドメイン. トップレベルドメイン ドメイン. トップレベルドメイン / パス ドメイン. トップレベルドメイン ホスト ホストの DNS 名 ドメイン サブドメインの名前 24 McAfee Web Gateway Cloud Service Product Guide

25 ポリシー管理リストの操作 2 トップレベルドメイン トップレベルドメイン パス Web リソースへのパス パスとすべてのサブパスは自動的に組み込まれます これは 次のようにドメイン名のパスの後にアスタリスクを続けるのと同じことです 例 : host.domain.tld/path* WGCS_CDP_SUBDOMAINS_SETTING すべてのサブドメインの設定 この設定によって ポリシールールがドメインとすべてのサブドメインに適用されるのか ドメインだけに適用されるのかが決まります すべてのサブドメインを指定するには 次のようにします [ ポリシーブラウザー ] において URL を URL リストに追加する際に [ すべてのサブドメイン ] をオンにします URL リストを指定する.csv ファイルにおいて サブドメイン (True/False) 列の値を True にします すべてのサブドメインを指定するのと 次のように各ドメイン名の冒頭に *. を追加するのは同じ意味になります 例 : *. ホスト. ドメイン. トップレベルドメイン / パス URL リストへの URL の追加 URL リストを使用して ユーザーにアクセスを許可する Web サイトを制御できます Web サイトのリストをそれぞれの URL リストに追加できます ホワイトリストとブラックリストは他の URL リストと同様ですが 次の点が異なります [ グローバル URL ホワイトリスト ] では [ 常に許可 ] アクションのみを使用できます 機能別のホワイトリストでは [ 許可 ] アクションのみを使用できます ブラックリストでは [ ブロック ] アクションのみを使用できます ブラックリストやホワイトリストに例外を設定することはできません 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 この機能領域で 編集するポリシーとルールを選択します 4 [ カタログ ] ペインで カタログタイプ [URL リスト ] を選択し 編集する必要がある URL リストをクリックします オブジェクトの詳細ペインに 選択した URL リストの詳細が表示されます 5 オブジェクトの詳細ペインで をクリックし [ 編集 ] を選択します 6 URL フィールドで 追加する URL を入力します 入力した URL がチェックされます 重複する項目が追加されることはありません 7 ( オプション ) URL の下にあるすべてのサイトを追加するには [ すべてのサブドメイン ] を選択します 8 [ 追加 ] をクリックします 9 [ 保存 ] をクリックしてルールを更新します McAfee Web Gateway Cloud Service Product Guide 25

26 2 ポリシー管理リストの操作 URL リストに含まれる URL の編集 URL リストに追加されている Web サイトのリストを編集または変更できます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 この機能領域で 編集するポリシーとルールを選択します 4 [ カタログ ] ペインで カタログタイプ [URL リスト ] を選択し 編集する必要がある URL リストをクリックします オブジェクトの詳細ペインに 選択した URL リストの詳細が表示されます 5 オブジェクトの詳細ペインで をクリックし [ 編集 ] を選択します 6 URL を選択し URL フィールドで必要な変更を行います 7 [ 完了 ] をクリックして 編集された URL を URL リストに含めます 編集時に URL を追加する場合は をクリックします 8 [ 保存 ] をクリックしてルールを更新します URL リストのエクスポート URL リストのエクスポートは情報をバックアップする便利な方法です エクスポートされた情報を他のルールにインポートしたり その情報を他のシステムにインポートしたりできます エクスポートされた URL は CSV 形式で保存されます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2.csv ファイルにエクスポートする URL リストが含まれるルールを選択します 3 [ カタログ ] ペインで カタログタイプ [URL リスト ] を選択し 必要なリストをクリックします 4 オブジェクトの詳細ペインで をクリックし [ エクスポート ] を選択します 5 ファイルの保存に使用しているブラウザーのワークフローに従います このリストは サイトリストオブジェクトと同じ名前のファイルに保存されます たとえば Blocked URLs という名前のサイトリストから URL のリストをエクスポートすると Blocked URLs.csv という名前のファイルが作成されます URL リストのインポート URL をシステムに追加するには URL リストをインポートする方法が便利です インポートする URL リストは CSV 形式にする必要があります 開始する前に 既存の CVS ファイルに インポートする URL のリストが含まれていることを確認してください ファイルにはヘッダー行を含めることもできます 26 McAfee Web Gateway Cloud Service Product Guide

27 ポリシー管理リストの操作 2 各行には 1 つの URL の後に "," 区切り文字が続き その後に "true" または "false" が続きます "true" を追加すると URL に "All subdomains" パラメーターが選択されます "false" を追加すると "All subdomains" の選択が解除されます URL と true/false 値は 大文字と小文字が区別されません 行末または行内にスペースは使用できません ファイル内の項目は次のようになります example.org,true 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 機能領域でルールを選択します 3 [ カタログ ] ペインで カタログタイプ [URL リスト ] を選択し 必要なリストをクリックします 4 オブジェクトの詳細ペインで をクリックし [ インポート ] を選択します 5 インポートする URL が格納された.csv ファイルを選択します.csv ファイルの先頭行にヘッダー情報がある場合には [ このファイルにはヘッダー行が含まれています ] を選択してください 6 [ インポート ] をクリックします ステータスメッセージが表示されます.csv ファイルに重複した URL が含まれていると インポートが中断し 重複項目が通知されます インポートを続行することも URL リストをインポートせずに終了することもできます 7 既存のすべての URL をインポートした URL の値で上書きするには [ 置換 ] をクリックします 8 [ 保存 ] をクリックします ユーザーグループの利用 McAfee WGCS には Client Proxy 認証または Web リクエストを含む SAML 認証によって提供されるユーザーグループ情報が含まれます ユーザーグループ名で設定されたポリシールールは リクエスト内のグループ情報に従って適用されます [ ポリシーブラウザー ] では ユーザーグループの名前を管理できますが グループ自体を管理することはできません このため ローカルディレクトリサービスを使用します [ カタログ ] ペインで ポリシールールに追加するユーザーグループの名前を表示および管理できます これらの名前は Active Directory (AD) のユーザーグループに対応します ユーザーグループ [ カタログ ] で 以下を行うことができます 新規のユーザーグループの追加 または既存のグループのコピー ユーザーグループの名前変更または削除 手動で または Active Directory 同期を使用して ユーザーグループ名を [ カタログ ] に追加できます McAfee Web Gateway Cloud Service Product Guide 27

