Palo Alto Networks Getting Started Guide

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "Palo Alto Networks Getting Started Guide"

Transcription

1 Palo Alto Networks スタート ガイド PAN-OS 5.0

2 連 絡 先 本 社 : Palo Alto Networks 3300 Olcott Street Santa Clara, CA このガイドについて この スタート ガイド では Palo Alto Networks ファイアウォールの 初 期 設 定 と 基 本 的 なセットアップ 方 法 について 説 明 します またこのガイドでは ハードウェアベース ファイアウォールのラックマウントを 完 了 した 後 また は 仮 想 ファイアウォールを 作 成 した 後 の 使 用 方 法 についても 説 明 します こ のガイドの 対 象 読 者 は セキュリティ ゲートウェイとしてファイアウォール をすばやくセットアップするための 基 本 フレームワークを 必 要 とする 管 理 者 です さらに 詳 細 な 情 報 については 次 の 資 料 を 参 照 してください Palo Alto Networks 管 理 者 ガイド 追 加 の 機 能 およびファイアウォール の 機 能 の 設 定 方 法 の 詳 細 ナレッジ ベース ドキュメント セット 一 式 ディスカッション フォーラム および 動 画 サポート 窓 口 サポート プログラ ムの 詳 細 アカウントまたはデバイスの 管 理 このガイドでは デバイスの Web インターフェイスを 使 用 してファイア ウォールを 設 定 するときの 手 順 を 説 明 します Panorama を 使 用 したファイア ウォールの 導 入 手 順 については 説 明 していません Panorama を 使 用 する 場 合 の 手 順 の 詳 細 については 管 理 者 ガイドを 参 照 してください Palo Alto Networks, Inc Palo Alto Networks.All rights reserved. Palo Alto Networks PAN-OS および Panorama は Palo Alto Networks, Inc. の 商 標 です その 他 の 商 標 の 所 有 権 は それぞれの 所 有 者 に 帰 属 します P/N Rev. B ii

3 目 次 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールへの 管 理 アクセスのセットアップ 管 理 戦 略 の 決 定 初 期 設 定 の 実 行 外 部 サービスへのネットワーク アクセスのセットアップ ファイアウォール サービスのアクティベーション Palo Alto Networks への 登 録 ライセンスのアクティベーション コンテンツ 更 新 の 管 理 ソフトウェア 更 新 のインストール ファイアウォール 管 理 者 の 追 加 管 理 ロール 管 理 認 証 管 理 アカウントの 作 成 ファイアウォールのモニター アプリケーションと 脅 威 のモニター ローカル ログ データの 表 示 外 部 サービスへのログの 転 送 SNMP を 使 用 したファイアウォールのモニター ペリメータ セキュリティの 確 立 ペリメータ セキュリティの 概 要 ファイアウォールの 導 入 ネットワーク アドレス 変 換 (NAT) について セキュリティ ポリシーについて インターフェイスおよびゾーンの 設 定 導 入 計 画 インターフェイスとゾーンの 設 定 NAT ポリシーの 設 定 内 部 クライアントの IP アドレスからパブリック IP アドレスへの 変 換 内 部 ネットワークのクライアントからパブリック サーバーへのアクセスを 有 効 にする 54 パブリックフェイシング サーバーの 双 方 向 アドレス 変 換 を 有 効 にする 基 本 的 なセキュリティ ポリシーのセットアップ セキュリティ ルールの 作 成 セキュリティ ポリシーのテスト ネットワーク 上 のトラフィックのモニタリング スタート ガイド i

4 目 次 脅 威 からのネットワークの 防 御 脅 威 防 御 の 概 要 セキュリティ ゾーン セキュリティ ポリシー 復 号 ポリシーについて 脅 威 防 御 機 能 のライセンス 脅 威 防 御 のライセンスについて ライセンスの 取 得 とインストール セキュリティ ポリシーについて 復 号 ポリシーと 復 号 プロファイル セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 復 号 ポリシーのセットアップ アウトバウンド 復 号 ポリシーのセットアップ アンチウィルス アンチスパイウェア および 脆 弱 性 防 御 のセットアップ データ フィルタリングのセットアップ ファイル ブロッキングのセットアップ WildFire のセットアップ URL フィルタリングのセットアップ ユーザー ID の 設 定 ユーザー ID の 概 要 グループ マッピングについて ユーザー マッピングについて ユーザー ID の 有 効 化 ユーザー 対 グループのマッピング IP アドレス 対 ユーザーのマッピング ユーザーおよびグループ ベースのポリシーを 有 効 にする User-ID 設 定 の 確 認 高 可 用 性 のセットアップ HA 概 要 HA モード HA リンクおよびバックアップ リンク デバイス 優 先 度 およびプリエンプション フェイルオーバーのトリガー アクティブ / パッシブ HA の 前 提 条 件 設 定 のガイドライン アクティブ / パッシブ ペアの 設 定 フェイルオーバー 条 件 の 定 義 フェイルオーバーの 確 認 ii スタート ガイド

5 1 管 理 ネットワークへのファイア ウォールの 統 合 この 章 では ファイアウォールを 管 理 ネットワークに 統 合 し セキュリティ 設 定 を 準 備 するため に 必 要 な 初 期 設 定 手 順 の 実 行 方 法 を 説 明 します この 章 は 以 下 のセクションで 構 成 されています ファイアウォールへの 管 理 アクセスのセットアップ ファイアウォール サービスのアクティベーション ファイアウォール 管 理 者 の 追 加 ファイアウォールのモニター スタート ガイド 3

6 ファイアウォールへの 管 理 アクセスのセットアップ 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールへの 管 理 アクセスのセットアップ すべての Palo Alto Networks ファイアウォールにはアウトオブバンド 管 理 ポート(MGT)が 用 意 されており それを 使 用 してファイアウォールの 管 理 機 能 を 実 行 できます MGT ポートを 使 用 することによってファイアウォールの 管 理 機 能 がデータ 処 理 機 能 から 分 離 されるため ファイア ウォールへのアクセスが 安 全 に 守 られ パフォーマンスが 向 上 します Web インターフェイスを 使 用 するときには デバイスの 管 理 でインバンド ポートを 使 用 する 予 定 の 場 合 であっても MGT からすべての 初 期 設 定 タスクを 実 行 する 必 要 があります ライセンスの 取 得 や ファイアウォールでの 脅 威 シグネチャとアプリケーション シグネチャの 更 新 などの 一 部 の 管 理 タスクでは インターネットへのアクセスが 必 要 です MGT ポートへの 外 部 アクセスを 有 効 にしない 場 合 は 必 要 な 外 部 サービスにアクセスできるようにデータ ポート をセットアップするか 定 期 的 に 手 動 で 更 新 をアップロードするように 計 画 する 必 要 があります 以 下 のセクションでは ファイアウォールへの 管 理 アクセスのセットアップ 方 法 を 示 します 管 理 戦 略 の 決 定 初 期 設 定 の 実 行 外 部 サービスへのネットワーク アクセスのセットアップ 管 理 戦 略 の 決 定 Palo Alto Networks のファイアウォールは ローカルで 設 定 および 管 理 するか Palo Alto Networks の 中 央 管 理 システムである Panorama を 使 用 することによって 一 元 管 理 することができます ネットワークにファイアウォールが 6 つ 以 上 導 入 されている 場 合 Panorama を 使 用 すると 以 下 のメリットがあります 設 定 ポリシー ソフトウェア および 動 的 コンテンツ 更 新 の 管 理 で 煩 雑 さや 管 理 上 の 負 荷 を 軽 減 できます Panorama でデバイス グループとテンプレートを 使 用 することにより デ バイス 固 有 の 設 定 を 各 デバイスでローカルに 管 理 したり すべてのデバイスまたはデバイス グループで 共 有 ポリシーを 適 用 したりすることで 効 果 的 に 管 理 できます すべての 管 理 対 象 ファイアウォールからデータを 集 約 し ネットワーク 上 のすべてのトラ フィックを 可 視 化 します Panorama のアプリケーション コマンド センター(ACC)にはファ イアウォール 全 体 の 統 一 レポートの 一 括 管 理 画 面 が 表 示 され ネットワーク トラフィック セキュリティ インシデント および 管 理 上 の 変 更 について 一 元 的 に 分 析 と 調 査 を 行 い レ ポートを 作 成 することができます このドキュメントに 示 す 手 順 は ローカル Web インターフェイスを 使 用 してファイアウォール を 管 理 する 場 合 の 方 法 を 示 しています 中 央 管 理 で Panorama を 使 用 する 場 合 は このガイドの 初 期 設 定 の 実 行 セクションにある 指 示 に 従 って 設 定 を 完 了 した 後 に ファイアウォールから Panorama への 接 続 を 確 立 できることを 確 認 してください 詳 細 については Palo Alto Networks 管 理 者 ガイド の 第 13 章 を 参 照 してください 4 スタート ガイド

7 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールへの 管 理 アクセスのセットアップ 初 期 設 定 の 実 行 ファイアウォールのデフォルトの IP アドレスは ユーザー 名 / パスワードは admin/admin です セキュリティ 上 の 理 由 により 他 のファイアウォールの 設 定 タスクに 入 る 前 に これらの 設 定 値 を 変 更 する 必 要 があります 初 期 設 定 タスクは ファイアウォールの 管 理 で MGT インターフェイスを 使 用 しない 場 合 でもこのインターフェイスから 実 行 するか デバイス のコンソール ポートへ 直 接 シリアル ポート 接 続 を 使 用 して 実 行 する 必 要 があります ファイアウォールへのネットワーク アクセスのセットアップ ステップ 1 ステップ 2 ステップ 3 ネットワーク 管 理 者 から 必 要 な 情 報 を 入 手 します コンピュータをファイアウォールに 接 続 します プロンプトが 表 示 されたら ファイア ウォールにログインします MGT ポートの IP アドレス ネットマスク デフォルト ゲートウェイ DNS サーバーのアドレス 次 のいずれかの 方 法 でファイアウォールに 接 続 でき ます コンピュータからコンソール ポートにシリアル ケー ブルを 接 続 し ターミナル エミュレーション ソフト ウェア( N-1)を 使 用 してファイアウォールに 接 続 します 起 動 シーケンスが 完 了 するまで 2 3 分 待 ちます デバイスの 準 備 ができると プロンプト がファイアウォールの 名 前 に 変 わり たとえば PA-500 login のように 表 示 されます コンピュータからファイアウォールの MGT ポート に RJ-45 Ethernet ケーブルを 接 続 します ブラウザ で に 移 動 します この URL にアクセスするには コンピュータの IP アド レスを ネットワークでのアドレス ( など)に 変 更 しなければならない 場 合 が あります デフォルトのユーザー 名 とパスワード(admin/admin) を 使 用 してログインする 必 要 があります ファイア ウォールの 初 期 化 が 開 始 されます ステップ 4 MGT インターフェイスを 設 定 します 1. [Device] > [ セットアップ ] > [ 管 理 ] の 順 に 選 択 し て 画 面 上 にある [ 管 理 インターフェイス 設 定 ] セ クションで 編 集 アイコン をクリックします [IP アドレス ] [ ネットマスク ] および [ デフォルト ゲートウェイ ] の 値 を 入 力 します 2. [ 速 度 ] を [auto-negotiate] に 設 定 します 3. インターフェイスで 許 可 する 管 理 サービスを 選 択 します ベスト プラクティスとして Telnet と HTTP が 選 択 されていないことを 確 認 します これ は これらのサービスでは 平 文 が 使 用 され 他 の サービスほど 安 全 ではないからです 4. [OK] をクリックします スタート ガイド 5

8 ファイアウォールへの 管 理 アクセスのセットアップ 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールへのネットワーク アクセスのセットアップ( 続 き) ステップ 5 ( 任 意 ) 全 般 的 なファイアウォールの 設 定 を 行 います 1. [Device] > [ セットアップ ] > [ 管 理 ] の 順 に 選 択 し 画 面 の [ 一 般 設 定 ] セクションで 編 集 アイコン をクリックします 2. ファイアウォールの [ ホスト 名 ] を 入 力 し ネット ワークの [ ドメイン ] 名 を 入 力 します ドメイン 名 はラベルにすぎず ドメインに 参 加 するために 使 用 されることはありません 3. [ 緯 度 ] と [ 経 度 ] を 入 力 し そのファイアウォール が 世 界 地 図 上 の 正 確 な 場 所 に 配 置 されるようにし ます 4. [OK] をクリックします ステップ 6 注 意 ステップ 7 DNS 時 刻 および 日 付 の 設 定 を 行 います ファイアウォールで 少 なくとも 1 つ の DNS サーバーを 手 動 で 設 定 する 必 要 があり 設 定 しないとホスト 名 を 解 決 することができなくなります その ファイアウォールは ISP などの 別 の ソースからの DNS サーバー 設 定 を 使 用 しません admin アカウントの 安 全 なパスワード を 設 定 します 1. [Device] > [ セットアップ ] > [ サービス ] の 順 に 選 択 し 画 面 の [ サービス ] セクションで 編 集 アイコン をクリックします 2. [ プライマリ DNS サーバー ] および 必 要 に 応 じて [ セカンダリ DNS サーバー ] の IP アドレスを 入 力 します 3. インターネット 上 のタイム サーバーの 仮 想 クラス タを 使 用 するには ホスト 名 の pool.ntp.org を[ プライマリ NTP サーバー] として 入 力 する か または [ プライマリ NTP サーバー] および 必 要 じて に 応 [ セカンダリ NTP サーバー] の IP アドレスを 追 加 します 4. [OK] をクリックして 設 定 を 保 存 します 1. [Device] > [ 管 理 者 ] の 順 に 選 択 します 2. admin ロールを 選 択 します 3. 現 在 のデフォルト パスワードと 新 しいパスワード を 入 力 します 4. [OK] をクリックして 設 定 を 保 存 します ステップ 8 注 意 変 更 をコミットします 設 定 の 変 更 を 保 存 すると IP アドレス が 変 更 されるため Web インターフェ イスへの 接 続 が 遮 断 されます [Commit] をクリックします デバイスでの 変 更 の 保 存 には 最 長 で 90 秒 かかります ステップ 9 ファイアウォールをネットワークに 接 続 します 1. コンピュータからファイアウォールを 切 断 します 2. RJ-45 Ethernet ケーブルを 使 用 して MGT ポートを 管 理 ネットワークのスイッチ ポートに 接 続 しま す ファイアウォールからケーブルで 接 続 するス イッチ ポートが auto-negotiation に 設 定 されている ことを 確 認 します 6 スタート ガイド

9 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールへの 管 理 アクセスのセットアップ ファイアウォールへのネットワーク アクセスのセットアップ( 続 き) ステップ 10 ファイアウォールへの SSH 管 理 セッ ションを 開 きます PuTTY などの 端 末 エミュレーション ソフトウェアを 使 用 し 割 り 当 てた 新 しい IP アドレスを 使 用 してファ イアウォールへの SSH セッションを 開 始 します ステップ 11 次 のいずれかの 方 法 により ファイ アウォール 管 理 で 必 要 な Palo Alto Networks アップデート サーバーなど の 外 部 サービスへのネットワーク ア クセスを 確 認 します MGT インターフェイスに 外 部 ネッ トワークへのアクセスを 許 可 し ない 場 合 は 必 要 なサービス 更 新 を 取 得 するようにデータ ポート をセットアップする 必 要 があり ます 8 ページの 外 部 サービス へのネットワーク アクセスの セットアップ に 進 みます MGT インターフェイスへのアク セスを 外 部 ネットワークに 許 可 する 場 合 は 接 続 が 確 立 されて いることを 確 認 してから 12 ペー ジの ファイアウォール サービ スのアクティベーション に 進 み ます 外 部 ネットワーク アクセス 用 に MGT ポートにケーブ ルを 接 続 した 場 合 は CLI から ping ユーティリティを 使 用 してファイアウォールとの 間 で 通 信 可 能 なことを 確 認 します 次 の 例 に 示 すようにして デフォルト ゲートウェイ DNS サーバー および Palo Alto Networks アップデート サーバーに 接 続 可 能 なことを 確 認 して ください ping host updates.paloaltonetworks.com PING updates.paloaltonetworks.com ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=243 time=40.5 ms 64 bytes from : icmp_seq=1 ttl=243 time=53.6 ms 64 bytes from : icmp_seq=1 ttl=243 time=79.5 ms 注 意 接 続 を 確 認 したら Ctrl+C を 押 して ping を 停 止 します スタート ガイド 7