28 2 ポリシー管理リストの操作 手動による追加 制限されたユーザーグループの数を追加する場合 [ カタログ ] ペインで [ 新しいユーザーグループ ] オプションを使用します ほとんどの組織は Web セキュリティポリシーに少数のユーザーグループのみを追加する必要があるため このオプションを選択します Active Directory との同期 If you plan to add many user groups, you can use Active Directory synchronization to synchronize your on-premise Active Directory accounts with McAfee epo Cloud. Active Directory で同期されているユーザーグループ名の後には かっこ内のドメイン名が続きます 例 : テクニカルマーケティング (CORP) McAfee epo Cloud が Active Directory を読み取ることができるように 最初に次のことを行う必要があります AD Connector のセットアップ Active Directory サーバーを McAfee epo Cloud に登録する Active Directory のセットアップの詳細については McAfee epolicy Orchestrator Cloud 製品ガイド を参照してください ユーザーグループのカタログにグループ名を追加する [ カタログ ] にユーザーグループ名を追加した後で それらを選択してポリシールールに追加することができます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ カタログ ] ドロップダウンリストから [ ユーザーグループ ] を選択します 3 ユーザーグループを追加する方法を選択します [ カタログ ] メニューから [ 新しいユーザーグループ ] を選択して ユーザーグループの名前を入力します コピーするユーザーグループ名を選択してから [ カタログ ] メニューから [ ユーザーグループのコピー ] を選択し 必要に応じて名前を編集します ユーザーグループ名は Active Directory の名前と完全に一致している必要があります そうでない場合 ポリシールールが予期したとおりに作動しない可能性があります 4 [ 保存 ] をクリックします ユーザーグループ名が [ カタログ ] に追加されます ユーザーグループのカタログにグループ名を管理するユーザーグループの名前を変更するか [ カタログ ] からそれを削除することができます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ カタログ ] ドロップダウンリストから [ ユーザーグループ ] を選択します 3 名前変更または削除するユーザーグループを選択します 28 McAfee Web Gateway Cloud Service Product Guide

29 ポリシー管理ルールの利用 2 4 オブジェクトの詳細ペインで グループの隣の をクリックしてから オプションを選択します [ 名前の変更 ] 名前を編集してから [ 保存 ] をクリックします [ 削除 ] [ 削除 ] をクリックして確認します ユーザーグループ名は Active Directory の名前と完全に一致している必要があります そうでない場合 ポリシールールが予期したとおりに作動しない可能性があります ユーザーグループは名前変更されるか [ カタログ ] から削除されます ユーザーグループをルールアクションに追加する 例外をルールに作成する場合 ユーザーグループをセカンダリルールアクションに追加できます この結果は プライマリルールアクションが [ 許可 ] または [ ブロック ] のどちらであるかによって異なります プライマリルールアクションが [ 許可 ] であり ユーザーグループを [ ブロック ] アクションに追加した場合 ルールアクションは以下の順序で適用されます 1 ユーザーグループはブロックされます 2 それ以外はすべて許可されます プライマリルールアクションが [ ブロック ] であり ユーザーグループを [ 許可 ] アクションに追加した場合 ルールアクションは以下の順序で適用されます 1 ユーザーグループは許可されます 2 それ以外はすべてブロックされます 1 つのルールアクションに複数のユーザーグループを追加することができます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で機能を選択し ドロップダウンリストからポリシーを選択します 3 ユーザーグループを追加するルールを選択します 4 [ ルールの詳細 ] ペインで セカンダリアクションの横の をクリックします 5 [ カタログ ] ペインで セカンダリアクションに追加するユーザーグループの横のをクリックします 6 [ 保存 ] をクリックします ユーザーグループがルールアクションに追加されます ルールの利用 目次ルールの追加 URL リストのインポートによるルールの作成例外を使用したルールの作成ルールの有効化または無効化ルールの詳細の変更ルールへのアクションの追加 McAfee Web Gateway Cloud Service Product Guide 29

30 2 ポリシー管理ルールの利用 アクションをプライマリアクションに変更するルールからのアクションの削除ルールの並べ替えルールの削除 ルールの追加 機能のポリシーにルールを追加することで ユーザーの保護機能をカスタマイズできます 新しいルールが追加される場所は 選択したオプションと現在選択されている項目によって異なります 既存のルールを選択している場合 選択したルールのすぐ上に新しいルールが追加されます ルールを選択していない場合 選択した主な保護領域の後に新しいルールが追加されます キャッチオールルールが存在する場合 新しいルールはその上に追加されます ホワイトリストを追加する場合は ブラウザー内の最後のホワイトリストのルールの下に追加されます 別のルールの詳細を編集中の場合にはルールを追加できません デフォルトで作成されるタイプのルール ( マルウェア対策ルール Web レピュテーションルールなど ) を追加することはできません 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] から 機能ポリシーの横にあるをクリックして [ 新規ルール ] を選択します 3 [ カタログ ] ペインのドロップダウンリストから 必要なカタログタイプを選択します 4 選択したリストの横にあるをクリックします [ 検索 ] フィールドを使用して 選択可能な項目をフィルタリングします 5 [ ルールの詳細 ] ペインで 追加されたリストに必要なアクションを選択します 6 [ 保存 ] をクリックします URL リストのインポートによるルールの作成 URL リストルールを作成するには URL を含む.csv ファイルを URL リストにインポートするという方法があります この URL リストを 新しいルールに追加します 開始する前に既存の CVS ファイルに インポートする URL のリストが含まれていることを確認してください ファイルにはヘッダー行を含めることもできます 各行には 1 つの URL の後に "," 区切り文字が続き その後に "true" または "false" が続きます "true" を追加すると URL に "All subdomains" パラメーターが選択されます "false" を追加すると "All subdomains" の選択が解除されます URL と true/false 値は 大文字と小文字が区別されません 行末または行内にスペースは使用できません ファイル内の項目は次のようになります example.org,true 30 McAfee Web Gateway Cloud Service Product Guide