10 ファイアウォールへの 管 理 アクセスのセットアップ 管 理 ネットワークへのファイアウォールの 統 合 外 部 サービスへのネットワーク アクセスのセットアップ ファイアウォールは デフォルトで MGT インターフェイスを 使 用 して DNS サーバー コンテン ツ 更 新 およびライセンス 取 得 などのリモート サービスにアクセスします 管 理 ネットワーク に 外 部 ネットワークへのアクセスを 有 効 にしない 場 合 は データ ポートをセットアップしてこ れらの 必 須 外 部 サービスにアクセスできるようにする 必 要 があります このタスクを 行 うには ファイアウォールのインターフェイス ゾーン およびポ リシーに 精 通 しておく 必 要 があります これらのトピックについての 詳 細 は 第 2 章 ペリメータ セキュリティの 確 立 を 参 照 してください 外 部 サービスへのアクセス 用 データ ポートのセットアップ ステップ 1 外 部 サービスへのアクセスで 使 用 するポートを 決 定 し そのポー トをスイッチまたはルーターの ポートに 接 続 します 使 用 するインターフェイスには 静 的 IP アドレスが 必 要 です ステップ 2 Web インターフェイスにログイン します Web ブラウザから 安 全 な 接 続 (https)を 使 用 し 初 期 設 定 のときに 割 り 当 てた 新 しい IP アドレスとパスワードを 使 用 してログインします( address>) 証 明 書 の 警 告 が 表 示 されますが 問 題 ありません そのまま 続 行 して Web ページを 開 きます ステップ 3 ( 任 意 )ファイアウォールは Ethernet 1/1 ポートと Ethernet 1/2 ポート(および 対 応 するデフォル トのセキュリティ ポリシーと ゾーン)の 間 のデフォルトのバー チャル ワイヤー インターフェイ スが 事 前 設 定 されて 出 荷 されま す このバーチャル ワイヤー 設 定 を 使 用 する 予 定 がない 場 合 は 定 義 する 他 のインターフェイス の 設 定 と 干 渉 しないようにする ため その 設 定 を 手 動 で 削 除 する 必 要 があります 設 定 は 次 の 順 序 で 削 除 する 必 要 があります 1. デフォルトのセキュリティ ポリシーを 削 除 するには [Policies] > [ セキュリティ] の 順 に 選 択 してルールを 選 択 し [ 削 除 ] をクリックします 2. 次 に [Network] > [ バーチャル ワイヤー ] の 順 に 選 択 し バーチャル ワイヤーを 選 択 して [ 削 除 ] をクリッ クしてデフォルトのバーチャル ワイヤーを 削 除 します 3. デフォルトの 信 頼 できるゾーンと 信 頼 できないゾーン を 削 除 するには [Network] > [ ゾーン ] の 順 に 選 択 し 各 ゾーンを 選 択 して [ 削 除 ] をクリックします 4. 最 後 に [Network] > [ インターフェイス ] の 順 に 選 択 し てから 各 インターフェイス(Ethernet1/1 と Ethernet1/2)を 選 択 し [ 削 除 ] をクリックします 5. 変 更 を [Commit] します 8 スタート ガイド

11 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールへの 管 理 アクセスのセットアップ 外 部 サービスへのアクセス 用 データ ポートのセットアップ( 続 き) ステップ 4 インターフェイスを 設 定 します 1. [Network] > [ インターフェイス ] の 順 に 選 択 し ステッ プ 1 でケーブルを 接 続 したポートに 対 応 するインター フェイスを 選 択 します 2. [ インターフェイス タイプ ] を 選 択 します ここで 選 択 するタイプはご 使 用 のネットワーク トポロジに 応 じて 異 なりますが この 例 では [ レイヤー 3] の 場 合 の 手 順 を 示 します 3. [ 設 定 ] タブで [ セキュリティ ゾーン ] ドロップダウン を 展 開 して [ 新 規 ゾーン ] を 選 択 します 4. [ ゾーン ] ダイアログで 新 規 ゾーンの [ 名 前 ]( L3-trust など)を 定 義 して [OK] をクリックします 5. [IPv4] タブを 選 択 し [IP] セクションの [ 追 加 ] をクリッ クして インターフェイスに 割 り 当 てる IP アドレスと ネットワーク マスク( /24 など)を 入 力 します 6. [ 詳 細 ] > [ その 他 の 情 報 ] の 順 に 選 択 し [ 管 理 プロファ イル ] ドロップダウンを 展 開 して [ 新 規 管 理 プロファイ ル ] を 選 択 します 7. プロファイルの [ 名 前 ]( allow_ping など)を 入 力 し インターフェイスで 許 可 するサービスを 選 択 します 許 可 するサービスにはデバイスへの 管 理 アクセス 権 が 付 与 されるため このインターフェイスで 許 可 する 管 理 アクティビティに 対 応 するサービスのみを 選 択 して ください たとえば Web インターフェイスまたは CLI によるデバイス 設 定 タスクで MGT インターフェイス を 使 用 する 場 合 は HTTP HTTPS SSH または Telnet を 有 効 にしないことにより このインターフェイスを 介 した 無 権 限 のアクセスを 防 止 することができます 外 部 サービスへのアクセスを 許 可 する 目 的 の 場 合 は [Ping] のみをオンにして [OK] をクリックします 8. インターフェイス 設 定 を 保 存 するには [OK] をクリッ クします スタート ガイド 9

12 ファイアウォールへの 管 理 アクセスのセットアップ 管 理 ネットワークへのファイアウォールの 統 合 外 部 サービスへのアクセス 用 データ ポートのセットアップ( 続 き) ステップ 5 ファイアウォールではデフォル トで MGT インターフェイスを 使 用 して 必 要 な 外 部 サービスにア クセスするため サービス ルー トを 編 集 することにより これら の 要 求 を 送 信 するためにファイ アウォールが 使 用 するインター フェイスを 変 更 する 必 要 があり ます 1. [Device] > [ セットアップ ] > [ サービス ] > [ サービス ルートの 設 定 ] の 順 に 選 択 します 2. [Select] ラジオ ボタンをクリックします 3. サービス ルートを 変 更 するサービスに 対 応 する [ 送 信 元 アドレス ] 列 で [Use default] をクリックします 4. 設 定 したインターフェイスの IP アドレスを 選 択 します 5. 変 更 する 各 サービスについて ここでの 手 順 を 繰 り 返 します ライセンスをアクティベーションし 最 新 の コンテンツ 更 新 とソフトウェア 更 新 を 取 得 する 場 合 に は DNS Palo Alto Updates URL Updates お よび WildFire のサービス ルートを 変 更 できます 6. [OK] をクリックして 設 定 を 保 存 します 7. 変 更 を [Commit] します 10 スタート ガイド

13 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールへの 管 理 アクセスのセットアップ 外 部 サービスへのアクセス 用 データ ポートのセットアップ( 続 き) ステップ 6 外 向 きインターフェイスおよび 関 連 付 けられたゾーンを 設 定 し ファイアウォールが 内 部 ゾーンから 外 部 ゾーンにサービス 要 求 を 送 信 することを 許 可 するようにセキュリティ ルール と NAT ポリシー ルールを 作 成 します 1. [Network] > [ インターフェイス ] の 順 に 選 択 して 外 向 きのインターフェイスを 選 択 しま す [ インターフェイス タイプ ] として [ レイヤー 3] を 選 択 し [IP] アドレスを [ 追 加 ] し て([IPv4] または [IPv6] タブ) l3-untrust などの 関 連 付 けられた [ セキュリティ ゾーン ] ([ 設 定 ] タブ)を 作 成 します このインターフェイスでの 管 理 サービスを 設 定 する 必 要 は ありません 2. 内 部 ネットワークから Palo Alto Networks アップデート サーバーと 外 部 DNS サーバーへの トラフィックを 許 可 するセキュリティ ルールをセットアップするには [Policies] > [セキュ リティ ] の 順 に 選 択 して [ 追 加 ] をクリックします 初 期 設 定 の 場 合 は 次 のようにして l3-trust から l3-untrust へのすべてのトラフィックを 許 可 する 簡 単 なルールを 作 成 できます 3. 内 向 きインター フェイスでプラ イベート IP アド レスを 使 用 する 場 合 は そのアドレスをパブリックにルーティング 可 能 なアドレスに 変 換 するソース NAT ルールを 作 成 する 必 要 があります [Policies] > [NAT] の 順 に 選 択 して [ 追 加 ] をクリック します 少 なくとも ルールの 名 前 を 定 義 し([ 全 般 ] タブ) 送 信 元 と 宛 先 のゾーン(この 場 合 は l3-trust から l3-intrust)を 指 定 し([ 元 のパケット ] タブ) 送 信 元 アドレス 変 換 の 設 定 項 目 を 定 義 して([ 変 換 済 みパケット ] タブ) [OK] をクリックする 必 要 があります NAT の 詳 細 は 51 ページの NAT ポリシーの 設 定 を 参 照 してください 4. 変 更 を [Commit] します ステップ 7 データ ポートから デフォルト ゲートウェイ DNS サーバー お よび Palo Alto Networks アップ デート サーバーなどの 外 部 サー ビスに 接 続 できることを 確 認 し ます 必 要 なネットワーク 接 続 が 確 立 されていることを 確 認 してから 12 ページの ファイアウォール サービスのアクティベーション に 進 みます CLI を 起 動 し ping ユーティリティを 使 用 して 接 続 が 有 効 なことを 確 認 します デフォルトの ping は MGT インター フェイスから 送 信 されるため この 場 合 は ping 要 求 の 送 信 元 インターフェイスを 指 定 する 必 要 があります ping source host updates.paloaltonetworks.com PING updates.paloaltonetworks.com ( ) from : 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=242 time=56.7 ms 64 bytes from : icmp_seq=2 ttl=242 time=47.7 ms 64 bytes from : icmp_seq=3 ttl=242 time=47.6 ms ^C 接 続 を 確 認 したら Ctrl+C を 押 して ping を 停 止 します スタート ガイド 11

14 ファイアウォール サービスのアクティベーション 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォール サービスのアクティベーション ファイアウォールを 使 用 してネットワークを 安 全 に 保 護 するには そのネットワークを 登 録 し 購 入 したサービスのライセンスをアクティベーションする 必 要 があります また 以 下 のセク ションに 従 って 適 切 なバージョンの PAN-OS が 稼 動 しているようにする 必 要 があります Palo Alto Networks への 登 録 ライセンスのアクティベーション コンテンツ 更 新 の 管 理 ソフトウェア 更 新 のインストール Palo Alto Networks への 登 録 ファイアウォールを 使 用 してアプリケーションを 安 全 に 有 効 にできるようにするには 次 のよう にしてそのアプリケーションを 登 録 する 必 要 があります ファイアウォールの 登 録 ステップ 1 Web インターフェイスにログイン します Web ブラウザから 安 全 な 接 続 (https)を 使 用 し 初 期 設 定 のときに 割 り 当 てた 新 しい IP アドレスとパスワードを 使 用 してログインします( address>) 証 明 書 の 警 告 が 表 示 されますが 問 題 ありません そのまま 続 行 して Web ページを 開 きます ステップ 2 シリアル 番 号 を 見 つけ クリップ ボードにコピーします [Dashboard] で 画 面 の [ 一 般 的 な 情 報 ] セクションに 表 示 されている [ シリアル 番 号 ] を 確 認 します ステップ 3 ステップ 4 Palo Alto Networks サポート サイ トに 移 動 します デバイスを 登 録 します 登 録 方 法 は サポート サイトにすでにロ グイン 情 報 が 登 録 されているか どうかに 応 じて 異 なります 新 しいブラウザのタブまたはウィンドウで に 移 動 します これが 登 録 する 最 初 の Palo Alto Networks デバイスであり まだログイン 情 報 を 登 録 していない 場 合 は ページの 右 側 にある [ 登 録 ] をクリックします 登 録 するには 自 分 の 電 子 メール アドレスと ファイアウォールのシリアル 番 号 を 指 定 する 必 要 があります(クリップボードから 貼 り 付 け 可 能 ) また Palo Alto Networks サポート コミュニ ティへのアクセス 用 に ユーザー 名 とパスワードをセッ トアップするよう 求 めるプロンプトが 表 示 されます すでにサポート アカウントを 持 っている 場 合 は ログイン してから [My Devices] をクリックします 画 面 下 部 の [Register Device] セクションまでスクロールし ファイア ウォールのシリアル 番 号 (クリップボードから 貼 り 付 け 可 能 ) 市 区 町 村 および 郵 便 番 号 を 入 力 して [ デバイ スの 登 録 ] をクリックします 12 スタート ガイド

15 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォール サービスのアクティベーション ライセンスのアクティベーション ファイアウォールを 使 用 してネットワークのトラフィックを 安 全 に 保 護 することができるよう にするには まず 購 入 したサービスごとにライセンスをアクティベーションする 必 要 がありま す 次 のようなライセンスを 購 入 できます 脅 威 防 御 アンチウィルス アンチスパイウェア および 脆 弱 性 防 御 機 能 を 提 供 します 脅 威 防 御 についての 詳 細 は 82 ページの アンチウィルス アンチスパイウェア および 脆 弱 性 防 御 のセットアップ を 参 照 してください URL フィルタリング 動 的 な URL カテゴリに 基 づいてポリシー ルールを 作 成 するには サ ポートされている URL フィルタリング データベース(PAN-DB または BrightCloud)のいず れかのサブスクリプションを 購 入 してインストールする 必 要 があります URL フィルタリン グについての 詳 細 は 95 ページの URL フィルタリングのセットアップ を 参 照 してください 仮 想 システム このライセンスは PA-2000 および PA-3000 シリーズのファイアウォールで 複 数 の 仮 想 システムのサポートを 有 効 にするために 必 要 です また PA-4000 および PA-5000 シリーズのファイアウォールでのデフォルトの 基 本 数 ( 基 本 数 はプラットフォームごとに 異 なります)より 多 くの 数 の 仮 想 システムを 使 用 する 場 合 は 仮 想 システム ライセンスを 1 つ 購 入 する 必 要 があります PA-500 PA-200 および VM シリーズのファイアウォールでは 仮 想 システムがサポートされていません WildFire 基 本 WildFire サポートは 脅 威 防 御 ライセンスの 一 部 として 含 まれていますが WildFire サブスクリプション サービスでは 直 ちにセキュリティが 必 要 な 組 織 を 対 象 に 強 化 サービスを 提 供 することにより 時 間 単 位 の WildFire シグネチャ 更 新 WildFire サーバーか らのログのダウンロード および WildFire API を 使 用 したファイルのアップロードを 有 効 に することができます WildFire についての 詳 細 は 93 ページの WildFire のセットアップ を 参 照 してください GlobalProtect モビリティ ソリューションまたは 大 規 模 VPN 機 能 を 提 供 します デフォル トでは ライセンスなしで 1 つの GlobalProtect ポータルとゲートウェイを 導 入 できます た だし ホスト チェックを 使 用 したり ゲートウェイを 複 数 導 入 したりする 場 合 は ポータル ライセンス(1 回 限 りの 永 続 ライセンス)とゲートウェイ ライセンス(サブスクリプション) を 購 入 する 必 要 があります GlobalProtect についての 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 9 章 を 参 照 してください ライセンスのアクティベーション ステップ 1 購 入 したライセンスのアクティ ベーション コードを 探 します サブスクリプションを 購 入 した 場 合 は 各 サブスクリプ ションに 関 連 付 けられているアクティベーション コードの 一 覧 を 示 した 電 子 メールを Palo Alto Networks カスタマー サ ポートから 受 信 しています この 電 子 メールが 見 当 たらな い 場 合 は カスタマー サポートに 連 絡 してアクティベー ション コードを 入 手 してから 次 に 進 んでください ステップ 2 Web インターフェイスを 起 動 し [Device] > [ ライセンス ] の 順 に 選 択 します ライセンス ページに 移 動 します スタート ガイド 13

16 ファイアウォール サービスのアクティベーション 管 理 ネットワークへのファイアウォールの 統 合 ライセンスのアクティベーション( 続 き) ステップ 3 注 意 購 入 した 各 ライセンスをアク ティベーションします 管 理 ポートからのインターネッ ト アクセス 権 がファイアウォー ルに 付 与 されていない 場 合 は サ ポート サイトからライセンス ファイルを 手 動 でダウンロード し [ ライセンス キーの 手 動 アッ プロード] オプションを 使 用 して ファイアウォールにアップロー ドすることができます 1. [ 認 証 コードを 使 用 した 機 能 のアクティベーション ] を オンにします 2. プロンプトが 表 示 されたら [ 認 証 コード ] を 入 力 して [OK] をクリックします 3. ライセンスが 正 常 にアクティベーションされたことを 確 認 します たとえば WildFire ライセンスをアクティ ベーションした 後 ライセンスが 有 効 なことを 確 認 し てください コンテンツ 更 新 の 管 理 変 遷 する 脅 威 やアプリケーションより 常 に 優 位 に 立 つため すべての Palo Alto Networks ファイ アウォールで 動 的 コンテンツ 更 新 がサポートされています 購 入 したサブスクリプションに 応 じ て これらの 更 新 には URL フィルタリング データベースに 加 えて 最 新 のアプリケーション シ グネチャと 脅 威 シグネチャが 含 まれます 常 に 最 新 の 脅 威 (まだ 発 見 されていない 脅 威 を 含 む) から 保 護 されるようにするため Palo Alto Networks から 公 開 される 最 新 の 更 新 により 使 用 する ファイアウォールが 常 に 最 新 の 状 態 に 維 持 されるようにする 必 要 があります 所 有 しているサブ スクリプションに 応 じて 以 下 のコンテンツ 更 新 を 利 用 できます アンチウィルス WildFire クラウド サービスによって 発 見 されたシグネチャなどの 新 規 お よび 更 新 されたアンチウィルス シグネチャを 含 みます 更 新 データを 取 得 するには 脅 威 防 御 サブスクリプションが 必 要 です 新 しいアンチウィルス シグネチャは 毎 日 公 開 されます アプリケーション 新 規 および 更 新 されたアプリケーション シグネチャを 含 みます この 更 新 に 追 加 のサブスクリプションは 不 要 ですが 有 効 なメンテナンス / サポートの 連 絡 先 が 必 要 です 新 しいアプリケーション 更 新 は 週 単 位 で 公 開 されます アプリケーションおよび 脅 威 新 規 および 更 新 されたアプリケーション シグネチャと 脅 威 シグネチャを 含 みます この 更 新 は 脅 威 防 御 サブスクリプションを 購 入 している 場 合 (お よびアプリケーション 更 新 の 代 わりに 取 得 する 場 合 )に 入 手 できます 新 しいアプリケー ションおよび 脅 威 の 更 新 は 週 単 位 で 公 開 されます Global Protect データ ファイル GlobalProtect エージェントによって 返 されるホスト 情 報 プ ロファイル(HIP)データを 定 義 および 評 価 するためのベンダー 固 有 情 報 を 含 みます 更 新 を 受 信 するには GlobalProtect ポータルと GlobalProtect ゲートウェイ ライセンスが 必 要 です また GlobalProtect が 機 能 を 開 始 する 前 に それらの 更 新 のスケジュールを 作 成 する 必 要 が あります 14 スタート ガイド

17 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォール サービスのアクティベーション BrightCloud URL フィルタリング BrightCloud URL フィルタリング データベースにのみ 更 新 を 提 供 します 更 新 を 取 得 するには BrightCloud サブスクリプションが 必 要 です 新 しい BrightCloud URL データベース 更 新 は 毎 日 公 開 されます PAN-DB ライセンスを 持 っている 場 合 は デバイスがサーバーと 自 動 的 に 同 期 されるため スケジュールされた 更 新 は 不 要 です WildFire WildFire クラウドによって 行 われる 分 析 の 結 果 として 作 成 されるリアルタイムに 近 いマルウェア シグネチャとアンチウィルス シグネチャを 提 供 します(サブスクリプション なしの 場 合 は シグネチャが 脅 威 更 新 に 登 録 されるまでに 24 時 間 から 48 時 間 待 つ 必 要 があり ます) さらにこのサブスクリプションにより (WildFire ポータルにアクセスする 代 わりに) オンデバイス ログを 作 成 し WildFire API を 使 用 して 1 日 あたり 最 大 100 ファイルをアップ ロードすることができます 更 新 はいつでも 手 動 でダウンロードしてインストールできますが ベスト プラクティスとして 更 新 が 自 動 的 に 処 理 されるようにスケジュールするようお 勧 めします 使 用 するファイアウォールに 管 理 ポートからのインターネット アクセス 権 が 付 与 され ていない 場 合 は Palo Alto Networks サポート サイト( からコンテンツ 更 新 をダウンロードして 使 用 するファイアウォールに [アップロー ド ] することができます 最 新 データベースのダウンロード ステップ 1 Web インターフェイスを 起 動 し [Device] > [ ダイナミック 更 新 ] の 順 に 選 択 します [ ダイナミック 更 新 ] ページに 移 動 します スタート ガイド 15

18 ファイアウォール サービスのアクティベーション 管 理 ネットワークへのファイアウォールの 統 合 最 新 データベースのダウンロード( 続 き) ステップ 2 最 新 の 更 新 があるかどうか 確 認 します [ 今 すぐチェック ](ウィンドウの 左 下 に 配 置 )をクリックして 最 新 の 更 新 があるかどうか 確 認 します [ アクション ] 列 のリンクは 更 新 が 入 手 可 能 かどうかを 示 します ダウンロード 新 しい 更 新 ファイルが 入 手 可 能 なことを 示 します リンクをクリックし ファイアウォールへのファイルの 直 接 ダウンロードを 開 始 します ダウンロードが 正 常 に 完 了 すると [ アクション ] 列 のリンクが [ ダウンロード ] から [ インストール ] に 変 化 し ます 注 意 アプリケーションおよび 脅 威 データベースをインストールするまでは アンチウィル ス データベースをダウンロードできません アップグレード 新 しいバーションの BrightCloud データベースが 存 在 することを 示 しま す リンクをクリックしてデータベースのダウンロードとインストールを 開 始 します データベースのアップグレードがバックグラウンドで 開 始 され 完 了 すると [ 現 在 インス トール 済 み ] 列 にチェック マークが 表 示 されます URL フィルタリング データベースと して PAN-DB を 使 用 する 場 合 はアップグレード リンクが 表 示 されませんが これは PAN-DB データベースとサーバーの 同 期 が 自 動 的 に 保 たれるからです 提 示 アクションの 状 態 を 確 認 するには [ タスク ](ウィンドウの 右 下 に 表 示 )をクリック します ステップ 3 注 意 更 新 をインストールします インストールには 最 長 で PA-200 PA-500 または PA-2000 デバイス の 場 合 には 20 分 PA-3000 シリー ズ PA-4000 シリーズ PA-5000 シ リーズ または VM シリーズの ファイアウォールの 場 合 には 2 分 かかります [ アクション ] 列 の [ インストール ] リンクをクリックしま す インストールが 完 了 すると [ 現 在 インストール 済 み ] 列 にチェック マークが 表 示 されます 16 スタート ガイド

19 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォール サービスのアクティベーション 最 新 データベースのダウンロード( 続 き) ステップ 4 注 意 各 更 新 をスケジュールします スケジュールする 更 新 ごとにこ の 手 順 を 繰 り 返 します ベスト プラクティスとして スケ ジュールする 更 新 を 必 ず 交 互 に 指 定 してください これは ファ イアウォールでダウンロードで きる 更 新 が 一 度 に 1 つだけだから です 複 数 の 更 新 を 同 じ 期 間 にダ ウンロードするようにスケ ジュールすると 最 初 のダウン ロードだけが 成 功 します 1. [None] リンクをクリックすることにより 各 更 新 タイ プのスケジュールを 設 定 します 2. [ 繰 り 返 し ] ドロップダウンから 値 を 選 択 することによ り 更 新 の 頻 度 を 指 定 します 指 定 可 能 な 値 は コン テンツ タイプによって 異 なります(WildFire の 更 新 は [15 分 ごと ] [30 分 ごと ] または [ 毎 時 間 ] の 頻 度 で 実 行 可 能 であるのに 対 し 他 のすべてのコンテンツ タ イプの 場 合 には [ 毎 日 ] または [ 毎 週 ] の 頻 度 で 更 新 を スケジュールできます) 3. [ 日 時 ](または WildFire の 場 合 には 00 分 からの 経 過 分 数 ) および 該 当 する 場 合 は 選 択 した [ 繰 り 返 し ] 値 に 応 じて 曜 [ 日 ] を 指 定 します 4. システムで 更 新 を [ ダウンロードおよびインストール ] するか(ベスト プラクティス) または [ ダウンロード のみ ] を 実 行 するかを 指 定 します 5. まれに コンテンツ 更 新 の 中 でエラーが 見 つかること があります このため リリースされてから 一 定 の 時 間 が 経 過 するまで 新 しい 更 新 のインストールを 延 期 することが 可 能 です リリースされてからコンテンツ 更 新 を 実 行 するまでの 時 間 は [ しきい 値 ( 時 間 )] フィールドに 待 つ 時 間 の 長 さを 入 力 することによって 指 定 できます 6. [OK] をクリックしてスケジュールの 設 定 を 保 存 します 7. [Commit] をクリックして 実 行 中 の 設 定 に 対 する 設 定 値 を 保 存 します スタート ガイド 17

20 ファイアウォール サービスのアクティベーション 管 理 ネットワークへのファイアウォールの 統 合 ソフトウェア 更 新 のインストール 新 しいファイアウォールをインストールするときには 最 新 のソフトウェア 更 新 (または リセ ラーや Palo Alto Networks システム エンジニアが 推 奨 する 更 新 バージョン)にアップグレードし て 最 新 のフィックスとセキュリティの 強 化 機 能 を 活 用 するようお 勧 めします ソフトウェアを 更 新 する 前 に まず 前 のセクションで 説 明 されている 最 新 のコンテンツ 更 新 があることを 確 認 してください(ソフトウェア 更 新 のリリース ノートでは そのリリースでサポートされている 最 小 バージョンのコンテンツ 更 新 が 指 定 されています) PAN-OS の 更 新 ステップ 1 Web インターフェイスを 起 動 し [Device] > [ ソフトウェア ] の 順 に 選 択 します ソフトウェア ページに 移 動 し ます ステップ 2 ソフトウェア 更 新 があるかどう か 確 認 します [ 今 すぐチェック ] をクリックして 最 新 の 更 新 があるかどう か 確 認 します [ アクション ] 列 の 値 が [ ダウンロード ] の 場 合 は 入 手 可 能 な 更 新 があることを 示 します ステップ 3 更 新 をダウンロードします 注 意 ファイアウォールで 管 理 ポー トからインターネットにアク セスできない 場 合 は Palo Alto Networks サポート サイト( support.paloaltonetworks.com)か ら ソフトウェア 更 新 をダウンロー ドできます その 後 ファイア ウォールに 手 動 で [アップロード ] することができます 必 要 なバージョンを 見 つけて [ ダウンロード ] をクリック します ダウンロードが 完 了 すると [ アクション ] 列 の 値 が [ インストール ] になります ステップ 4 更 新 をインストールします 1. [ インストール ] をクリックします 2. ファイアウォールを 再 起 動 します 再 起 動 のプロンプトが 表 示 されたら [ はい ] をクリッ クします 再 起 動 のプロンプトが 表 示 されない 場 合 は [Device] > [ セットアップ ] > [ 操 作 ] の 順 に 選 択 し 画 面 の [ デ バイスの 操 作 ] セクションの [ デバイスの 再 起 動 ] を クリックします 18 スタート ガイド

21 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォール 管 理 者 の 追 加 ファイアウォール 管 理 者 の 追 加 デフォルトでは すべての Palo Alto Networks ファイアウォールにデフォルトの 管 理 アカウント (admin)が 事 前 設 定 されています このアカウントには ファイアウォールに 対 する 読 み 取 りと 書 き 込 みのフル アクセス 権 (スーパーユーザー アクセス 権 としても 知 られる)が 付 与 されてい ます ベスト プラクティスとして ファイアウォールの 管 理 機 能 またはレポート 機 能 に 対 する アクセス 権 を 必 要 とするユーザーごとに 別 個 の 管 理 アカウントを 作 成 するようお 勧 めします これにより 無 権 限 での 設 定 (または 変 更 )からファイアウォールを 保 護 する 能 力 を 高 め 個 々 のファイアウォール 管 理 者 のアクションをログに 記 録 することができます 以 下 のセクションでは 管 理 アカウントをセットアップするためのさまざまな 方 法 について 説 明 し 基 本 的 な 管 理 アクセス 権 のセットアップ 手 順 を 示 します 管 理 ロール 管 理 認 証 管 理 アカウントの 作 成 管 理 ロール 管 理 者 アカウントの 設 定 方 法 は 組 織 内 でのセキュリティ 要 件 統 合 可 能 な 既 存 の 認 証 サービス があるかどうか および 必 要 な 管 理 ロールの 種 類 に 応 じて 異 なります ロールにより 関 連 付 け られた 管 理 者 のシステムに 対 するアクセス 権 のタイプを 定 義 します 次 の 2 つのタイプのロール を 割 り 当 てることができます 動 的 ロール スーパーユーザー スーパーユーザー( 読 み 取 り 専 用 ) デバイスの 管 理 者 デバイスの 管 理 者 ( 読 み 取 り 専 用 ) 仮 想 システム 管 理 者 および 仮 想 システ ム 管 理 者 ( 読 み 取 り 専 用 ) にファイアウォールへのアクセスを 付 与 する 組 み 込 みロール 動 的 ロールの 場 合 は 自 動 的 に 更 新 されるため 新 機 能 が 追 加 されたときにロールの 定 義 を 更 新 することについて 心 配 する 必 要 がありません 管 理 ロール プロファイル Web インターフェイス CLI または XML API のさまざまな 機 能 領 域 へのアクセスをよりきめ 細 かく 制 御 するため 独 自 のロール 定 義 を 作 成 できます た とえば Web インターフェイスのデバイスとネットワークの 設 定 領 域 へのアクセスを 許 可 す る 管 理 ロール プロファイルを 操 作 スタッフ 用 に またセキュリティ ポリシー 定 義 ログ お よびレポートへのアクセスを 許 可 する 別 個 のプロファイルをセキュリティ 管 理 者 用 に 作 成 できます 管 理 ロール プロファイルを 使 用 する 場 合 は 製 品 に 追 加 される 新 しい 機 能 / コン ポーネントの 特 権 を 明 示 的 に 割 り 当 てるため プロファイルを 更 新 する 必 要 があることに 注 意 してください スタート ガイド 19

22 ファイアウォール 管 理 者 の 追 加 管 理 ネットワークへのファイアウォールの 統 合 管 理 認 証 管 理 ユーザーは 次 の 4 つの 方 法 で 認 証 できます ローカル 認 証 によるローカル 管 理 者 アカウント 管 理 者 アカウント 認 証 情 報 と 認 証 方 式 の 両 方 がファイアウォールに 対 してローカルです ローカル 管 理 者 アカウントは パスワードの 有 効 期 間 を 定 義 するパスワード プロファイルを 作 成 し デバイス 全 体 でのパスワード 複 雑 性 設 定 を 行 うことにより 安 全 性 を 高 めることができます SSL ベース 認 証 によるローカル 管 理 者 アカウント このオプションでは ファイアウォール で 管 理 者 アカウントを 作 成 しますが 認 証 は SSH 証 明 書 (CLI アクセスの 場 合 )またはクラ イアント 証 明 書 / 共 通 アクセス カード(Web インターフェイスの 場 合 )に 基 づいて 処 理 され ます このタイプの 管 理 アクセス 権 の 設 定 方 法 については How to Configure Certificate-based Authentication for the WebUI の 記 事 を 参 照 してください 外 部 認 証 によるローカル 管 理 者 アカウント この 管 理 者 アカウントはローカル ファイア ウォールで 管 理 されますが 認 証 機 能 の 負 荷 は 既 存 の LDAP Kerberos または RADIUS サー ビスに 割 り 振 られます このタイプのアカウントを 設 定 するには まず 外 部 認 証 サービスへ のアクセス 方 法 を 定 義 する 認 証 プロファイルを 作 成 し 次 にそのプロファイルを 参 照 する 管 理 者 ごとにアカウントを 作 成 する 必 要 があります 詳 細 については Palo Alto Networks 管 理 者 ガイド の 第 3 章 にある 認 証 プロファイルのセットアップ を 参 照 してください 外 部 管 理 者 アカウントと 認 証 アカウント 管 理 者 と 認 証 は 外 部 RADIUS サーバーによって 処 理 されます このオプションを 使 用 するには RADIUS サーバーで 管 理 ロールにマップ されるベンダー 固 有 属 性 (VSA) および 任 意 で Palo Alto Networks デバイスで 定 義 した 仮 想 システム オブジェクトを 定 義 する 必 要 があります このタイプの 管 理 アクセス 権 の 設 定 方 法 については Radius Vendor Specific Attributes (VSA) の 記 事 を 参 照 してください 20 スタート ガイド

23 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォール 管 理 者 の 追 加 管 理 アカウントの 作 成 以 下 に ローカル 認 証 でのローカル 管 理 者 アカウントの 作 成 方 法 を 示 します ローカル 管 理 者 の 作 成 ステップ 1 動 的 ロールではなく 管 理 者 ロー ル プロファイルを 使 用 する 場 合 は Web インターフェイス CLI および XML API の 異 なるセク ションに 対 して 付 与 するアクセ ス 権 があるのであれば そのロー ルに 割 り 当 てる 管 理 者 ごとに ア クセス 権 のタイプを 定 義 するプ ロファイルを 作 成 します 作 成 するロールごとに 以 下 の 手 順 を 実 行 します 1. [Device] > [ 管 理 者 ロール ] の 順 に 選 択 して [ 追 加 ] をク リックします 2. [Web UI] または [XML API] タブで アイコンをクリック して 必 要 な 設 定 に 切 り 替 えることにより インター フェイスの 機 能 領 域 ごとにアクセス レベル([ 有 効 化 ] [ 読 み 取 り 専 用 ] [ 無 効 化 ] )を 設 定 します 3. [ コマンド 行 ] タブで CLI に 許 可 するアクセスのタイプ (superreader deviceadmin または devicereader(デ バイスのロールの 場 合 ) vsysadmin または vsysreader ( 仮 想 システムのロールの 場 合 ) または [None](CLI ア クセスをすべて 無 効 化 )を 指 定 します 4. プロファイルの [ 名 前 ] を 入 力 し [OK] をクリックし て 保 存 します ステップ 2 ( 任 意 )ローカルのユーザー 定 義 パスワード プロファイルの 作 成 管 理 者 がパスワー パスワードの 要 件 を 設 定 します ドを 変 更 しなければならない 頻 度 を 定 義 します 複 数 の パスワード プロファイルを 作 成 し 必 要 に 応 じて 管 理 者 アカウントに 適 用 して 必 要 なセキュリティを 確 保 できま す パスワード プロファイルを 作 成 するには [Device] > [ パスワード プロファイル ] の 順 に 選 択 して [ 追 加 ] を クリックします パスワード 複 雑 性 の 設 定 パスワードの 複 雑 性 を 制 御 するルールを 定 義 し 推 測 や 解 読 が 困 難 で 破 られにく いパスワードを 管 理 者 が 作 成 するよう 強 制 できます 個 々のアカウントに 適 用 可 能 なパスワード プロファイル とは 異 なり これらのルールはデバイス 全 体 に 影 響 し す べてのパスワードに 適 用 されます 設 定 を 行 うには [Device] > [ セットアップ ] の 順 に 選 択 し [ パスワード 複 雑 性 設 定 ] セクションの 編 集 アイコンをクリックします ステップ 3 管 理 者 ごとにアカウントを 作 成 します 1. [Device] > [ 管 理 者 ] の 順 に 選 択 して [ 追 加 ] をクリック します 2. 管 理 者 の [ 名 前 ] と [ パスワード ] を 入 力 します 3. この 管 理 者 に 割 り 当 てる [ ロール ] を 選 択 します 事 前 定 義 の 動 的 ロールのいずれかを 選 択 するか ステップ 1 で 作 成 した 場 合 にはカスタムのロール ベースのプロ ファイルを 選 択 できます 4. ( 任 意 )[ パスワード プロファイル ] を 選 択 します 5. [OK] をクリックしてアカウントを 保 存 します ステップ 4 変 更 をコミットします 1. [Commit] をクリックします スタート ガイド 21