31 ポリシー管理ルールの利用 2 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 追加するルールに関連した機能ポリシーの横にあるをクリックします 3 [ 新規ルール ] を選択します 4 [ カタログ ] ペインで ドロップダウンリストから [URL リスト ] を選択し をクリックして [ 新しい URL リストのインポート ] を選択します 5 [ リストのインポート ] ダイアログボックスで 以前に作成した URL のリストを参照します.csv ファイルの先頭行にヘッダー情報がある場合には [ このファイルにはヘッダー行が含まれています ] を選択してください 6 [ インポート ] をクリックします ファイルのコンテンツから URL リストルールが作成されます.csv ファイルに重複した URL が含まれていると インポートが中断し 重複項目が通知されます インポートを続行することも URL リストをインポートせずに終了することもできます 7 ファイルの URL がインポートされたら デフォルトの名前で URL リストを保存するか URL リストを新しい名前 で保存します デフォルトでは URL リストをインポートした.csv ファイルの名前が使用されます 8 [ 保存 ] をクリックします 9 リストを新しいルールに追加するには 新たに作成された URL リストの右にあるをクリックします 10 デフォルトのルール名を保存するか 新しい名前で保存します デフォルトでは 選択した URL リストの名前が使用されます 11 [ 保存 ] をクリックします 例外を使用したルールの作成 ユーザーグループを指定するための例外を使用するルールを作成することによって ユーザーグループに特定のアクセス権を付与したり 拒否したりできます エグゼクティブユーザーグループがソーシャルネットワーキングサイトにアクセスできないようにするルールを作成するとします 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ アクセス保護 ] 機能領域でルールを作成します a b [ ポリシーブラウザー ] から 機能ポリシーのをクリックします [ 新規ルール ] を選択します McAfee Web Gateway Cloud Service Product Guide 31

32 2 ポリシー管理ルールの利用 3 必要なルールタイプを割り当てます a [ カタログ ] ペインで ドロップダウンリストから [Web アプリケーション ] を選択します b [ カタログ ] ペインで [ ソーシャルネットワーキング ] の右にあるをクリックします [ ルールの詳細 ] ペインで ルール名が [ ソーシャルネットワーキング ] になります 4 必要なユーザーグループを割り当てます a [ ルールの詳細 ] ペインで [ ブロック ] オプションの横にある をクリックして [ ユーザーグループ ] のリス トを表示します b [ カタログ ] ペインで [ エグゼクティブ ] の右にある をクリックします 1 つのアクションに 1 つ以上のユーザーグループを追加できます 5 [ ルールの詳細 ] ペインで [ 保存 ] をクリックします ルールの有効化または無効化 機能ポリシーのすべてのルールを常時有効にしておく必要はありません 要件に合わせてルールを有効または無効にできます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 この機能領域で 編集するポリシーとルールを選択します 4 [ ルールの詳細 ] ペインで をクリックして 利用可能なオプションから必要なオプション ([ ルールを有効にする ] または [ ルールを無効にする ]) を選択します キャッチオールルールを無効にしようとすると 別の確認が表示されます 続行するには [OK] をクリックします 5 [ 保存 ] をクリックします ルールの詳細の変更 [ ルールの詳細 ] ペインでは ユーザーグループの例外を追加または削除したり 選択したルールのプライマリオブジェクトを編集したりできます ルールタイプによっては 編集内容に制限があります たとえば マルウェア対策ルールでは アクションの並べ替え ルールの削除 [ ブロック ] アクションからのデフォルトの例外の削除 [ サンドボックスに送信 ] アクションの削除を行うことはできません 大半のルールタイプで例外を作成できます たとえば 従業員にインターネットアクセスを許可するルールを作成したとします このルールに例外を作成して ゲストユーザーと契約社員のアクセスを禁止できます 以下のワークフローでは [ 許可 ] アクションのルールの詳細を変更します [ ブロック ] アクションを変更する場合にも同様のワークフローを使用します 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 32 McAfee Web Gateway Cloud Service Product Guide

33 ポリシー管理ルールの利用 2 3 この機能領域で 編集するポリシーとルールを選択します 4 [ ルールの詳細 ] ペインで [ 許可 ] アクションが選択されていることを確認します [ ルールの詳細 ] でアクティブなアクションを編集することはできません たとえば [ 許可 ] アクションがアクティブな場合 許可の詳細を編集するには 最初に [ ブロック ] アクションをアクティブにします [ ブロック ] をアクションリストの最後に移動します 次に 必要に応じて [ 許可 ] アクションを変更します 5 [ 許可 ] の横にあるをクリックします 6 [ グループカタログ ] で 次のいずれかの操作を行います 選択したルールにグループを追加する場合 : [ グループカタログ ] で [ 許可 ] アクションに追加するユーザーグループの右側にあるをクリックします ユーザーグループがアクションにすでに割り当てられている場合 は表示されません 同じアクションにオブジェクトを二度追加することはできません 選択したユーザーグループがカタログ内でグレー表示され [ 許可 ] アクションに追加されます 選択したルールからグループを削除する場合 : [ ルールの詳細 ] の既存のグループで 削除するグループのをクリックします 選択したユーザーグループが [ 許可 ] アクションから削除されます 7 [ 保存 ] をクリックします ルールへのアクションの追加 追加アクションを使用して ルールを適用できます 選択した機能領域とルールによっては さらにアクションを含めることができます 選択した機能とルールで利用できる追加アクションがない場合 メニューの [ アクションの追加 ] オプションがグレーで表示されます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 この機能領域で 編集するポリシーとルールを選択します 4 [ ルールの詳細 ] ペインで をクリックし [ アクションの追加 ] を選択します 新しいアクションが 2 番目のアクションとしてルールに追加されます 5 [ 保存 ] をクリックします McAfee Web Gateway Cloud Service Product Guide 33