24 ファイアウォールのモニター 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールのモニター 初 期 導 入 時 に 考 慮 すべき 別 の 要 素 は ファイアウォールの 正 しい 動 作 および 管 理 制 御 するトラ フィックと 脅 威 のモニタリングのために 行 う ファイアウォールのモニターの 計 画 です Syslog や SNMP など 利 用 したい 中 央 管 理 サービスがあるでしょうか また ログ ファイル アーカイ ブ 監 査 またはバックアップに 関 して 特 定 の 要 件 があるでしょうか 以 下 のセクションでは ファイアウォールをモニタリングするときに 使 用 可 能 な 手 法 と 基 本 的 な セットアップ 手 順 について 説 明 します アプリケーションと 脅 威 のモニター アプリケーションと 脅 威 のモニター 外 部 サービスへのログの 転 送 SNMP を 使 用 したファイアウォールのモニター ファイアウォール(PA-4000 シリーズのファイアウォールを 除 く)は 分 析 とレポー ト 用 にフロー データを NetFlow コレクタにエクスポートするように 設 定 することも できます Palo Alto Networks 管 理 者 ガイド の 第 3 章 デバイス 管 理 にある NetFlow 設 定 の 設 定 を 参 照 してください 22 スタート ガイド

25 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールのモニター アプリケーションと 脅 威 のモニター Palo Alto Networks のすべての 次 世 代 ファイアウォールには プロトコル 暗 号 化 または 秘 匿 技 術 に 関 係 なくネットワークを 通 過 するアプリケーションを 識 別 する App-ID テクノロジーが 組 み 込 まれています 識 別 したアプリケーションは アプリケーション コマンド センター([ACC]) からモニタリングすることができます ACC はログ データベースをグラフィカルに 要 約 し ネッ トワークを 通 過 するアプリケーション アプリケーションの 使 用 者 および 潜 在 的 なセキュリ ティへの 影 響 を 強 調 表 示 します また ACC は App-ID が 実 行 する 連 続 的 なトラフィック 分 類 機 能 を 使 用 して 動 的 に 更 新 されます App-ID は アプリケーションがポートまたは 動 作 を 変 更 し た 場 合 でもそのトラフィックを 識 別 し 続 け ACC に 結 果 を 表 示 します ACC に 表 示 される 新 しい リスクの 高 い または 見 慣 れないアプリケーションについては ア プリケーションの 説 明 その 主 な 特 徴 動 作 特 性 および 使 用 者 を 1 回 のクリックで 表 示 して 素 早 く 調 べることができます さらに URL カテゴリ 脅 威 およびデータも 視 覚 的 に 表 示 され るため ネットワーク アクティビティの 全 体 像 を 把 握 できます ACC により ネットワークを 通 過 するトラフィックについての 詳 細 な 情 報 をごく 短 時 間 で 収 集 し その 情 報 が 反 映 された よ り 情 報 に 則 したセキュリティ ポリシーを 作 成 することができます スタート ガイド 23

26 ファイアウォールのモニター 管 理 ネットワークへのファイアウォールの 統 合 ローカル ログ データの 表 示 Palo Alto Networks のすべての 次 世 代 ファイアウォールでは ファイアウォールでのアクティビ ティとイベントの 監 査 証 跡 を 示 すログ ファイルを 生 成 できます アクティビティおよびイベン トのタイプ 別 に 別 々のログが 記 録 されます たとえば 脅 威 ログにはファイアウォールでセキュ リティ アラームが 生 成 される 原 因 となったすべてのトラフィックが 記 録 されるのに 対 し URL フィルタリング ログにはセキュリティ ポリシーに 添 付 された URL フィルタリング プロファイ ルと 一 致 するすべてのトラフィックが 記 録 され 設 定 ログにはファイアウォール 設 定 に 対 する 変 更 すべてが 記 録 されます 各 タイプのログ ファイルについての 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 3 章 にある ファイアウォール ログ を 参 照 してください ローカル ファイアウォールのログ データはいくつかの 方 法 で 表 示 することができます ログ ファイルの 表 示 ダッシュボードでのログ データの 表 示 レポートの 表 示 ログ ファイルの 表 示 デフォルトでは すべてのログ ファイルがファイアウォールで 生 成 されてローカルに 保 存 され ます それらのログ ファイルは 直 接 表 示 することができます([Monitor] > [ ログ ]) 24 スタート ガイド

27 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールのモニター ダッシュボードでのログ データの 表 示 ローカルのログ データは 関 連 付 けられたウィジェットを 追 加 することにより [Dashboard] か ら 直 接 モニタリングすることもできます レポートの 表 示 ファイアウォールでは ログ データも 使 用 して ログ データを 表 または 図 の 形 式 で 表 示 したレ ポートも 生 成 します([Monitor] > [ レポート ]) スタート ガイド 25

28 ファイアウォールのモニター 管 理 ネットワークへのファイアウォールの 統 合 外 部 サービスへのログの 転 送 ログ ファイルのタイプおよび 重 大 度 に 応 じて 注 意 を 必 要 とする 重 大 イベントについてアラー トが 送 信 されるようにしたり ファイアウォールに 保 存 可 能 な 期 間 より 長 くデータをアーカイブ するよう 求 めるポリシーが 存 在 したりするかも 知 れません そのような 場 合 は ログ データを 外 部 サービスに 転 送 して アーカイブ 通 知 または 分 析 することができます ログ データを 外 部 サービスに 転 送 するには 次 のタスクを 実 行 する 必 要 があります ログを 受 信 するリモート サービスにアクセスするようにファイアウォールを 設 定 します 26 ページの リモート ログの 宛 先 の 定 義 を 参 照 してください 転 送 されるように 各 ログ タイプを 設 定 します 32 ページの ログ 転 送 の 有 効 化 を 参 照 してく ださい リモート ログの 宛 先 の 定 義 Syslog サーバーや SNMP トラップ マネージャなどの 外 部 サービスに 到 達 するため ファイア ウォールでは アクセス 方 法 の 詳 細 を 認 識 し 必 要 であればそのサービスに 対 して 認 証 されるよ うにする 必 要 があります この 情 報 は ファイアウォールの [ サーバー プロファイル ] で 定 義 し ます ファイアウォールが 通 信 する 外 部 サービスごとにサーバー プロファイルを 作 成 する 必 要 があります セットアップする 必 要 があるログの 宛 先 タイプおよび 転 送 するログのタイプは 必 要 に 応 じて 異 なります いくつかの 一 般 的 なログ 転 送 シナリオには 次 の 操 作 が 含 まれます 注 意 を 必 要 とする 重 大 なシステム イベントまたは 脅 威 に 関 する 即 時 通 知 の 場 合 は SNMP ト ラップを 生 成 するか 電 子 メール アラートを 送 信 することができます 27 ページの 電 子 メー ル アラートのセットアップ または 28 ページの SNMP トラップの 宛 先 のセットアップ を 参 照 し てください データの 長 期 保 管 とアーカイブの 場 合 および 中 央 管 理 のデバイス モニタリングの 場 合 に は ログ データを Syslog サーバーに 送 信 することができます 30 ページの Syslog サーバーの 定 義 を 参 照 してください これにより Splunk! や ArcSight などのサードパーティのセキュ リティ モニタリング ツールとの 統 合 が 可 能 になります Syslog コレクタを 使 用 していない 場 合 またはリアルタイム 更 新 が 不 要 な 場 合 には 代 わりにログのエクスポートをスケジューリングして FTP(File Transfer Protocol) サーバーに CSV 形 式 で 保 存 するか Secure Copy(SCP)を 使 用 してファイアウォー ルとリモート ホスト 間 でデータを 安 全 に 転 送 することができます 詳 細 について は Palo Alto Networks 管 理 者 ガイド の 第 3 章 デバイス 管 理 にある ログ のエクスポートのスケジューリング を 参 照 してください 複 数 の Palo Alto Networks ファイアウォールからログ データを 集 約 してレポートを 作 成 する 場 合 は Panorama マネージャまたは Panorama ログ コレクタにログを 転 送 できます 32 ページ の Panorama へのログの 転 送 を 参 照 してください 26 スタート ガイド

29 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールのモニター サーバー プロファイルは 必 要 なだけ 定 義 できます たとえば 別 々のサーバー プロファイルを 使 用 して トラフィック ログを Syslog サーバーに システム ログを 別 のサーバーに 送 信 するこ とができます あるいは 複 数 のサーバー エントリを 単 一 のサーバー プロファイルに 含 め 複 数 の Syslog サーバーにログを 記 録 して 冗 長 性 を 高 めることもできます デフォルトでは すべてのログ データが MGT インターフェイスを 介 して 転 送 され ます MGT 以 外 のインターフェイスを 使 用 する 予 定 の 場 合 は 外 部 サービスへのア クセス 用 データ ポートのセットアップの 説 明 にある 手 順 のステップ 5 に 従 って ロ グの 転 送 先 となるサービスごとにサービス ルートを 設 定 する 必 要 があります 詳 細 については Palo Alto Networks 管 理 者 ガイド の 第 3 章 デバイス 管 理 にあ る サービス 設 定 の 定 義 を 参 照 してください 電 子 メール アラートのセットアップ 電 子 メール アラートのセットアップ ステップ 1 使 用 している 電 子 メール サー バーのサーバー プロファイルを 作 成 します 1. [Device] > [ サーバー プロファイル ] > [ 電 子 メール ] の 順 に 選 択 します 2. [ 追 加 ] をクリックし プロファイルの [ 名 前 ] を 入 力 します 3. ( 任 意 )[ 場 所 ] ドロップダウンから このプロファイ ルの 適 用 先 となる 仮 想 システムを 選 択 します 4. [ 追 加 ] をクリックして 新 しい 電 子 メール サーバー エン トリを 追 加 し SMTP(Simple Mail Transport Protocol)サー バーに 接 続 して 電 子 メールを 送 信 するために 必 要 な 情 報 を 入 力 します(プロファイルには 電 子 メール サー バーを 4 つまで 追 加 できます) サーバー 電 子 メール サーバーを 識 別 する 名 前 (1 ~ 31 文 字 ) このフィールドは 単 なるラベルであり 既 存 の SMTP サーバーのホスト 名 である 必 要 はありま せん 表 示 名 電 子 メールの [ 差 出 人 ] フィールドに 表 示 される 名 前 送 信 者 電 子 メール 通 知 の 送 信 元 の 電 子 メール ア ドレス 宛 先 電 子 メール 通 知 の 送 信 先 の 電 子 メール アド レス その 他 の 受 信 者 通 知 が 2 番 目 のアカウントに 送 信 されるようにする 場 合 は ここに 追 加 のアドレスを 入 力 します ゲートウェイ 電 子 メールの 送 信 に 使 用 する SMTP ゲートウェイの IP アドレスまたはホスト 名 5. [OK] をクリックしてサーバー プロファイルを 保 存 し ます スタート ガイド 27

30 ファイアウォールのモニター 管 理 ネットワークへのファイアウォールの 統 合 電 子 メール アラートのセットアップ( 続 き) ステップ 2 ( 任 意 )ファイアウォールが 送 信 する 電 子 メール メッセージの フォーマットをカスタマイズし ます [ カスタム ログ フォーマット ] タブを 選 択 します さまざ まなログ タイプでのカスタム フォーマットの 作 成 方 法 に ついては Common Event Format Configuration Guide を 参 照 してください ステップ 3 サーバー プロファイルを 保 存 し 変 更 をコミットします 1. [OK] をクリックしてプロファイルを 保 存 します 2. [Commit] をクリックして 実 行 中 の 設 定 に 対 する 変 更 を 保 存 します SNMP トラップの 宛 先 のセットアップ Simple Network Management Protocol(SNMP)は ネットワーク 上 のデバイスをモニタリングする ための 標 準 ファシリティです SNMP 管 理 ソフトウェアに SNMP トラップを 送 信 するようにファ イアウォールを 設 定 し 迅 速 な 対 応 が 求 められる 重 大 なシステム イベントや 脅 威 に 対 して 注 意 が 喚 起 されるようにすることができます また SNMP を 使 用 してファイアウォールをモニタリングすることもできます この 場 合 は ファイアウォールでトラップをマネージャに 送 信 するのではなく(または そうすることに 加 えて) ファイアウォールから 統 計 データを 取 得 するように SNMP マネージャを 設 定 する 必 要 があります 詳 細 については 34 ページの SNMP を 使 用 したファイアウォールのモニター を 参 照 してください 28 スタート ガイド

31 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールのモニター SNMP トラップの 宛 先 のセットアップ ステップ 1 SNMP マネージャに 接 続 して 認 証 されるために 必 要 な 情 報 を 含 ん だサーバー プロファイルを 作 成 します 1. [Device] > [ サーバー プロファイル ] > [SNMP トラップ ] の 順 に 選 択 します 2. [ 追 加 ] をクリックし プロファイルの [ 名 前 ] を 入 力 します 3. ( 任 意 )[ 場 所 ] ドロップダウンから このプロファイ ルの 適 用 先 となる 仮 想 システムを 選 択 します 4. 使 用 中 の SNMP のバージョン([V2c] または [V3])を 指 定 します 5. [ 追 加 ] をクリックして 新 しい [SNMP トラップ レシー バ ] エントリを 追 加 します(サーバー プロファイルあ たりトラップ レシーバを 4 つまで 追 加 できます) 必 須 の 値 は SNMP V2c と V3 のどちらを 使 用 中 なのかに よって 決 まります SNMP V2c サーバー SNMP マネージャを 識 別 する 名 前 (1 ~ 31 文 字 ) このフィールドは 単 なるラベルであり 既 存 の SNMP サーバーのホスト 名 である 必 要 はありません マネージャ トラップの 送 信 先 SNMP マネージャ の IP アドレス コミュニティ SNMP マネージャに 対 して 認 証 する ために 必 要 なコミュニティ 名 SNMP V3 サーバー SNMP マネージャを 識 別 する 名 前 (1 ~ 31 文 字 ) このフィールドは 単 なるラベルであり 既 存 の SNMP サーバーのホスト 名 である 必 要 はありません マネージャ トラップの 送 信 先 SNMP マネージャ の IP アドレス ユーザー SNMP マネージャに 対 して 認 証 するため に 必 要 なユーザー 名 エンジン ID ファイアウォールのエンジン ID これは 0x プレフィックスが 付 いた 5 ~ 64 バイトの 16 進 数 値 です 各 ファイアウォールには 一 意 のエン ジン ID があり これは MIB ブラウザを 使 用 し OID に 対 して GET コマンドを 実 行 し て 取 得 できます 認 証 パスワード SNMP マネージャに 対 する authnopriv レベルのメッセージで 使 用 されるパスワー ド このパスワードは Secure Hash Algorithm(SHA-1)を 使 用 してハッシュされますが 暗 号 化 はされません 専 用 パスワード SNMP マネージャに 対 する authpriv レベルのメッセージで 使 用 されるパスワード この パスワードは SHA を 使 用 してハッシュされ Advanced Encryption Standard(AES 128)を 使 用 して 暗 号 化 され ます 6. [OK] をクリックしてサーバー プロファイルを 保 存 し ます スタート ガイド 29

32 ファイアウォールのモニター 管 理 ネットワークへのファイアウォールの 統 合 SNMP トラップの 宛 先 のセットアップ( 続 き) ステップ 2 SNMP を 有 効 にします MGT インターフェイスから SNMP トラップを 送 信 する 場 合 は [Device] > [ セットアップ ] > [ 管 理 ] の 順 に 選 択 し 画 面 の [ 管 理 インターフェイス 設 定 ] セクションで 編 集 アイコンをクリックします [ サービス ] セクションで [SNMP] チェック ボックスをオンにして [OK] をクリック します 別 のインターフェイスから SNMP トラップを 送 信 する 場 合 は 管 理 プロファイルとそのインターフェイスを 関 連 付 け SNMP 管 理 を 有 効 にする 必 要 があります また サービス ルートをセットアップして ファイアウォール が SNMP マネージャに 到 達 できるようにする 必 要 もあり ます 方 法 については 8 ページの 外 部 サービスへの ネットワーク アクセスのセットアップ を 参 照 してくだ さい ステップ 3 変 更 をコミットします [Commit] をクリックします デバイスでの 変 更 の 保 存 に は 最 長 で 90 秒 かかります ステップ 4 ファイアウォールから 受 信 する トラップを SNMP マネージャが 解 釈 できるようにします PAN-OS MIB ファイルを SNMP 管 理 ソフトウェアにロード してコンパイルします この 処 理 の 具 体 的 な 方 法 について は ご 使 用 の SNMP マネージャのドキュメントを 参 照 して ください Syslog サーバーの 定 義 Syslog は 標 準 のログ 転 送 メカニズムで ルーター ファイアウォール プリンターなどのさまざ まなベンダーのさまざまなネットワーク デバイスからアーカイブと 分 析 そしてレポート 作 成 の ために ログ データを 集 約 できるようにします PAN-OS が Syslog サーバーにエクスポート 可 能 なログ タイプは トラフィック 脅 威 HIP マッチ 設 定 およびシステムの 5 つです 各 ログ タイプのフィールドについての 詳 細 は PAN-OS Syslog Integration Tech Note を 参 照 してください ログ メッセージとその 重 大 度 レベルの 部 分 的 なリストに ついては System Log Reference を 参 照 してください Syslog メッセージは 平 文 で 送 信 され 直 接 に 暗 号 化 することはできません ただし 暗 号 化 が 必 要 な 場 合 は トンネル インターフェイスを 介 して Syslog メッセージを 送 信 して Syslog パケットを 強 制 的 に 暗 号 化 することができます また Syslog への 新 しいサービス ルートを 作 成 することも 必 要 です 詳 細 については Palo Alto Networks 管 理 者 ガイド を 参 照 してください 30 スタート ガイド