34 2 ポリシー管理ルールの利用 アクションをプライマリアクションに変更する ルールのプライマリアクションは キャッチオールアクションと見なすことができます [ ルールの詳細 ] ペインで プライマリアクションはペインの最後に表示されます プライマリアクションおよびセカンダリアクションの位置を変更できます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 この機能領域で 編集するポリシーとルールを選択します 4 [ ルールの詳細 ] ペインで プライマリアクションにするアクションの横のをクリックします 変更するアクションが に表示されます 5 をクリックします 6 選択したアクションが最後のアクションになるまで [ 下へ移動 ] をクリックします 7 [ 保存 ] をクリックします ルールからのアクションの削除 ルールに追加されている不要なアクションは削除できます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 この機能領域で 編集するポリシーとルールを選択します 4 [ ルールの詳細 ] ペインで 削除するアクションの横の をクリックします 5 をクリックし [ アクションの削除 ] を選択します 6 [ 保存 ] をクリックします ルールの並べ替え ルールを移動すると ルールの適用順序が変わります ルールは上から下に向かって適用されます 開始する前に 編集モードでは ルールの順序を変更できません ルールを編集している場合には 変更を保存またはキャンセルしてから順序を変更します キャッチオールルールの順序は変更できません キャッチオールルールはリストの最後になければなりません 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 必要な機能領域を選択します 3 移動するルールを選択します 34 McAfee Web Gateway Cloud Service Product Guide

35 ポリシー管理機能ポリシーの利用 2 4 選択した機能領域で をクリックして [ ルールの並べ替え ] を選択します 5 選択したルールが必要な位置に移動するまでまたはをクリックします 6 [ 保存 ] をクリックします ルールの削除 不要なルールを削除すると 機能ポリシーを分かりやすく編成するのに役立ちます 次のルールは削除できません キャッチオールルール Web レピュテーションルール マルウェア対策ルール 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 ポリシーブラウザーで 必要な機能領域を選択します 3 削除するルールを選択します 4 選択した機能領域で をクリックしてルールの削除を選択します 5 [ 削除 ] をクリックして削除を確認します ルールがポリシーから完全に削除されます 機能ポリシーの利用 目次ポリシーの詳細の編集ブロックページの作成ブロックページの編集ブロックページの削除ポリシーへのブロックページの割り当てリストの作成リストの編集リストを削除する割り当てられたポリシーの変更 ポリシーの詳細の編集 [ ポリシーの詳細 ] ペインから 指定されたポリシー名を編集し 別のブロックページを割り当てることができます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] の機能ヘッダーのポリシードロップダウンリストから 変更する機能ポリシーを選択します McAfee Web Gateway Cloud Service Product Guide 35

36 2 ポリシー管理機能ポリシーの利用 3 機能ポリシー名 たとえば [ 制限 ] または [ 制限なし ] をクリックします 4 [ ポリシーの詳細 ] ペインで 機能ポリシー名を変更するか 必要に応じてブロックページを編集します [SSL スキャナー ] [Web カテゴリフィルター ] など 機能タイプによっては その機能に固有のオプションを有効にできる場合もあります 5 [ 保存 ] をクリックします ブロックページの作成 特定の URL ドキュメント またはその他の Web リクエストへのアクセスがユーザーに許可されていない場合 ブロックページが表示されます 異なるブロックページを作成し 個々の機能ポリシーに追加できます 新しいブロックページを作成するか 既存のブロックページをコピーします 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] の機能ヘッダーのポリシードロップダウンリストから 変更する機能ポリシーを選択しま す 3 機能ポリシー名 たとえば [ 制限 ] または [ 制限なし ] をクリックします 4 [ ポリシーの詳細 ] ペインで [ ブロックページ ] の横にある をクリックします 5 [ カタログ ] ペインで [ ブロックページ ] カタログタイプを選択し 以下のいずれかの選択を行います をクリックし [ 新しいブロックページ ] を選択します コピーするブロックページを選択し をクリックしてから [ ブロックページのコピー ] を選択します 既存のブロックページを追加するには 追加するブロックページの横にある をクリックします 6 必要に応じて [ ブロックページ ] ダイアログボックスでブロックページの名前を編集し メッセージの内容と形 式を変更します 36 McAfee Web Gateway Cloud Service Product Guide

37 ポリシー管理機能ポリシーの利用 2 7 ( オプション ) [ サポートの詳細を表示 ] チェックボックスを選択し [ 保存 ] をクリックします このチェックボックスを選択すると ユーザーは [ サポートの詳細 ] でブロックページの詳細情報を確認できます ブロックアクションをトリガーする Web 要求とブロックメッセージの情報を反映するには ブロックページ内でトークンを使用します 表 2-6 ブロックページで使用できるトークン タイプトークン説明 基本の詳細 {URL} リクエストされた URL {REASON} {IP} サポートの詳細 {RULE} {WEB_CATEGORY} {URL_REPUTATION} {MEDIA_TYPE} ブロックアクションと特定の理由の組み合わせ クライアントシステムの IP アドレス ブロックアクションを生成したルールの機能 機能ポリシー 名前 リクエストされた URL と一致するカテゴリのリスト リクエストされた URL のレピュテーションスコア リクエストされたファイルのメディアタイプ分類 {MALWARE_PROBABILITY} 悪意のあるファイルである可能性 {MALWARE} {APPLICATION} {USERNAME} {USERGROUPS} 検出されたマルウェアについての情報 Web アプリケーションの名前 Web リクエストを行ったユーザーについての情報 ユーザーが属するユーザーグループのリスト {PROXYNAME} 使用したプロキシの詳細 ( 該当する場合 ) 各ブロックページには 1 MB のコンテンツサイズの制限があります 8 [ 保存 ] をクリックします 新しいブロックページがそれぞれのカタログタイプに追加されます 9 新たに作成されたブロックページを選択したポリシーに使用するには [ カタログ ] ペインでブロックページの右側にあるをクリックします ブロックページが [ ポリシーの詳細 ] ペインに追加されます 10 [ 保存 ] をクリックします ブロックページの編集 組織の必要に合わせてブロックページの内容を編集できます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 機能ポリシー名 たとえば [ 制限 ] または [ 制限なし ] をクリックします [ ポリシーの詳細 ] ペインが表示されます McAfee Web Gateway Cloud Service Product Guide 37

38 2 ポリシー管理機能ポリシーの利用 4 [ カタログ ] ペインで 編集するブロックリストを選択します 5 ブロックページの詳細ペインで をクリックして [ ブロックページの編集 ] を選択します ブロックページメッセージのデフォルトのプレーンテキスト表示と 基礎となる HTML コードの表示を切り替えることができます これらの表示を切り替えるには をクリックします 6 ブロックページの名前を編集し 必要に応じてメッセージの内容と形式を変更します また サポートの詳細を選択または選択解除します 7 [ 保存 ] をクリックします ブロックページの削除 [ カタログ ] ペインにある使用していないブロックページを削除できます いずれかのポリシーに割り当てられているブロックページは削除できません 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 機能ポリシー名 たとえば [ 制限 ] または [ 制限なし ] をクリックします [ ポリシーの詳細 ] ペインが表示されます 4 [ カタログ ] ペインで 削除するブロックリストを選択します 5 ブロックページの詳細ペインで をクリックして [ ブロックページの削除 ] を選択します 6 確認ダイアログボックスで [ 削除 ] をクリックします ポリシーへのブロックページの割り当て ブロックページでは 設定したルールとポリシーによってブロックされる Web リクエストについての情報をユーザーに提供します それぞれの機能ポリシーに適切なブロックページを選択できます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 機能ポリシー名 たとえば [ 制限 ] または [ 制限なし ] をクリックします 3 [ ポリシーの詳細 ] ペインで [ ブロックページ ] の横にある をクリックします [ カタログ ] ペインに 利用可能なブロックページが表示されます 4 追加することが必須のブロックページのをクリックします 5 [ 保存 ] をクリックします リストの作成 リストを作成し それを [Web カテゴリ ] [ メディアタイプ ] [URL リスト ] [Web アプリケーション ] のルールに追加できます また ユーザーグループのリストを作成することもできます リストを次のように作成できます 38 McAfee Web Gateway Cloud Service Product Guide

39 ポリシー管理機能ポリシーの利用 2 [ 新規作成 ] オプションを使用します 既存のリストをコピーします 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 この機能領域で 必要な機能ポリシーとルールを選択します 4 [ カタログ ] ペインで カタログタイプを選択してから オプションを選択します をクリックし [ 新しいリスト ] を選択します コピーするリストを選択し をクリックしてから [ コピーのリスト ] を選択します 必要に応じて リストの名前を変更できます [ 新しいリスト ] および [ コピーのリスト ] という名前は 選択したカタログタイプに応じて変更されます ユーザーグループカタログタイプの場合 このコピーオプションはユーザーグループに対してのみ使用できます 5 選択リストで 新しいリストに必要な項目を追加します 項目を追加するには をクリックします [URL リスト ] にリストを作成する場合 選択リストは使用できません 必要な URL を入力するか URL のリストをコピーして URL フィールドに貼り付けてください 6 ( オプション ) リストから削除する項目の隣にあるをクリックします 7 [ 保存 ] をクリックして新しいリストを設定に追加します リストの編集 リスト項目を追加または削除したり リストの名前を変更したりできます リストの編集を行えるのは [Web カテゴリ ] [ メディアタイプ ] [URL リスト ] [Web アプリケーション ] のカタログタイプに限定されます また ユーザーグループリストも編集できます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 この機能領域で 編集が必要な機能ポリシーとルールを選択します [ カタログ ] ペインで それぞれのリストを選択すると オブジェクトの詳細ペインにその項目が表示されます 4 オブジェクトの詳細ペインで をクリックし [ 編集 ] を選択します 5 必要に応じて リストの名前を変更します 6 選択リストでをクリックしてリストに項目を追加するか 項目の隣にあるをクリックしてリストからその 項目を削除します [URL リスト ] のリストを編集する場合 選択リストは使用できません 代わりに URL フィールドで URL を編集します 7 [ 保存 ] をクリックして リストの変更を更新します McAfee Web Gateway Cloud Service Product Guide 39

40 2 ポリシー管理機能ポリシーの利用 リストを削除する 使用していないプライマリオブジェクト サイトリスト Web カテゴリ ユーザー定義オブジェクト ユーザーグループをカタログリストから削除できます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 [ ポリシーブラウザー ] で 機能領域を選択します 3 この機能領域で 必要な機能ポリシーとルールを選択します 4 [ カタログ ] ペインで カタログタイプを選択します 5 選択したカタログタイプで 削除するリストをクリックします オブジェクトの詳細ペインに 選択したリストとその項目が表示されます 6 オブジェクトの詳細ペインで をクリックし [ 削除 ] を選択します いずれかの機能でルールとして構成されている場合 そのオブジェクトまたはリストを削除することはできません 7 [ 削除 ] をクリックして確認します 割り当てられたポリシーの変更 各機能に適用できるアクティブな機能ポリシーは 1 度に 1 つのみです 機能に割り当て済みの機能ポリシーを変更できます 1 McAfee epo Cloud メニューで [ ポリシー ] [Web ポリシー ] の順に選択します 2 利用可能なポリシーを表示するには 関連する主な機能領域を選択して ポリシードロップダウンリストをクリックします デフォルトで 現在のポリシーが選択されています 3 新しいポリシーをリストから選択します 4 [ ポリシーを有効にする ] をクリックします 5 [ はい ] をクリックして変更を確認します 新たに選択した機能ポリシーが有効になります 40 McAfee Web Gateway Cloud Service Product Guide