33 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールのモニター SYSLOG 転 送 のセットアップ ステップ 1 Syslog サーバーに 接 続 するために 必 要 な 情 報 を 含 んだサーバー プ ロファイルを 作 成 します 1. [Device] > [ サーバー プロファイル ] > [Syslog] の 順 に 選 択 します 2. [ 追 加 ] をクリックし プロファイルの [ 名 前 ] を 入 力 します 3. ( 任 意 )[ 場 所 ] ドロップダウンから このプロファイ ルの 適 用 先 となる 仮 想 システムを 選 択 します 4. [ 追 加 ] をクリックして 新 しい Syslog サーバー エントリ を 追 加 し Syslog サーバーに 接 続 するために 必 要 な 情 報 を 入 力 します( 同 じプロファイルに Syslog サーバーを 4 つまで 追 加 できます) 名 前 サーバー プロファイルの 一 意 の 名 前 サーバー Syslog サーバーの IP アドレスまたは 完 全 修 飾 ドメイン 名 (FQDN) ポート Syslog メッセージを 送 信 するときに 経 由 す るポート 番 号 (デフォルトは 514) ファイアウォー ルと Syslog サーバーで 同 じポート 番 号 を 使 用 する 必 要 があります ファシリティ Syslog の 標 準 値 のいずれかを 選 択 し ます 実 装 されている Syslog サーバーの 優 先 度 (PRI) フィールドの 計 算 で 使 用 されます PRI フィールドを 使 用 して Syslog メッセージを 管 理 する 方 法 に 対 応 す る 値 を 選 択 してください 5. ( 任 意 )ファイアウォールが 送 信 する Syslog メッセージ のフォーマットをカスタマイズするには [ カスタム ロ グ フォーマット ] タブを 選 択 します さまざまなログ タイプでのカスタム フォーマットの 作 成 方 法 について は Common Event Format Configuration Guide を 参 照 してください 6. [OK] をクリックしてサーバー プロファイルを 保 存 し ます ステップ 2 ( 任 意 ) 送 信 する Syslog メッセー ジのヘッダーにファイアウォー ルの IP アドレスが 組 み 込 まれる ようにファイアウォールを 設 定 します [Device] > [ セットアップ ] の 順 に 選 択 し [ ロギングおよ びレポート 設 定 ] セクションの 編 集 アイコンをクリック します [Syslog メッセージ 内 にホスト 名 を 含 める ] チェッ ク ボックスをオンにして [OK] をクリックします ステップ 3 変 更 をコミットします [Commit] をクリックします デバイスでの 変 更 の 保 存 に は 最 長 で 90 秒 かかります スタート ガイド 31

34 ファイアウォールのモニター 管 理 ネットワークへのファイアウォールの 統 合 Panorama へのログの 転 送 Panorama マネージャまたは Panorama ログ コレクタにログ ファイルを 転 送 できるようにするに は まず ファイアウォールを 管 理 対 象 デバイスとして 設 定 する 必 要 があります Panorama の セットアップとデバイスの 追 加 についての 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 13 章 Panorama を 使 用 したデバイス 中 央 管 理 を 参 照 してください その 後 32 ページの ログ 転 送 の 有 効 化 の 説 明 に 従 って ログのタイプごとに Panorama へのログ 転 送 を 有 効 にすることができ ます ログ 転 送 の 有 効 化 ログの 送 信 先 を 定 義 したサーバー プロファイルを 作 成 したら ログ 転 送 を 有 効 にする 必 要 があり ます ログ タイプごとに Syslog 電 子 メール SNMP トラップ レシーバ または Panorama のど れに 転 送 するかを 指 定 できます 転 送 を 有 効 にする 方 法 は ログ タイプによって 異 なります トラフィック ログ トラフィック ログの 転 送 を 有 効 にするには ログ 転 送 プロファイルを 作 成 し([Objects] > [ ログ 転 送 ]) ログ 転 送 をトリガーするセキュリティ ポリシーにそのプロ ファイルを 追 加 します セキュリティ ポリシー 内 の 特 定 のルールに 一 致 するトラフィックの みがログに 記 録 され 転 送 されます 脅 威 ログ 脅 威 ログの 転 送 を 有 効 にするには 転 送 する 重 大 度 レベルを 指 定 したログ 転 送 プ ロファイルを 作 成 し([Objects] > [ ログ 転 送 ]) ログ 転 送 をトリガーするセキュリティ ポリシー にそのプロファイルを 追 加 します 脅 威 ログのエントリは 関 連 付 けられたトラフィックが セキュリティ プロファイル(アンチウィルス アンチスパイウェア 脆 弱 性 防 御 URL フィ ルタリング ファイル ブロッキング データ フィルタリング または DoS プロテクション) と 一 致 する 場 合 にのみ 作 成 (したがって 転 送 )されます 次 の 表 に 脅 威 の 重 大 度 レベルを 要 約 して 示 します 重 大 度 説 明 Critical High Medium 広 範 囲 に 導 入 されたソフトウェアのデフォルト インストールに 影 響 するような 深 刻 な 脅 威 サーバーの root が 悪 用 され 弱 点 のあるコードが 広 範 囲 の 攻 撃 者 の 手 に 渡 ることになります 攻 撃 者 は 通 常 個 々の 被 害 サーバーに 関 する 特 別 な 認 証 情 報 や 知 識 を 必 要 とせず 攻 撃 対 象 サーバーを 操 作 して 何 らかの 特 別 な 機 能 を 実 行 する 必 要 がありません 重 大 度 が Critical に 変 わる 可 能 性 があるものの 軽 減 要 因 が 存 在 する 脅 威 たとえば 悪 用 するのが 困 難 であったり 上 位 の 特 権 が 与 えられることがなかったり 被 害 サーバー 数 が 多 くな かったりする 場 合 です 影 響 が 最 小 限 に 抑 えられる 小 さな 脅 威 たとえば 標 的 に 侵 入 することのない DoS 攻 撃 や 攻 撃 者 が 被 害 サーバーと 同 じ LAN 上 に 存 在 する 必 要 があり 標 準 以 外 の 設 定 や 隠 れたアプリケー ションにのみ 影 響 するか アクセスがごく 限 られている 悪 用 な どです また マルウェア 判 定 の WildFire ログ エントリは Medium としてログに 記 録 されます 32 スタート ガイド

35 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールのモニター 重 大 度 Low Informational 説 明 組 織 のインフラストラクチャへの 影 響 がわずかな 警 告 レベルの 脅 威 通 常 は ローカルまたは 物 理 システムにアクセスする 必 要 があり 多 くの 場 合 被 害 者 のプライバシー 問 題 や DoS 問 題 が 発 生 し 情 報 が 漏 洩 します データ フィルタリング プロファ イルは Low としてログに 記 録 されます 直 ちに 脅 威 とはならなくても 存 在 する 可 能 性 がある 深 層 の 問 題 に 注 意 を 引 くために 報 告 される 疑 わしいイベント URL フィ ルタリング ログ エントリと 安 全 判 定 の WildFire ログ エントリ は Informational としてログに 記 録 されます 設 定 ログ 設 定 ログの 転 送 を 有 効 にするには ログ 設 定 でサーバー プロファイルを 指 定 し ます([Device] > [ ログ 設 定 ] > [ 設 定 ログ ]) システム ログ システム ログの 転 送 を 有 効 にするには ログ 設 定 でサーバー プロファイル を 指 定 します([Device] > [ ログ 設 定 ] > [ システム ログ ]) 転 送 する 重 大 度 レベルごとにサー バー プロファイルを 選 択 する 必 要 があります システム ログ メッセージとそれに 対 応 する 重 大 度 レベルの 部 分 的 なリストについては System Log Reference を 参 照 してください 次 の 表 にシステム ログの 重 大 度 レベルを 要 約 して 示 します 重 大 度 説 明 Critical HA フェイルオーバーやリンク 障 害 などのハードウェア 障 害 High Medium 外 部 デバイス(LDAP サーバーや RADIUS サーバーなど)との 接 続 の 切 断 などの 深 刻 な 問 題 アンチウイルス パッケージのアップグレードなどの 中 レベルの 通 知 Low ユーザー パスワードの 変 更 などそれほど 重 要 ではない 通 知 Informational ログイン / ログオフ 管 理 者 名 やパスワードの 変 更 設 定 の 変 更 および 重 大 度 レベルに 含 まれない 他 のすべてのイベント スタート ガイド 33

36 ファイアウォールのモニター 管 理 ネットワークへのファイアウォールの 統 合 SNMP を 使 用 したファイアウォールのモニター すべての Palo Alto Networks ファイアウォールは 標 準 の SNMP 管 理 情 報 ベース(MIB)モジュー ルとともに 専 用 のエンタープライズ MIB モジュールをサポートしています SNMP マネージャ は ファイアウォールから 統 計 情 報 を 取 得 するように 設 定 できます たとえば 使 用 する SNMP マネージャを 設 定 して ファイアウォールのインターフェイス アクティブなセッション 同 時 セッション セッション 利 用 率 温 度 またはシステム 稼 動 時 間 をモニターできます Palo Alto Networks のファイアウォールは SNMP GET 要 求 のみをサポートしており SNMP SET 要 求 はサポートしていません SNMP モニタリングのセットアップ ステップ 1 ステップ 2 ステップ 3 ステップ 4 SNMP マネージャでファイア ウォールの 統 計 情 報 を 解 釈 でき るようにします モニター 対 象 の 統 計 情 報 を 見 つ けます 関 心 対 象 の OID をモニタリング するように SNMP 管 理 ソフトウェ アを 設 定 します ファイアウォールの Web イン ターフェイスから ファイア ウォールの SNMP エージェント が SNMP マネージャからの GET 要 求 に 応 答 することを 許 可 する ように 設 定 します PAN-OS MIB ファイルを SNMP 管 理 ソフトウェアにロード してコンパイルします この 処 理 の 具 体 的 な 方 法 について は ご 使 用 の SNMP マネージャのドキュメントを 参 照 して ください MIB ブラウザを 使 用 して PAN-OS MIB ファイルを 開 き モニ ター 対 象 の 統 計 情 報 に 対 応 するオブジェクト ID(OID)を 確 認 します たとえば ファイアウォールのセッション 利 用 率 をモニタリングするとします この 場 合 は MIB ブラウザを 使 用 して この 統 計 情 報 が PAN-COMMON-MIB の OID に 対 応 することを 確 認 できます この 処 理 の 具 体 的 な 方 法 については ご 使 用 の SNMP マ ネージャのドキュメントを 参 照 してください 1. [Device] > [ セットアップ ] > [ 操 作 ] > [SNMP のセット アップ ] の 順 に 選 択 します 2. ファイアウォールの [ 場 所 ] と 管 理 上 の [ 連 絡 先 ] の 名 前 または 電 子 メール アドレスを 指 定 します 3. SNMP マネージャにファイアウォールの SNMP エー ジェントへのアクセスを 許 可 する [SNMP コミュニティ 名 ] を 入 力 します デフォルト 値 は public ですが ファイアウォールで 設 定 した 値 が SNMP マネージャで 設 定 した 値 と 一 致 する 必 要 があります これは 一 般 的 なコミュニティ 名 であるため ベスト プラクティスと して 容 易 に 推 測 できない 値 を 使 用 するようお 勧 めし ます 4. [OK] をクリックして 設 定 を 保 存 します 5. [Commit] をクリックして SNMP 設 定 を 保 存 します 34 スタート ガイド

37 管 理 ネットワークへのファイアウォールの 統 合 ファイアウォールのモニター SNMP モニタリングのセットアップ( 続 き) ステップ 5 ファイアウォールと SNMP マネー 以 下 に SNMP マネージャに 表 示 される モニター 対 象 の ジャ 両 方 の 設 定 が 完 了 したら PA-500 シリーズ ファイアウォールのリアルタイム セッ SNMP 管 理 ソフトウェアからファ ション 利 用 率 統 計 情 報 の 例 を 示 します イアウォールのモニタリングを 開 始 できます スタート ガイド 35

38 ファイアウォールのモニター 管 理 ネットワークへのファイアウォールの 統 合 36 スタート ガイド

39 2 ペリメータ セキュリティの 確 立 この 章 では ファイアウォール インターフェイスの 設 定 ゾーンの 定 義 および 基 本 的 なセキュ リティ ポリシーのセットアップ 手 順 について 説 明 します この 章 は 以 下 のセクションで 構 成 されています ペリメータ セキュリティの 概 要 インターフェイスおよびゾーンの 設 定 NAT ポリシーの 設 定 基 本 的 なセキュリティ ポリシーのセットアップ スタート ガイド 37

40 ペリメータ セキュリティの 概 要 ペリメータ セキュリティの 確 立 ペリメータ セキュリティの 概 要 ファイアウォールでトラフィックを 管 理 および 制 御 するには そのファイアウォールをトラ フィックが 通 過 する 必 要 があります 物 理 的 には インターフェイスを 介 してトラフィックが ファイアウォールを 出 入 りします パケットがセキュリティ ポリシーと 一 致 するかどうかに 基 づいて ファイアウォールでパケットの 処 理 方 法 を 決 定 します 最 も 基 本 的 なレベルでは セ キュリティ ポリシーによりトラフィックの 宛 先 および 送 信 先 を 識 別 します Palo Alto Networks の 次 世 代 ファイアウォールでは セキュリティ ポリシーがゾーン 間 で 適 用 されます ゾーンは ( 物 理 または 仮 想 ) インターフェイス グループの 一 種 で 信 頼 エリアを 抽 象 化 することにより ポリシーの 実 施 を 簡 略 化 します たとえば 次 のトポロジ 図 では Trust Untrust DMZ という 3 つのゾーンがあります ゾーン 内 ではトラフィックが 自 由 に 通 過 しますが ゾーン 間 の 場 合 は セキュリティ ポリシーでトラフィックの 通 過 が 許 可 されるまでは 自 由 に 通 過 できません 以 下 のセクションでは ペリメータ セキュリティのコンポーネントについて 説 明 するとともに ファイアウォール インターフェイスの 設 定 ゾーンの 定 義 および 基 本 的 なセキュリティ ポリ シーのセットアップを 行 うことにより 内 部 ゾーンからインターネットや DMZ へトラフィックを 通 過 させるための 手 順 について 説 明 します 始 めにこのような 基 本 ポリシーを 作 成 することによ り ネットワークを 通 過 するトラフィックを 分 析 して その 情 報 を 利 用 してより 詳 細 なポリシー を 定 義 し あらゆる 脅 威 を 回 避 しながらアプリケーションを 安 全 に 有 効 にすることができます ファイアウォールの 導 入 ネットワーク アドレス 変 換 (NAT) について セキュリティ ポリシーについて 38 スタート ガイド

41 ペリメータ セキュリティの 確 立 ペリメータ セキュリティの 概 要 ファイアウォールの 導 入 Palo Alto Networks の 次 世 代 ファイアウォールでは 動 的 ルーティング スイッチング および VPN 接 続 のサポートなど 柔 軟 なネットワーク アーキテクチャを 提 供 し さまざまなネットワー ク 環 境 でファイアウォールの 導 入 を 可 能 にします ファイアウォールで Ethernet ポートを 設 定 す る 場 合 バーチャル ワイヤー レイヤー 2 レイヤー 3 の 中 からインターフェイスの 導 入 方 法 を 選 択 できます さらに さまざまなネットワーク セグメントに 統 合 できるように 異 なるポー トでさまざまなインターフェイス タイプを 設 定 できます 以 下 のセクションでは 導 入 タイプ 別 の 基 本 情 報 について 説 明 します 導 入 情 報 の 詳 細 は Designing Networks with Palo Alto Networks Firewalls を 参 照 してください バーチャル ワイヤー 導 入 バーチャル ワイヤー 導 入 の 場 合 ファイアウォールは 2 つのポートを 結 合 することによって ネットワーク セグメント 上 に 透 過 的 にインストールされます バーチャル ワイヤーを 使 用 する ことにより 隣 接 するデバイスを 再 設 定 しなくても あらゆるネットワーク 環 境 でファイア ウォールをインストールできます バーチャル ワイヤーでは 必 要 に 応 じて 仮 想 LAN (VLAN) タグ 値 に 基 づいてトラフィックをブロックまたは 許 可 することができます また 複 数 のサブイン ターフェイスを 作 成 し IP アドレス ( アドレス 単 体 範 囲 またはサブネット ) VLAN または その 両 方 の 組 み 合 わせに 基 づいてトラフィックを 分 類 することもできます デフォルトでは default-vwire というバーチャル ワイヤーが Ethernet ポート 1 と 2 にバインド され タグのないトラフィックをすべて 許 可 します シンプルな 導 入 や 設 定 周 辺 ネットワーク デバイスの 設 定 変 更 を 避 けたい 場 合 はこの 導 入 方 法 を 選 択 してください バーチャル ワイヤーはデフォルトの 設 定 であり スイッチングまたはルーティングのいずれも 不 要 な 場 合 にのみ 使 用 する 必 要 があります デフォルトのバーチャル ワイヤーを 使 用 する 予 定 がない 場 合 は 定 義 する 他 のインターフェイス 設 定 と 干 渉 しないようにするため その 設 定 を 手 動 で 削 除 してからインターフェイスの 設 定 を 続 行 する 必 要 があります デフォルトのバーチャル ワイヤーとその 関 連 セキュリティ ポリシーおよびゾーンを 削 除 する 方 法 の 詳 細 は 外 部 サービス へのアクセス 用 データ ポートのセットアップのステップ 3 を 参 照 してください レイヤー 2 導 入 レイヤー 2 導 入 の 場 合 ファイアウォールは 複 数 インターフェイス 間 のスイッチングを 行 いま す ファイアウォールでこのスイッチングを 行 うには インターフェイスの 各 グループが 1 つの VLAN オブジェクトに 割 り 当 てられている 必 要 があります レイヤー 2 サブインターフェイスが 共 通 の VLAN オブジェクトに 接 続 されていると ファイアウォールで VLAN タグのスイッチン グが 行 われます このオプションは スイッチングが 必 要 な 場 合 に 選 択 します レイヤー 2 導 入 の 詳 細 は Layer 2 Networking Tech Note または Securing Inter VLAN Traffic Tech Note を 参 照 してください スタート ガイド 39