41 ポリシー管理ユーザーアクションの表示と保持 2 ユーザーアクションの表示と保持 ポリシーに加えられる変更の詳細は McAfee epo Cloud の [ 監査ログ ] ページに記録されます すべてのユーザーアクションのレコードを保持したり これにアクセスしたりするには [ 監査ログ ] を使用します ポリシーまたはルールが作成 変更 または削除される度に あるいはルールが並べ替えられたときに 変更の詳細は McAfee epo Cloud の [ 監査ログ ] に記録されます ユーザーアクションの履歴を表示できます 1 McAfee epo Cloud メニューから [ ユーザー管理 ] [ 監査ログ ] をクリックします 2 特定のエントリを見つけるには [ プリセット ] ドロップダウンリストから必要な期間を選択するか [ 高速検索 ] フィールドを使用して 特定のエントリを検索してから [ 適用 ] をクリックします [ 高速検索 ] は [ ユーザー名 ] [ 優先度 ] [ アクション ] および [ 詳細 ] フィールドを検索します ポリシーとルールの変更の詳細は 選択されたパラメーターに対して表示されます これらの詳細には エントリの ID と オブジェクトまたはルールの階層が含まれます 監査ログのエクスポート 監査ログに含まれる情報をエクスポートして McAfee epo Cloud 外での解析に使用できます 1 McAfee epo Cloud メニューから [ ユーザー管理 ] [ 監査ログ ] をクリックします 2 [ プリセット ] ドロップダウンリストから必要な期間を選択するか [ 高速検索 ] フィールドを使用して 特定のエントリを検索してから [ 適用 ] をクリックします 3 [ アクション ] ボタンをクリックして [ テーブルをエクスポート ] を選択します 4 エクスポートした情報の構成情報を定義します オプション 説明 [ ファイルの圧縮 ] すべてのファイルを 1 つの.zip ファイルにエクスポートします [ ファイル形式 ] エクスポートした情報の形式を選択します PDF 出力を選択した場合は ページサイズとページの向きを定義します 選択したフィルタリング条件に関する情報を含めたり また PDF レポートにカバーページを追加することができます [ エクスポートファイルの処理方法 ] [ 受信者 ] の詳細 [ 件名 ] および電子メールメッセージ [ 本文 ] の情報を入力します 5 [ エクスポート ] をクリックします エラー条件 Web サーバーと対話する製品で作業する場合 潜在的なエラー条件が発生する可能性があります これらのエラー条件は 複数の管理者がポリシーに対して同時に変更を行った場合にも発生することがあります エラー条件は通常 次のカテゴリのいずれかに該当します McAfee Web Gateway Cloud Service Product Guide 41

42 2 ポリシー管理エラー条件 データエラー ネットワーク接続エラー 保存エラー データエラー データエラーは データを使用できなくなったり データが見つからなくなったりした場合に発生します データエラーの主な原因は次のとおりです 要求されたデータが削除されたか 見つからない データ要求の処理中にサーバー側でエラーが発生した データエラーが発生すると データが使用できないことを示すエラーメッセージが表示されます このメッセージには データの再読み込みを試行する [ 再読み込み ] ボタンが含まれます データが引き続き使用できない場合 再試行が失敗したことを示す別のメッセージが表示されます 要求されたデータがすでに削除されている場合 エラーメッセージは削除されたデータに関する情報を表示します ネットワーク接続エラー 多くの Web サーバーでは 一般的な通信エラーは 使用中のシステム Web サーバー およびサービスをホストするデータベースとの間で発生します ネットワーク通信エラーは 多くの場合 短期間で解消され 通信が復元されるとサービスは自動的に再接続します 接続は手動で再試行することもできます 保存エラー [ 保存 ] をクリックしても ルールが保存されないことがあります 保存が失敗する理由には次のものが含まれます サーバーがビジーまたは過負荷になっているときに 一般的なエラーが生じる場合 保存する前にルールを削除した場合 保存中のルールのオブジェクトがない場合 42 McAfee Web Gateway Cloud Service Product Guide

43 3 3 認証 目次認証とポリシーに関する決定事項認証プロセスの流れ IP 範囲による認証 SAML 認証 IPsec サイト間認証 認証とポリシーに関する決定事項 ユーザーからの Web リクエストが認証された後 McAfee WGCS によってそれらのリクエストに Web セキュリティポリシーが適用され それぞれの認証オプションによって返された情報に基づいてポリシーが決定されます Client Proxy 認証 Client Proxy ソフトウェアが Windows または Mac OS X を実行しているエンドポイントにインストールされて McAfee WGCS と統合されている必要があります このソフトウェアは 各 HTTP リクエストまたは HTTPS リクエストにヘッダーを追加し 共有秘密鍵を使用してそれらのヘッダーを暗号化します ヘッダーには 組織の ID と ユーザーがメンバーとして所属しているグループの名前が含まれます McAfee WGCS はヘッダーを検出し 共通秘密鍵を使用して復号し グループのメンバーシップに基づいてポリシーを決定します IP 範囲による認証 McAfee WGCS は 受け取った TCP パケットのソース IP アドレスが 安全な IP アドレスとしてユーザーが設定した範囲に含まれているかどうかを確認します そのアドレスが対象範囲に含まれていれば McAfee WGCS はそのリクエストを承認します McAfee WGCS は 組織に対して設定した IP アドレス範囲に基づいてポリシーを決定します McAfee Web Gateway Cloud Service Product Guide 43

44 3 認証認証プロセスの流れ SAML 認証 SAML 認証を設定すると 組織でのユーザー認証に ID プロバイダーを使用できます ID プロバイダーは オンプレミスの Active Directory サービス Facebook Google など任意の認証方式に使用できます ID プロバイダーは認証結果と ID 情報を SAML アサーションが含まれる cookie 内の McAfee WGCS に渡します ID 情報は 名前と値のペアで構成されています McAfee WGCS は SAML アサーションのグループ ID 属性値に基づいてポリシーを決定します IPsec サイト間認証 IPsec サイト間は 認証方式ではなく転送プロトコルです このオプションは ネットワークと McAfee WGCS 間の通信を IPsec VPN トンネルを使用してセキュリティを確保します McAfee WGCS は ユーザーではなく IPsec VPN トンネルと顧客側を認証します McAfee WGCS は 事前共有キーと 受信する IPsec 通信のソース IP アドレスに関連付けられている顧客 ID に基づいてポリシーを決定します IPsec サイト間に Client Proxy や SAML 認証を追加すると McAfee WGCS は それらの方式に基づいて VPN トンネルから受け取ったリクエストを認証します 認証プロセスの流れ McAfee WGCS が Web リクエストを処理して認証を行う方法は サーバーの諸要素 ( リクエストをどの番号のポートで受け取ったか IPsec サイト間認証が設定されているかどうかなど ) によって異なります Client Proxy 認証 McAfee WGCS は さまざまな認証方式がある中でまず Client Proxy 認証を実行しようとします この動作は IPsec サイト間認証が設定されているかどうかに左右されません Client Proxy のユーザー認証と IPsec サイト間認証のセキュリティを組み合わせて使用できます IPsec サイト間認証に Client Proxy 認証を追加する場合は Client Proxy の設定で McAfee WGCS にトラフィックをリダイレクトする時にポート 80 を使用するようにしてください SAML 認証 ポート 8084 は SAML 認証用に予約されています SAML 認証と IPsec サイト間認証を設定する場合は それぞれの IPsec ロケーションに SAML 設定を追加できます IPsec サイト間が設定されていない場合の認証プロセス IPsec サイト間が設定されていない場合 McAfee WGCS は Web リクエストを そのリクエストを受け取ったポートの番号に基づいて処理を行います ポート McAfee WGCS は 次の順序でこれらのポートで受け取った Web リクエストを処理します : 1 Client Proxy McAfee WGCS はまず Web リクエストに Client Proxy ヘッダーが含まれているかどうかを確認します 含まれている場合 McAfee WGCS はヘッダー内の情報を使用して認証を実行します 2 IP 範囲 Web リクエストに Client Proxy ヘッダーが含まれていない場合 McAfee WGCS は 安全な IP アドレスとしてユーザーが設定した範囲にソース IP アドレスが含まれているかどうか確認します ソース IP アドレスが対象範囲に含まれていれば McAfee WGCS はそのリクエストを認証します 3 McAfee WGCS が Client Proxy 認証または IP 範囲による認証を実行しない場合には サービスは Web リクエ ストをブロックします 44 McAfee Web Gateway Cloud Service Product Guide

45 認証 IP 範囲による認証 3 ポート 8084 McAfee WGCS は SAML 認証を使用して ポート 8084 で受け取るすべての Web リクエストを処理します IPsec サイト間の設定を使用した認証プロセス IPsec サイト間が設定されている場合 McAfee WGCS は IPsec VPN トンネルから受け取った Web リクエストを次の順序で処理します 1 Client Proxy McAfee WGCS はまず Web リクエストに Client Proxy ヘッダーが含まれているかどうかを確認します 含まれている場合 McAfee WGCS はヘッダー内の情報を使用して認証を実行します 2 SAML Web リクエストに Client Proxy ヘッダーが含まれていない場合 McAfee WGCS は SAML 設定が IPsec 設定に関連付けられているかどうかを確認します 関連付けられている場合 McAfee WGCS は SAML 認証を使用してリクエストを処理します 3 McAfee WGCS が Client Proxy 認証または SAML 認証を実行しない場合 サービスは対象ユーザーを認証します が ユーザーはリクエストを行えません IP 範囲による認証 CIDR (Classless Inter-Domain Routing) 表記を使用して 安全な IP アドレスの範囲を設定できます これで McAfee WGCS は このアドレス範囲から Web リクエストを送信するユーザーを認証します IP 範囲による認証インターフェースでは次のことができます IP 範囲による認証の有効化 / 無効化 IP アドレスの範囲の設定 IP アドレス範囲のリストのインポート IP アドレス範囲のリストのエクスポート CIDR 表記を使用した IP 範囲による認証の設定 CIDR 表記は以下を指定します ネットワークへのルーティングプレフィックス 指定したネットワーク上の IP アドレスまたは範囲 CIDR 構文は IPv4 または IPv6 アドレスとこれに続くスラッシュ (/) および 10 進数で構成されます 10 進数は ルーティングプレフィックスのビット数で ネットワークサイズのビット数と呼ばれます IPv4 ネットワークでは 24 ビットから 32 ビットまでのサイズが許可されています 24 ビットの IPv4 ネットワークは 256 のアドレスで構成されます IPv6 ネットワークでは 120 ビットから 128 ビットまでのサイズが許可されています 120 ビットの IPv6 ネットワークは 256 のアドレスで構成されます プロトコルネットワークサイズ ( ビット数 ) CIDR 表記 ( 例 ) 指定された IP アドレスの範囲 IPv / から IPv :db8:1234:0:0:0:0:ff00/ :db8:1234:0:0:0:0:ff00 から 2001:db8:1234:0:0:0:0:ff00 McAfee Web Gateway Cloud Service Product Guide 45

46 3 認証 IP 範囲による認証 IP 範囲による認証を有効にする IP 範囲による認証を必要に応じて有効 / 無効にすることによってオン / オフを切り替えることができます 1 McAfee epo Cloud メニューから [Web 保護 ] [ 認証の設定 ] を選択します 2 [ 認証の設定 ] ドロップダウンリストから [IP 範囲 ] を選択して [ 詳細 ] ペインを開きます 3 IP 範囲による認証を有効にするには [IP 範囲による認証 ] を選択します 4 [ 保存 ] をクリックします IP アドレス範囲の設定 [IP 範囲 ] の認証を設定する場合は IP アドレス範囲を [IP アドレス範囲 ] リストに追加できます 1 McAfee epo Cloud メニューから [Web 保護 ] [ 認証の設定 ] を選択します 2 [ 認証の設定 ] ドロップダウンリストから [IP 範囲 ] を選択して [ 詳細 ] ペインを開きます 3 [IP アドレス範囲 ] メニューから [IP 範囲の設定 ] を選択します 4 CIDR 形式を使用して IPv4 または IPv6 アドレス範囲を入力して [ 追加 ] をクリックします エントリが [IP アドレス範囲 ] リストに追加されます 5 必要に応じて IP アドレスまたは範囲をさらに追加して [ 保存 ] をクリックします IP アドレス範囲のリストのインポート [IP アドレス範囲 ] のリストを.csv ファイルからインポートするリストに置き換えることができます 開始する前に.csv ファイルから IP アドレス範囲をインポートする前に 次の注意事項を確認してください ファイルでは 1 行につき 1 つの IP アドレス範囲が含まれていること ファイルの最初の行には ヘッダーを含めることができます 見出しが含まれている場合は ファイルをインポートする際に [ このファイルには見出し行が含まれています ] を選択します 1 McAfee epo Cloud メニューから [Web 保護 ] [ 認証の設定 ] を選択します 2 [ 認証の設定 ] ドロップダウンリストから [IP 範囲 ] を選択して [ 詳細 ] ペインを開きます 3 [IP アドレス範囲 ] メニューから [IP 範囲リストのインポート ] を選択します 4 インポートする IP アドレスと範囲のリストの.csv ファイルを参照して [ インポート ] をクリックします 5 インポートを確認するには [ 置換 ] をクリックします [IP アドレス範囲 ] リストの値が.csv ファイルの値で置き換えられます 6 [ 保存 ] をクリックします 46 McAfee Web Gateway Cloud Service Product Guide