42 ペリメータ セキュリティの 概 要 ペリメータ セキュリティの 確 立 レイヤー 3 導 入 レイヤー 3 導 入 の 場 合 ファイアウォールはポート 間 でトラフィックをルーティングします トラ フィックをルーティングするには 各 インターフェイスに IP アドレスを 割 り 当 て 仮 想 ルーター を 定 義 する 必 要 があります このオプションは ルーティングが 必 要 な 場 合 に 選 択 します 設 定 するレイヤー 3 の 物 理 インターフェイスごとに IP アドレスを 割 り 当 てる 必 要 があります また レイヤー 3 の 物 理 インターフェイスごとに 論 理 サブインターフェイスを 作 成 することによ り たとえばマルチテナンシーなどの 場 合 は VLAN タグ (VLAN トランクを 使 用 している 場 合 ) に 基 づいて または IP アドレス 単 位 で インターフェイス 上 のトラフィックを 分 離 することも 可 能 です さらに レイヤー 3 導 入 ではファイアウォールでのトラフィックをルーティングする 必 要 がある ため 仮 想 ルーターを 設 定 する 必 要 があります スタティック ルートを 追 加 するのと 同 じよう に 動 的 ルーティング プロトコル (BGP OSPF RIP など ) に 参 加 するように 仮 想 ルーターを 設 定 できます また 複 数 の 仮 想 ルーターを 作 成 し 各 ルーターが 他 のルーターと 共 有 しない 独 立 したルートを 保 持 することにより インターフェイス 間 で 異 なるルーティングの 動 作 を 設 定 でき ます この 章 の 設 定 例 は スタティック ルートを 使 用 してファイアウォールをレイヤー 3 ネットワー クに 組 み 込 む 方 法 を 表 しています その 他 のタイプのルーティングによる 統 合 の 詳 細 は 以 下 の ドキュメントを 参 照 してください How to Configure OSPF Tech Note How to Configure BGP Tech Note ネットワーク アドレス 変 換 (NAT) について 内 部 ネットワークでプライベート IP アドレスを 使 用 する 場 合 プライベート アドレスを 外 部 ネットワークにルーティングできるパブリック アドレスに 変 換 するために ネットワーク アド レス 変 換 (NAT) を 使 用 する 必 要 があります PAN-OS では 変 換 が 必 要 なパケットおよび 変 換 方 法 についてファイアウォールに 指 示 する NAT ポリシー ルールを 作 成 します ファイアウォール では 送 信 元 アドレスとポートの 変 換 宛 先 アドレスとポートの 変 換 のどちらにも 対 応 します さまざまなタイプの NAT ルールの 詳 細 は Understanding and Configuring NAT Tech Note を 参 照 してく ださい 定 義 したゾーンに 応 じて 必 要 なポリシーを 決 定 するために ファイアウォールで NAT ポリシー およびセキュリティ ポリシーを 適 用 する 方 法 について 理 解 することが 重 要 です パケットの 着 信 時 に 送 信 元 ゾーンと 宛 先 ゾーンに 基 づいて そのパケットが 定 義 済 みの NAT ルールと 一 致 するかどうかをファイアウォールが 検 査 します 次 に 元 の (NAT 前 の ) 送 信 元 アドレスと 宛 先 アドレスに 基 づいて パケットと 一 致 するセキュリティ ルールを 評 価 および 適 用 します 最 後 に 出 力 時 に 送 信 元 ポートまたは 宛 先 ポートの 番 号 に 一 致 する NAT ルールに 変 換 します これ は ファイアウォールでパケットの 宛 先 ゾーンを 決 定 する 基 準 がパケットのアドレスであり 内 部 的 に 割 り 当 てられたアドレスに 基 づくデバイスの 配 置 ではないことを 意 味 するため 前 述 のよ うな 区 別 が 重 要 となります 40 スタート ガイド

43 ペリメータ セキュリティの 確 立 ペリメータ セキュリティの 概 要 セキュリティ ポリシーについて セキュリティ ポリシーにより ネットワーク 資 産 を 脅 威 や 障 害 から 保 護 し ネットワーク リソー スの 最 適 な 割 り 当 てを 補 助 することで ビジネス プロセスでの 生 産 性 や 効 率 性 を 強 化 します Palo Alto Networks のファイアウォールでは セキュリティ ポリシーにより 送 信 元 および 宛 先 のセキュリティ ゾーン 送 信 元 および 宛 先 の IP アドレス アプリケーション ユーザー サー ビスなどのトラフィック 属 性 に 基 づいて セッションをブロックするか 許 可 するかを 決 定 しま す デフォルトでは ゾーン 内 トラフィック (trust ゾーンから trust ゾーンなど 同 じゾーン 内 の トラフィック ) が 許 可 されています 異 なるゾーン 間 のトラフィック ( ゾーン 間 トラフィック ) は セキュリティ ポリシーによりそのトラフィックが 許 可 されない 限 りブロックされます セキュリティ ポリシーの 評 価 は 左 から 右 上 から 下 で 行 われます 定 義 済 みの 基 準 を 満 たす 最 初 のルールとパケットが 一 致 すると それが 引 き 金 となり それ 以 降 のルールは 評 価 されませ ん そのため ベストマッチする 基 準 を 適 用 するには 個 別 のルールを 一 般 的 なルールよりも 優 先 的 に 評 価 する 必 要 があります トラフィックがルールと 一 致 すると そのルールでログが 有 効 になっていれば セッションの 最 後 にログのエントリがトラフィック ログに 記 録 されます ロ グのオプションはルールごとに 設 定 可 能 で セッションの 最 後 ではなく 最 初 にログを 記 録 するよう に 設 定 したり セッションの 最 初 と 最 後 の 両 方 でログを 記 録 するように 設 定 することも 可 能 です セキュリティ ポリシーのコンポーネント セキュリティ ポリシーを 作 成 することにより 以 下 に 挙 げるような 必 須 コンポーネントとオプ ション コンポーネントの 組 み 合 わせが 可 能 になります 必 須 フィー ルド フィールド 名 前 送 信 元 ゾーン 説 明 31 文 字 まで 対 応 可 能 なラベルで ルールの 識 別 に 使 用 します トラフィックの 送 信 元 となるゾーン 宛 先 ゾーン トラフィックの 宛 先 となるゾーン NAT を 使 用 している 場 合 常 に NAT 後 のゾーンを 参 照 するようにしてください アプリケーション アクション 制 御 するアプリケーション ファイアウォールでは トラ フィックの 分 類 テクノロジーである App-ID を 使 用 して ネッ トワーク 上 のトラフィックを 識 別 します App-ID により 作 成 されたセキュリティ ポリシーの 中 でアプリケーションを 制 御 および 可 視 化 し 不 明 なアプリケーションをブロックすると 同 時 に 許 可 されるアプリケーションを 有 効 化 検 査 および 形 成 できます ルールで 定 義 する 基 準 に 基 づいて トラフィックのアクション を [ 許 可 ] または [ 拒 否 ] に 指 定 します スタート ガイド 41

44 ペリメータ セキュリティの 概 要 ペリメータ セキュリティの 確 立 フィールド 説 明 ( 続 き) オプション フィールド タグ 説 明 送 信 元 IP アドレス 宛 先 IP アドレス ユーザー URL カテゴリ セキュリティ ルールをフィルタリングできるようにするため の キーワードまたはフレーズ 多 数 のルールを 定 義 してい て Inbound to DMZ など 特 定 のキーワードによりタグ 付 けさ れているルールをレビューする 場 合 には これらのタグが 便 利 です 255 文 字 まで 対 応 可 能 なテキスト フィールドで ルールの 説 明 に 使 用 します ホスト IP または FQDN サブネット 名 前 付 きグループ ま たは 国 ベースの 適 用 を 定 義 します NAT を 使 用 している 場 合 常 にパケットの 元 の IP アドレス (NAT 前 の IP アドレスなど ) を 参 照 するようにしてください トラフィックの 場 所 または 宛 先 NAT を 使 用 している 場 合 常 にパケットの 元 の IP アドレス (NAT 前 の IP アドレスなど ) を 参 照 するようにしてください ポリシーの 適 用 対 象 となるユーザーまたはユーザー グループ ゾーンで User-ID を 有 効 にする 必 要 があります User-ID を 有 効 にする 方 法 の 詳 細 は 101 ページの ユーザー ID の 設 定 を 参 照 してください URL カテゴリを 一 致 基 準 として 使 用 すると 例 外 ベースのルー ルによる 詳 細 なポリシーを 適 用 できます コンテンツへのアク セスを 大 まかに 許 可 または 拒 否 するのではなく 例 外 を 使 用 し て HTTP や HTTPS トラフィックへのアクセスを 制 御 または 制 限 できます また URL カテゴリ ベースでセキュリティ プロ ファイルとログへのアクセスを 関 連 付 けることもできます た とえば 危 険 度 の 高 いことを 示 す URL カテゴリの.exe ファイ ルをダウンロード / アップロードできないようにし それ 以 外 のカテゴリのファイルを 許 可 することが 可 能 です あるいは SSL の 復 号 化 ポリシーを 適 用 することにより 金 融 やショッピン グなどのカテゴリについては 暗 号 化 アクセスを 許 可 し それ 以 外 のカテゴリについてはトラフィックを 復 号 化 して 検 査 する ことも 可 能 です 注 意 URL カテゴリはデバイスで 手 動 設 定 できますが PAN-DB または BrightCloud で 提 供 されるカテゴリの 動 的 更 新 を 利 用 するには URL フィルタリング ライセン スを 購 入 する 必 要 があります 42 スタート ガイド

45 ペリメータ セキュリティの 確 立 ペリメータ セキュリティの 概 要 フィールド 説 明 ( 続 き) サービス セキュリティ プロ ファイル HIP プロファイル (GlobalProtect の 場 合 ) オプション レイヤー 4 (TCP または UDP) のポートをアプリケーション 用 に 選 択 することもできます any ポートの 指 定 または application - default を 選 択 して アプリケーションの 標 準 ベー スのポートの 使 用 を 許 可 できます たとえば DNS など 既 知 のポート 番 号 を 持 つアプリケーションの 場 合 application - default オプションを 選 択 すると TCP ポート 53 でのみ DNS ト ラフィックと 一 致 します カスタム アプリケーションを 追 加 して そのアプリケーションで 使 用 可 能 なポートを 定 義 するこ ともできます 注 意 インバウンド ルール (Untrust ゾーンから Trust ゾーン など ) の 場 合 サービスは 常 に application default ポートを 使 用 するように 定 義 するか ポートを 手 動 で 指 定 しま す サービスで any のポートの 使 用 を 許 可 しないよう にします 脅 威 脆 弱 性 データの 漏 洩 などから さらにシステムを 保 護 し ます セキュリティ プロファイルは 許 可 のアクションを 含 む ルールに 対 してのみ 評 価 されます 詳 細 については 69 ページ の セキュリティ ポリシーについて を 参 照 してください ホスト インフォーメーション プロファイル (HIP) を 持 つクラ イアントを 識 別 してから アクセス 権 を 適 用 できます セッションのログの 定 義 ログの 転 送 設 定 ルールに 一 致 する パケットの Quality of Service (QoS) マーキングの 変 更 およびセ キュリティ ルールを 有 効 にするタイミング ( 日 時 ) のスケ ジュールなどの 設 定 が 可 能 です スタート ガイド 43

46 ペリメータ セキュリティの 概 要 ペリメータ セキュリティの 確 立 ポリシーのベスト プラクティス 安 全 なインターネット アクセスを 可 能 にし Web アクセス 権 の 誤 使 用 脆 弱 性 や 攻 撃 への 曝 露 を 回 避 するタスクは 継 続 的 なプロセスです Palo Alto Networks のファイアウォールでポリシー を 定 義 する 場 合 の 主 原 則 は ポジティブ エンフォースメント アプローチを 用 いることです ポ ジティブ エンフォースメントとは 日 常 業 務 に 必 要 なものを 選 択 的 に 許 可 することで これに 対 してネガティブ エンフォースメント アプローチの 場 合 許 可 されないものをすべて 選 択 的 に ブロックすることです ポリシーを 作 成 する 場 合 以 下 の 事 項 を 考 慮 します セキュリティ 要 件 が 同 じゾーンに 複 数 ある 場 合 それらを 1 つのセキュリティ ルールにまと めます ベストマッチする 基 準 を 確 保 するには ルールの 順 序 が 重 要 です ポリシーはトップダウン 方 式 で 評 価 されるため 個 別 のルールを 一 般 的 なルールよりも 優 先 する 必 要 があります つ まり 個 別 のルールをシャドウしないことです シャドウ という 用 語 は ポリシー リス トの 下 位 に 配 置 されているために 評 価 されない または 省 略 されるルールのことです ルー ルが 下 位 に 配 置 されていると 先 行 する 別 のルールが 一 致 基 準 を 満 たすことにより 下 位 の ルールはポリシーの 評 価 からシャドウされます インバウンド アプリケーションへのアクセスを 制 御 および 制 限 するには サービス / アプリ ケーションがリッスンするポートをセキュリティ ポリシーで 明 示 的 に 定 義 します DNS のような 既 知 のサービスへのアクセスなど 広 範 な 許 可 ルールをログに 記 録 すると た くさんのトラフィックが 発 生 します そのため 絶 対 的 に 必 要 な 場 合 を 除 き この 方 法 は 推 奨 されません デフォルトでは セッションの 最 後 にファイアウォールでログのエントリが 作 成 されます ただし このデフォルトの 動 作 を 変 更 して セッションの 最 初 にファイアウォールでログを 記 録 するように 設 定 することもできます セッション 開 始 時 にログを 記 録 するように 設 定 す ると ログの 量 が 大 幅 に 増 えるため 問 題 のトラブルシューティングを 行 う 場 合 にのみ 推 奨 されます セッション 開 始 時 のログを 有 効 にしなくても トラブルシューティングを 行 える 別 の 方 法 として セッション ブラウザ ([Monitor] > [ セッション ブラウザ ]) を 使 用 してリアル タイムでセッションを 表 示 する 方 法 があります 44 スタート ガイド

47 ペリメータ セキュリティの 確 立 ペリメータ セキュリティの 概 要 ポリシー オブジェクトについて ポリシー オブジェクトは 単 一 のオブジェクトまたは 集 合 単 位 で IP アドレス URL アプリ ケーション ユーザーなどの 個 別 の ID をグループ 化 するものです ポリシー オブジェクトが 集 合 単 位 の 場 合 複 数 のオブジェクトを 手 動 で 1 つずつ 選 択 しなくても セキュリティ ポリシー でそのオブジェクトを 参 照 できます 一 般 的 にポリシー オブジェクトを 作 成 する 場 合 ポリシー で 同 様 のアクセス 権 限 を 必 要 とするオブジェクトをグループ 化 します たとえば 組 織 が 一 連 の サーバーの IP アドレスを 使 用 してユーザーを 認 証 する 場 合 それらのサーバーの IP アドレスを アドレス グループのポリシー オブジェクトとしてグループ 化 し そのアドレス グループをセ キュリティ ポリシーで 参 照 します オブジェクトをグループ 化 することにより ポリシー 作 成 時 の 管 理 者 の 負 担 が 大 幅 に 軽 減 されます 以 下 のポリシー オブジェクトをファイアウォールで 作 成 できます ポリシー オブジェクト アドレス / アドレス グループ 地 域 ユーザー / ユーザー グループ アプリケーション グ ループおよびアプリ ケーション フィルタ 説 明 同 じポリシーを 実 施 する 必 要 のある 特 定 の 送 信 元 アドレスまたは 宛 先 アドレスをグループ 化 できます アドレス オブジェクトには IPv4 または IPv6 のアドレス ( 単 一 IP 範 囲 サブネット ) または FQDN を 含 めることができます または 緯 度 と 経 度 の 座 標 で 地 域 を 定 義 したり 国 を 選 択 して IP アドレスまたは IP の 範 囲 を 定 義 したりで きます こうすることで アドレス オブジェクトのコレクションを グループ 化 し アドレス グループ オブジェクトを 作 成 できます また ダイナミック アドレス オブジェクトの 使 用 も 可 能 です このオ ブジェクトは XML API スクリプトを 使 用 して ホスト IP アドレ スが 頻 繁 に 変 わる 環 境 で 動 的 に IP アドレスを 更 新 します ダイナ ミック アドレス オブジェクトの 詳 細 は Dynamic Address Objects Tech Note を 参 照 してください ローカル データベースまたは 外 部 データベースからユーザーのリストを 作 成 し それらをグループ 化 できます ユーザー グループ 作 成 の 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 3 章 を 参 照 してください アプリケーション フィルタにより アプリケーションを 動 的 にフィルタ リングでき ファイアウォールのアプリケーション データベースで 定 義 し た 属 性 を 使 用 して 一 連 のアプリケーションをフィルタリングおよび 保 存 できます たとえば カテゴリ サブカテゴリ テクノロジー リスク 特 性 など 1 つ 以 上 の 属 性 によるフィルタリングが 可 能 で 独 自 のアプリ ケーション フィルタを 保 存 できます アプリケーション フィルタがあれば PAN-OS コンテンツの 更 新 が 発 生 した 場 合 に フィルタ 基 準 を 満 たす 新 規 アプリケーションが 自 動 的 に 保 存 されているアプリケーション フィルタ に 追 加 されます アプリケーション グループにより あるユーザー グループまたは 特 定 の サービスに 対 してグループ 化 したい 特 定 のアプリケーションの 静 的 グルー プを 作 成 できます スタート ガイド 45