47 認証 SAML 認証 3 IP アドレス範囲のリストのエクスポート [IP アドレス範囲 ] リストを.csv ファイルに保存して バックアップ 編集 またはインポートに後で使用できます 1 McAfee epo Cloud メニューから [Web 保護 ] [ 認証の設定 ] を選択します 2 [ 認証の設定 ] ドロップダウンリストから [IP 範囲 ] を選択して [ 詳細 ] ペインを開きます 3 [IP アドレス範囲 ] メニューから [IP 範囲リストのエクスポート ] を選択します 4 [ ファイルを保存 ] を選択して [OK] をクリックします 5 ファイル名を指定して [ 保存 ] をクリックします SAML 認証 SAML 2.0 認証を使用すると McAfee WGCS では ユーザーの認証に独自の ID サービスを使用する組織をサポートできます SAML の使用によって次の役割を定義します ID プロバイダー ユーザーを認証して ユーザーの ID を確認する SAML アサーションを提供します ID プロバイダーは 組織が指定する任意の ID プロバイダーです サービスプロバイダー ID サービスプロバイダーから受信した ID 情報に基づいて ユーザーがリクエストしたサービスを提供するかどうかを決定します ユーザーは Web リソースへのアクセスをリクエストします サービスプロバイダーとして McAfee WGCS は ユーザーのリクエストを ID 情報と一緒にクラウドに転送するか リクエストをブロックします ID プロバイダーとサービスプロバイダーは リクエスト - 応答プロトコルを使用して通信します SAML リクエスト サービスプロバイダーが 認証リクエストを ID プロバイダーに送信します SAML 応答 ID プロバイダーが 1 つ以上の SAML アサーションが含まれる応答をサービスプロバイダーに送信します SAML 認証の利点 SAML 認証は任意の ID プロバイダーと認証方式をサポートし SAML で情報交換する際にパスワードは不要です 認証のリクエスト 応答 および結果が SAML 2.0 プロトコルで交換される限り あらゆる ID プロバイダーと認証方法をサポートします SAML で情報交換する際に パスワードは不要です McAfee WGCS では ユーザーのパスワードは不要です 代わりに ID プロバイダー同士がすべての認証と ID 情報を SAML アサーションの形式で共有します SAML 認証 高度な手順 組織の Web ポリシーをユーザーの Web リクエストに適用する前に McAfee WGCS には SAML 認証プロセスで提供されるユーザー ID とグループ情報が必要です SAML 認証プロセスは 以下のハイレベルの手順で構成されます 1 ユーザーは Web リソースへのアクセスをリクエストします このリクエストには リソースの URL が含まれ ますが ユーザーまたはユーザーの組織に関する識別情報は含まれません 2 McAfee WGCS は リクエストを受信し ブロックページを返して ユーザーに電子メールアドレスの入力を求 めます McAfee Web Gateway Cloud Service Product Guide 47

48 3 認証 SAML 認証 3 ユーザーが電子メールアドレスを入力します 4 McAfee WGCS は ユーザーの電子メールアドレスの一部であるドメイン名を 設定されたドメインのリストで検索します ドメイン名が存在する場合 クラウドサービスは ユーザーのブラウザーを介して cookie 内の SAML リクエストを 対象ドメイン用に構成されている ID プロバイダーにリダイレクトで SAML 認証を開始します SAML 要求には次の値が含まれます エンティティ ID McAfee WGCS を SAML 要求の発行者として識別します この値は 組織によって割り当てられます サービスプロバイダー URL McAfee WGCS が SAML 通信に使用する URL を指定します この URL は次の定数値 : です 5 SAML リクエストを検証するために ID プロバイダーは エンティティ ID とサービスプロバイダー URL を検索します 構成すると ID プロバイダーがユーザーを認証し ユーザーのブラウザーを介して SAML 応答を cookie で McAfee WGCS にリダイレクトします 応答には ユーザーの ID を証明し ユーザーとユーザーのグループの情報を提供する SAML アサーションが含まれます SAML 応答には次の値が含まれます エンティティ ID ID プロバイダーを SAML 応答の発行者として識別します この値は 組織によって割り当てられます ID プロバイダー URL ID プロバイダーサービスの URL を指定します この値は 組織によって提供されます 6 SAML 応答を検証するために McAfee WGCS は エンティティ ID と ID プロバイダー URL を検索します それらが設定されていて ユーザーが認証された場合は McAfee WGCS は 組織の Web ポリシーをユーザーリクエストに適用して リクエストされた Web リソースへのアクセスを許可またはブロックします 48 McAfee Web Gateway Cloud Service Product Guide

49 認証 SAML 認証 3 SAML 構成の概要 SAML 認証を使用するには 組織内の管理対象エンドポイントおよび McAfee epo Cloud で ID プロバイダーを構成する必要があります ID プロバイダーにおける構成 McAfee WGCS との SAML 通信の場合 次の URL を使用するように ID プロバイダーを構成します クラウドサービスは ID プロバイダーが送信する SAML アサーションを使用するため この設定は Assertion Consumer Service (ACS) URL とも呼ばれます 一部の SAML 設定は McAfee epo Cloud と ID プロバイダーで構成します SAML 認証が成功するためには これらの設定が正確に一致しなければなりません 管理対象エンドポイントにおける構成 McAfee WGCS を使用する SAML 認証の場合 Web リクエストをポート 8084 に送信させるために 管理対象エンドポイント上のブラウザーを次のように設定します c<customer_id>.saasprotection.com:8084 McAfee Web Gateway Cloud Service Product Guide 49