48 ペリメータ セキュリティの 概 要 ペリメータ セキュリティの 確 立 ポリシー オブジェクト サービス / サービス グループ 説 明 送 信 元 ポートと 宛 先 ポート およびサービスで 使 用 できるプロトコルを 指 定 できます ファイアウォールには service-http と service-https という 2 つの 事 前 定 義 サービスが 含 まれています これらのサービスでは TCP ポート 80 および 8080 を HTTP に TCP ポート 443 を HTTPS に 使 用 します ただし カスタム サービスを 任 意 の TCP/UDP ポートで 自 由 に 作 成 して アプリケー ションの 使 用 をネットワーク 上 の 特 定 のポートに 制 限 できます ( つまり ア プリケーションのデフォルト ポートを 定 義 できます ) 注 意 アプリケーションで 使 用 する 標 準 ポートを 表 示 するには [Objects] > [ アプリケーション ] の 順 に 選 択 してアプリケーション を 検 索 し リンクをクリックします 簡 単 な 説 明 が 表 示 されます アドレスおよびアプリケーション ポリシー オブジェクトのいくつかの 例 が 57 ページの セキュ リティ ルールの 作 成 のセキュリティ ポリシーに 示 されています その 他 のポリシー オブジェク トについては 65 ページの 脅 威 からのネットワークの 防 御 を 参 照 してください また 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 5 章 を 参 照 してください セキュリティ ポリシーについて セキュリティ ポリシーにより ネットワーク 上 のトラフィックを 許 可 または 拒 否 できますが 許 可 するがスキャンを 実 施 するルールを 定 義 する 場 合 は セキュリティ プロファイルが 役 に 立 ち ます この 場 合 許 可 されたアプリケーションに 対 する 脅 威 がスキャンされます トラフィック がセキュリティ ポリシーで 定 義 した 許 可 ルールと 一 致 する 場 合 そのルールに 関 連 付 けられた セキュリティ プロファイルが アンチウィルス チェックやデータ フィルタリングなどのコンテン ツ 検 査 ルールにさらに 適 用 されます セキュリティ プロファイルは トラフィック フローの 一 致 基 準 には 使 用 されま せん セキュリティ プロファイルは セキュリティ ポリシーでアプリケーション またはカテゴリが 許 可 された 後 に 適 用 され トラフィックをスキャンします アンチウィルス アンチスパイウェア 脆 弱 性 防 御 URL フィルタリング ファイル ブロッ キング データ フィルタリングなど さまざまなタイプのセキュリティ プロファイルをセキュ リティ ポリシーに 関 連 付 けることができます ファイアウォールでは デフォルトのセキュリ ティ プロファイルをそのまま 使 用 して すぐにネットワークを 脅 威 から 保 護 できます デフォ ルトのプロファイルをセキュリティ ポリシーで 使 用 する 方 法 の 詳 細 は 57 ページの セキュリティ ルールの 作 成 を 参 照 してください ネットワークに 必 要 なセキュリティについて 理 解 を 深 める と カスタム プロファイルを 作 成 できます 詳 細 は 78 ページの セキュリティ プロファイルとセ キュリティ ポリシーのセットアップ を 参 照 してください 46 スタート ガイド

49 ペリメータ セキュリティの 確 立 インターフェイスおよびゾーンの 設 定 インターフェイスおよびゾーンの 設 定 以 下 のセクションでは インターフェイスおよびゾーンの 設 定 について 説 明 します 導 入 計 画 インターフェイスとゾーンの 設 定 導 入 計 画 インターフェイスおよびゾーンの 設 定 を 開 始 する 前 に 組 織 内 でのさまざまな 使 用 条 件 に 基 づ き 必 要 なゾーンについて 綿 密 に 計 画 する 必 要 があります さらに 必 要 な 設 定 情 報 をすべて 事 前 に 収 集 する 必 要 があります 基 本 レベルでは どのインターフェイスがどのゾーンに 属 するか について 計 画 します レイヤー 3 導 入 の 場 合 仮 想 ルーターの 設 定 に 必 要 なルーティング プロ トコルまたは 静 的 ルートの 設 定 方 法 など 必 要 な IP アドレスおよびネットワーク 設 定 情 報 も ネッ トワーク 管 理 者 から 入 手 する 必 要 があります 本 章 の 例 は 以 下 のトポロジに 基 づいています 以 下 の 表 に サンプル トポロジに 示 すレイヤー 3 インターフェイスとそれに 対 応 するゾーンの 設 定 に 使 用 する 情 報 を 示 します ゾーン 導 入 タイプ インターフェイス 設 定 Untrust L3 Ethernet1/3 IP アドレス : /24 仮 想 ルーター : VR1 デフォルト ルート : /0 ネクスト ホップ : /24 Trust L3 Ethernet1/4 IP アドレス : /24 仮 想 ルーター : VR1 DMZ L3 Ethernet1/13 IP アドレス : /24 仮 想 ルーター : VR1 スタート ガイド 47

50 インターフェイスおよびゾーンの 設 定 ペリメータ セキュリティの 確 立 インターフェイスとゾーンの 設 定 ゾーンとそれに 対 応 するインターフェイスを 計 画 後 デバイスでそれらを 設 定 できます それぞ れのインターフェイスの 設 定 方 法 は ネットワーク トポロジにより 異 なります 以 下 の 手 順 は 前 述 のサンプル トポロジに 示 したレイヤー 3 導 入 の 設 定 方 法 を 示 しています レイヤー 2 またはバーチャル ワイヤー 導 入 の 設 定 に 関 する 詳 細 は Palo Alto Networks 管 理 者 ガ イド の 第 4 章 を 参 照 してください ファイアウォールは Ethernet 1/1 ポートと Ethernet 1/2 (および 対 応 するデフォル トのセキュリティ ポリシーと 仮 想 ルーター)の 間 のデフォルトのバーチャル ワイ ヤー インターフェイスが 事 前 設 定 されて 出 荷 されます このデフォルトのバーチャ ル ワイヤーを 使 用 する 予 定 がない 場 合 は 定 義 する 他 の 設 定 と 干 渉 しないようにす るため 手 動 でこの 設 定 を 削 除 してから 設 定 を 続 行 する 必 要 があります デフォル トのバーチャル ワイヤーとその 関 連 セキュリティ ポリシーおよびゾーンを 削 除 す る 方 法 の 詳 細 は 外 部 サービスへのアクセス 用 データ ポートのセットアップのス テップ 3 を 参 照 してください 48 スタート ガイド

51 ペリメータ セキュリティの 確 立 インターフェイスおよびゾーンの 設 定 インターフェイスおよびゾーンの 設 定 ステップ 1 外 部 インターフェイス (インター ネットに 接 続 するインターフェ イス ) を 設 定 します 1. 設 定 するインターフェイスを 選 択 します この 例 では Ethernet1/3 を 外 部 インターフェイスとして 設 定 します 2. [ インターフェイス タイプ ] を 選 択 します ここで 選 択 するタイプはご 使 用 のネットワーク トポロジに 応 じて 異 なりますが この 例 では [ レイヤー 3] の 場 合 の 手 順 を 示 します 3. [ 設 定 ] タブで [ セキュリティ ゾーン ] ドロップダウン を 展 開 して [ 新 規 ゾーン ] を 選 択 します [ ゾーン ] ダ イアログの [ 名 前 ] で Untrust などの 名 前 をつけて 新 しいゾーンを 定 義 し [OK] をクリックします 4. インターネット ルータへの 静 的 ルートを 設 定 します a [ 仮 想 ルーター ] ドロップダウン リストから [ 新 規 仮 想 ルーター ] を 選 択 し [ 名 前 ] フィールドに VR1 などの 仮 想 ルーター 名 を 入 力 します b [ スタティック ルート ] タブを 選 択 して [ 追 加 ] をク リックします [ 名 前 ] フィールドにルート 名 を 入 力 し [ 宛 先 ] フィールドにルートの 宛 先 ( 例 : /0) を 入 力 します c [ ネクスト ホップ ] で [IP アドレス ] ラジオ ボタンを クリックし インターネット ゲートウェイの IP アド レスとネットマスク ( 例 : /24) を 入 力 します d [OK] を 2 度 クリックすると 仮 想 ルーターの 設 定 が 保 存 されます 5. IP アドレスをインターフェイスに 割 り 当 てるには [IPv4] タブを 選 択 してから IP セクションで [ 追 加 ] をクリック し インターフェイスに 割 り 当 てる IP アドレスとネット マスク ( 例 : /24) を 入 力 します 6. インターフェイスの ping を 有 効 にするには [ 詳 細 ] > [ その 他 の 情 報 ] の 順 にクリックし [ 管 理 プロファイ ル ] ドロップダウン リストから [ 新 規 管 理 プロファイ ル ] を 選 択 します [ 名 前 ] フィールドにプロファイル 名 を 入 力 し [Ping] を 選 択 してから [OK] をクリックし ます 7. インターフェイス 設 定 を 保 存 するには [OK] をクリッ クします スタート ガイド 49

52 インターフェイスおよびゾーンの 設 定 ペリメータ セキュリティの 確 立 インターフェイスおよびゾーンの 設 定 ( 続 き) ステップ 2 注 意 内 部 ネットワークに 接 続 するイン ターフェイスを 設 定 します この 例 のインターフェイスは プ ライベート IP アドレスを 使 用 す るネットワーク セグメントに 接 続 します プライベート IP アド レスは 外 部 にルーティングでき ないため NAT を 設 定 する 必 要 があります 51 ページの NAT ポリシーの 設 定 を 参 照 してくだ さい 1. [Network] > [ インターフェイス ] の 順 に 選 択 し 設 定 するインターフェイスを 選 択 します この 例 では Ethernet1/4 を 内 部 インターフェイスとして 設 定 します 2. [ インターフェイス タイプ ] ドロップダウン リストか ら [Layer3] を 選 択 します 3. [ 設 定 ] タブで [ セキュリティ ゾーン ] ドロップダウン を 展 開 して [ 新 規 ゾーン ] を 選 択 します [ ゾーン ] ダ イアログの [ 名 前 ] で Trust などの 名 前 をつけて 新 し いゾーンを 定 義 し [OK] をクリックします 4. ステップ 1 で 作 成 した 仮 想 ルーター ( この 例 では VR1) を 選 択 します 5. IP アドレスをインターフェイスに 割 り 当 てるには [IPv4] タブを 選 択 してから IP セクションで [ 追 加 ] をクリック し インターフェイスに 割 り 当 てる IP アドレスとネット マスク ( 例 : /24) を 入 力 します 6. インターフェイスの ping を 有 効 にするには ステッ プ 1-6 で 作 成 した 管 理 プロファイルを 選 択 します 7. インターフェイス 設 定 を 保 存 するには [OK] をクリッ クします ステップ 3 ステップ 4 DMZ に 接 続 するインターフェイ スを 設 定 します インターフェイスの 設 定 を 保 存 します 1. 設 定 するインターフェイスを 選 択 します 2. [ インターフェイス タイプ ] ドロップダウン リストから [Layer3] を 選 択 します この 例 では Ethernet1/13 を DMZ インターフェイスとして 設 定 します 3. [ 設 定 ] タブで [ セキュリティ ゾーン ] ドロップダウン を 展 開 して [ 新 規 ゾーン ] を 選 択 します [ ゾーン ] ダ イアログの [ 名 前 ] で DMZ などの 名 前 をつけて 新 しいゾーンを 定 義 し [OK] をクリックします 4. ステップ 1 で 作 成 した 仮 想 ルーター ( この 例 では VR1) を 選 択 します 5. IP アドレスをインターフェイスに 割 り 当 てるには [IPv4] タブを 選 択 してから IP セクションで [ 追 加 ] をクリック し インターフェイスに 割 り 当 てる IP アドレスとネット マスク ( 例 : /24) を 入 力 します 6. インターフェイスの ping を 有 効 にするには ステッ プ 1-6 で 作 成 した 管 理 プロファイルを 選 択 します 7. インターフェイス 設 定 を 保 存 するには [OK] をクリッ クします [Commit] をクリックします ステップ 5 ファイアウォールを 配 線 します ストレート ケーブルを 使 用 して 設 定 したインターフェイ スから 対 応 するスイッチまたはルーターにネットワーク セ グメントごとに 接 続 します 50 スタート ガイド

53 ペリメータ セキュリティの 確 立 NAT ポリシーの 設 定 インターフェイスおよびゾーンの 設 定 ( 続 き) ステップ 6 インターフェイスがアクティブ であることを 確 認 します Web インターフェイスの 場 合 [Network] > [ インターフェ イス ] の 順 に 選 択 し [ リンク 状 態 ] 列 のアイコンが 緑 になっ ていることを 確 認 します また [Dashboard] の [ インター フェイス ] ウィジェットからリンク 状 態 をモニタリングす ることもできます NAT ポリシーの 設 定 インターフェイスおよびゾーンの 作 成 に 使 用 したサンプル トポロジを 元 に 次 の 3 つの NAT ポ リシーを 作 成 する 必 要 があります 内 部 ネットワークのクライアントからインターネット 上 のリソースにアクセスできるよう にするには 内 部 アドレス をルーティング 可 能 なパブリック アドレスに 変 換 する 必 要 があります この 場 合 出 力 インターフェイス アドレス を 使 用 して 内 部 ゾーンからファイアウォールを 通 過 するすべてのパケットの 送 信 元 アドレスとして 送 信 元 NAT を 設 定 します 方 法 については 52 ページの 内 部 クライアントの IP アドレスからパブリッ ク IP アドレスへの 変 換 を 参 照 してください スタート ガイド 51

54 NAT ポリシーの 設 定 ペリメータ セキュリティの 確 立 内 部 ネットワークのクライアントから DMZ ゾーンのパブリック Web サーバーにアクセスで きるようにするには 外 部 ネットワークからのパケットをリダイレクトする NAT ルールを 設 定 する 必 要 があります この 場 合 元 のルーティング テーブルを 検 索 することにより パ ケット 内 の 宛 先 アドレス に 基 づき DMZ ネットワーク 上 の Web サーバーが 持 つ 実 際 のアドレス に 移 動 する 必 要 があると 判 断 します このような 変 換 を 行 うには 宛 先 アドレスを DMZ ゾーンのアドレスに 変 換 するための Trust ゾーン ( パケットの 送 信 元 アドレスが 存 在 する 場 所 ) から Untrust ゾーン ( 元 の 宛 先 アドレスが 存 在 する 場 所 ) への NAT ルールを 作 成 する 必 要 があります このタイプの 宛 先 NAT を U ターン NAT といいます 方 法 については 54 ページの 内 部 ネットワークのクライアントからパブリック サーバーへのアク セスを 有 効 にする を 参 照 してください DMZ ネットワークのプライベート IP アドレスと 外 部 ユーザーがアクセスするパブリック フェイシング アドレスの 両 方 を 持 つ Web サーバーで 要 求 を 送 受 信 できるようにするには ファイアウォールでパブリック IP アドレスからプライベート IP アドレスに 着 信 するパケッ トを プライベート IP アドレスからパブリック IP アドレスに 発 信 するパケットに 変 換 する 必 要 があります ファイアウォールで 双 方 向 の 静 的 な 送 信 元 NAT のポリシーを 1 つ 作 成 す れば このような 変 換 を 実 現 できます 55 ページの パブリックフェイシング サーバーの 双 方 向 アドレス 変 換 を 有 効 にする を 参 照 してください 内 部 クライアントの IP アドレスからパブリック IP アドレスへの 変 換 内 部 ネットワークのクライアントから 要 求 を 送 信 する 場 合 パケットの 送 信 元 アドレスにその 内 部 ネットワーク クライアントの IP アドレスが 含 まれます プライベート IP アドレスの 範 囲 を 内 部 で 使 用 している 場 合 ネットワークから 発 信 されるパケットの 送 信 元 IP アドレスをルー ティング 可 能 なパブリック アドレスに 変 換 しない 限 り クライアントのパケットをインター ネットにルーティングできません 送 信 元 アドレスと 送 信 元 ポート ( 任 意 ) とをパブリック アド レスに 変 換 する 送 信 元 NAT のポリシーをファイアウォールで 設 定 すれば このような 変 換 を 実 現 できます その 方 法 の 1 つとして 以 下 の 手 順 に 示 すように すべてのパケットの 送 信 元 アド レスをファイアウォールの 出 力 インターフェイスに 変 換 する 方 法 があります 52 スタート ガイド

55 ペリメータ セキュリティの 確 立 NAT ポリシーの 設 定 送 信 元 NAT の 設 定 ステップ 1 使 用 する 外 部 IP アドレスのオブ ジェクトを 作 成 します 1. Web インターフェイスから [Objects] > [ アドレス ] の 順 に 選 択 し [ 追 加 ] をクリックします 2. [ 名 前 ] フィールドに 名 前 を 入 力 し 必 要 に 応 じて [ 内 容 ] フィールドにオブジェクトの 説 明 を 入 力 します 3. [ タイプ ] ドロップダウン リストから [IP ネットマスク ] を 選 択 し ファイアウォールの 外 部 インターフェイスの IP アドレスとネットマスク ( この 例 では /24) を 入 力 します 4. アドレス オブジェクトを 保 存 するには [OK] をクリッ クします 注 意 ポリシーでアドレス オブジェクトを 使 用 する 必 要 がない 場 合 でも アドレス オブジェクトを 作 成 し ておけば アドレスの 参 照 基 準 となるポリシーを 個 別 ではなく 一 括 で 更 新 できるなど 管 理 者 の 負 担 が 軽 減 されるため 作 成 しておくのがベスト プラク ティスです ステップ 2 NAT ポリシーを 作 成 します 1. [Policies] > [NAT] の 順 に 選 択 し て [ 追 加 ] をクリックします 2. [ 名 前 ] フィールドに 分 かりやす いポリシー 名 を 入 力 します 3. [ 元 のパケット ] タブで [ 送 信 元 ゾーン] セクションで 内 部 ネッ トワーク 用 に 作 成 したゾーンを [ 宛 先 ゾーン ] ドロップダウン リ ストで 外 部 ネットワーク 用 に 作 成 したゾーンを それぞれ 選 択 し ます ([ 追 加 ] をクリックしてゾーンを 選 択 します ) 4. [ 変 換 済 みパケット ] タブの [ 送 信 元 アドレスの 変 換 ] セクションで [ 変 換 タイプ ] ドロッ プダウン リストから [ ダイナミック IP およびポート ] を 選 択 し [ 追 加 ] をクリックしま す ステップ 1 で 作 成 したアドレス オブジェクトを 選 択 します 5. [OK] をクリックして NAT ポリ シーを 保 存 します ステップ 3 設 定 を 保 存 します [Commit] をクリックします スタート ガイド 53

56 NAT ポリシーの 設 定 ペリメータ セキュリティの 確 立 内 部 ネットワークのクライアントからパブリック サーバーへのアクセスを 有 効 にする 内 部 ネットワークのユーザーが DMZ にある 企 業 Web サーバーへのアクセス 要 求 を 送 信 する 場 合 DNS サーバーがパブリック IP アドレスを 解 決 します 要 求 を 処 理 する 際 に ファイアウォールで はパケットの 元 の 宛 先 ( パブリック IP アドレス ) を 使 用 して Untrust ゾーンの 出 力 インターフェイ スにパケットをルーティングします Trust ゾーンのユーザーから 要 求 を 受 信 したときに ファイア ウォールで Web サーバーのパブリック IP アドレスを DMZ ネットワークのアドレスに 変 換 する 必 要 があると 判 断 するには 次 のように ファイアウォールから DMZ ゾーンの 出 力 インターフェイス に 要 求 を 送 信 できるようにするための 宛 先 NAT のルールを 作 成 する 必 要 があります U ターン NAT の 設 定 ステップ 1 Web サーバーのアドレス オブ ジェクトを 作 成 します 1. Web インターフェイスから [Objects] > [ アドレス ] の 順 に 選 択 し [ 追 加 ] をクリックします 2. [ 名 前 ] フィールドに 名 前 を 入 力 し 必 要 に 応 じて [ 内 容 ] フィールドにオブジェクトの 説 明 を 入 力 します 3. [ タイプ ] ドロップダウン リストから [IP ネットマスク ] を 選 択 し Web サーバーのパブリック IP アドレスとネッ トマスク ( この 例 では /24) を 入 力 します 4. アドレス オブジェクトを 保 存 するには [OK] をクリッ クします ステップ 2 NAT ポリシーを 作 成 します 1. [Policies] > [NAT] の 順 に 選 択 して [ 追 加 ] をクリックします 2. [ 名 前 ] フィールドに 分 かりやすい NAT ルール 名 を 入 力 します 3. [ 元 のパケット ] タブで [ 送 信 元 ゾーン ] セクションで 内 部 ネット ワーク 用 に 作 成 したゾーンを [ 宛 先 ゾーン ] ドロップダウン リスト で 外 部 ネットワーク 用 に 作 成 した ゾーンを それぞれ 選 択 します ([ 追 加 ] をクリックしてゾーンを 選 択 します ) 4. [ 宛 先 アドレス ] セクションで [ 追 加 ] をクリックし パブリック Web サーバー 用 に 作 成 し たアドレス オブジェクトを 選 択 します 5. [ 変 換 済 みパケット ] タブで [ 宛 先 アドレスの 変 換 ] チェックボッ クスをオンにしてから DMZ ネッ トワーク 上 の Web サーバー イン ターフェイスに 割 り 当 てられた IP アドレス ( この 例 では ) を 入 力 します 6. [OK] をクリックして NAT ポリシーを 保 存 します ステップ 3 設 定 を 保 存 します [Commit] をクリックします 54 スタート ガイド

57 ペリメータ セキュリティの 確 立 NAT ポリシーの 設 定 パブリックフェイシング サーバーの 双 方 向 アドレス 変 換 を 有 効 にする パブリックフェイシング サーバーで そのサーバーが 実 際 に 存 在 するネットワーク セグメント のプライベート IP アドレスが 割 り 当 てられている 場 合 出 力 時 にサーバーの 送 信 元 アドレスを 外 部 アドレスに 変 換 する 送 信 元 NAT のルールが 必 要 となります そのためには 内 部 の 送 信 元 アドレス を 外 部 Web サーバーのアドレス ( この 例 では ) に 変 換 するように ファイアウォールに 指 示 する 静 的 NAT ルールを 作 成 する 必 要 があります ただし パブリック フェイシング サーバーの 場 合 は パケットの 送 受 信 が 可 能 でなければなりません この 場 合 イン ターネット ユーザーからの 着 信 パケットの 宛 先 IP アドレスとなるパブリック アドレスをプラ イベート アドレスに 変 換 し ファイアウォールから DMZ ネットワークへパケットを 正 しくルー ティングできるようにするための 相 互 ポリシーが 必 要 となります そのためには 以 下 の 手 順 に 示 すとおり ファイアウォールで 双 方 向 の 静 的 NAT ポリシーを 作 成 する 必 要 があります 双 方 向 NAT の 設 定 ステップ 1 Web サーバーの 内 部 IP アドレス のオブジェクトを 作 成 します 1. Web インターフェイスから [Objects] > [ アドレス ] の 順 に 選 択 し [ 追 加 ] をクリックします 2. [ 名 前 ] フィールドに 名 前 を 入 力 し 必 要 に 応 じて [ 内 容 ] フィールドにオブジェクトの 説 明 を 入 力 します 3. [ タイプ ] ドロップダウン リストから [IP ネットマスク ] を 選 択 し DMZ ネットワーク 上 の Web サーバーの IP アドレスとネットマスク ( この 例 では /24) を 入 力 します 4. アドレス オブジェクトを 保 存 するには [OK] をクリッ クします 注 意 Web サーバーのパブリック アドレスに 対 するアド レス オブジェクトを 作 成 していない 場 合 は その オブジェクトも 今 すぐ 作 成 する 必 要 があります スタート ガイド 55

58 NAT ポリシーの 設 定 ペリメータ セキュリティの 確 立 双 方 向 NAT の 設 定 ( 続 き) ステップ 2 NAT ポリシーを 作 成 します 1. [Policies] > [NAT] の 順 に 選 択 して [ 追 加 ] をクリックします 2. [ 名 前 ] フィールドに 分 かりやすい NAT ルール 名 を 入 力 します 3. [ 元 のパケット ] タブで [ 送 信 元 ゾーン] セクションで DMZ 用 に 作 成 したゾーンを [ 宛 先 ゾーン ] ド ロップダウン リストで 外 部 ネット ワーク 用 に 作 成 したゾーンを そ れぞれ 選 択 します ([ 追 加 ] をク リックしてゾーンを 選 択 します ) 4. [ 送 信 元 アドレス ] セクションで [ 追 加 ] をクリックし 内 部 Web サーバーのアドレス 用 に 作 成 したアドレス オブジェクトを 選 択 します 5. [ 変 換 済 みパケット ] タブの [ 送 信 元 アドレスの 変 換 ] セクション で [ 変 換 タイプ ] ドロップダウン リストから [ スタティック IP] を 選 択 し [ 変 換 後 アドレス ] ドロップ ダウン リストから 外 部 Web サー バーのアドレス 用 に 作 成 したアド レス オブジェクトを 選 択 します 6. [ 双 方 向 ] フィールドで [ はい ] を 選 択 します 7. [OK] をクリックして NAT ポリシーを 保 存 します ステップ 3 設 定 を 保 存 します [Commit] をクリックします 56 スタート ガイド

59 ペリメータ セキュリティの 確 立 基 本 的 なセキュリティ ポリシーのセットアップ 基 本 的 なセキュリティ ポリシーのセットアップ ポリシーにより ルールを 適 用 してアクションを 実 行 できます セキュリティ NAT Quality of Service (QoS) ポリシー ベース フォワーディング (PBF) 復 号 アプリケーション オーバーライ ド キャプティブ ポータル サービス 拒 否 (DoS) ゾーン プロテクションなど さまざまなタ イプのポリシー ルールをファイアウォールで 作 成 できます これらのさまざまなポリシーが 連 携 することにより 許 可 拒 否 優 先 度 の 設 定 転 送 暗 号 化 復 号 例 外 の 作 成 アクセスの 認 証 接 続 のリセットなど 必 要 に 応 じてネットワークを 保 護 できます ここでは 基 本 的 なセ キュリティ ポリシーと デフォルトのセキュリティ プロファイルについて 説 明 します セキュリティ ルールの 作 成 セキュリティ ポリシーのテスト ネットワーク 上 のトラフィックのモニタリング まずはセキュリティ ポリシーのみについて 説 明 します 他 のタイプのポリシー に 関 する 詳 細 は 65 ページの 脅 威 からのネットワークの 防 御 または Palo Alto Networks 管 理 者 ガイドの 第 5 章 を 参 照 してください セキュリティ ルールの 作 成 セキュリティ ポリシーによりセキュリティ ゾーンを 参 照 することで ネットワーク 上 のトラ フィックを 許 可 制 限 および 追 跡 できるようになります ゾーンごとに 信 頼 度 が 異 なるため 暗 黙 のルールにより 2 つの 異 なるゾーン 間 を 通 過 するトラフィックは 拒 否 され ゾーン 内 のトラ フィックは 許 可 されます 2 つの 異 なるゾーン 間 を 通 過 するトラフィックを 許 可 するには この ようなトラフィックに 対 するセキュリティ ルールを 作 成 する 必 要 があります 企 業 のペリメータ セキュリティを 確 保 するための 基 本 的 なフレームワークを 設 定 する 場 合 制 約 の 少 ない 異 なるゾーン 間 のトラフィックを 許 可 するシンプルなセキュリティ ポリシーから 作 成 すると 良 いでしょう 後 述 するように 目 標 はあくまでもネットワーク ユーザーがアクセ スする 必 要 のあるアプリケーションが 中 断 してしまうリスクを 最 小 限 に 抑 えながら ネットワー ク 上 のアプリケーションや 潜 在 的 な 脅 威 に 可 視 性 を 与 えることです ポリシーを 定 義 する 場 合 すべての 送 信 元 ゾーンからすべての 宛 先 ゾーンへのト ラフィックをすべて 拒 否 するようなポリシーを 作 成 すると 暗 黙 のうちに 許 可 さ れているゾーン 内 トラフィックが 中 断 してしまうため そのようなポリシーは 作 成 しないでください ゾーン 内 トラフィックの 場 合 送 信 元 ゾーンと 宛 先 ゾーン が 同 じで 信 頼 度 も 同 じレベルで 共 有 されているため デフォルトで 許 可 されて います スタート ガイド 57

60 基 本 的 なセキュリティ ポリシーのセットアップ ペリメータ セキュリティの 確 立 基 本 的 なセキュリティ ルールの 定 義 ステップ 1 注 意 企 業 ネットワークのすべての ユーザーに 対 して インターネッ ト アクセスを 許 可 します ゾーン : Trust から Untrust デフォルトでは rule1 という 名 前 のセキュリティ ルールがファ イアウォールに 含 まれています このルールでは Trust ゾーンか ら Untrust ゾーンへのトラフィッ クがすべて 許 可 されています このルールを 削 除 する または ゾーンの 命 名 規 則 を 反 映 するよ うにルールを 変 更 することもで きます 日 常 業 務 に 必 要 なアプリケーションを 安 全 に 実 行 できるよ うにするために インターネットへのアクセスを 許 可 する シンプルなルールを 作 成 します 基 本 的 な 脅 威 から 保 護 す るために ファイアウォールで 使 用 できるデフォルトのセ キュリティ プロファイルを 関 連 付 けます 1. [Policies] > [ セキュリティ] の 順 に 選 択 して [ 追 加 ] を クリックします 2. [ 全 般 ] タブで ルールの 分 かりやすい 名 前 を 入 力 します 3. [ 送 信 元 ] タブで [ 送 信 元 ゾーン ] を [Trust] に 設 定 します 4. [ 宛 先 ] タブで [ 宛 先 ゾーン ] を [Untrust] に 設 定 します 5. [ サービス /URL カテゴリ ] タブで service-http と service-https を 選 択 します 6. [ アクション ] タブで 以 下 の 手 順 を 実 行 します a [ アクション 設 定 ] を [ 許 可 ] に 設 定 します b [ プロファイル 設 定 ] 以 下 で [ アンチウイルス ] [ アンチスパイウェア ] [ 脆 弱 性 防 御 ] [URL フィル タリング] のデフォルト プロファイルを 関 連 付 け ます 7. [ オプション ] 以 下 でセッション 終 了 時 のログが 有 効 で あることを 確 認 します セキュリティ ルールと 一 致 す るトラフィックのみがログに 記 録 されます 58 スタート ガイド

61 ペリメータ セキュリティの 確 立 基 本 的 なセキュリティ ポリシーのセットアップ 基 本 的 なセキュリティ ルールの 定 義 ( 続 き) ステップ 2 注 意 内 部 ネットワークのユーザーが DMZ のサーバーにアクセスでき るようにします ゾーン : Trust から DMZ DMZ サーバーへのアクセス 設 定 に IP アドレスを 使 用 する 場 合 パケットの 元 の IP アドレス (NAT 前 のアドレス ) と NAT 後 の ゾーンを 常 に 参 照 するようにし てください 1. [Policies] > [ セキュリティ ] の 順 に 選 択 し [ 追 加 ] を クリックします 2. [ 全 般 ] タブで ルールの 分 かりやすい 名 前 を 入 力 します 3. [ 送 信 元 ] タブで [ 送 信 元 ゾーン ] を [Trust] に 設 定 します 4. [ 宛 先 ] タブで [ 宛 先 ゾーン ] を [DMZ] に 設 定 します 5. [ サービス /URL カテゴリ ] タブで [ サービス ] を [application-default] に 設 定 します 6. [ アクション ] タブで [ アクション 設 定 ] を [ 許 可 ] に 設 定 します 7. それ 以 外 のオプションは すべてデフォルト 値 にして おきます ステップ 3 インターネットから DMZ サー バーへのアクセスを 特 定 サー バーの IP アドレスのみに 制 限 し ます たとえば 外 部 から webmail サー バーにアクセスするユーザーの みを 許 可 します ゾーン : Untrust から DMZ インターネットから DMZ へのインバウンド アクセスを 制 限 するには 特 定 サーバーの IP アドレスと アプリケー ションで 使 用 するデフォルトのポートのみを 許 可 するルー ルを 設 定 します 1. [ 追 加 ] をクリックして 新 しいルールを 追 加 し 分 かり やすい 名 前 をつけます 2. [ 送 信 元 ] タブで [ 送 信 元 ゾーン ] を [Untrust] に 設 定 し ます 3. [ 宛 先 ] タブで [ 宛 先 ゾーン ] を [DMZ] に 設 定 します 4. [ 宛 先 アドレス ] を 作 成 済 みのパブリック Web サーバー のアドレス オブジェクトに 設 定 します このパブリッ ク Web サーバーのアドレス オブジェクトは DMZ か らアクセスできる Web サーバーのパブリック IP アドレ ス ( /24) を 参 照 します 5. [ アプリケーション ] タブで webmail アプリケーション を 選 択 します 6. [ サービス ] を [application-default] に 設 定 します 7. [ アクション 設 定 ] を [ 許 可 ] に 設 定 します スタート ガイド 59

62 基 本 的 なセキュリティ ポリシーのセットアップ ペリメータ セキュリティの 確 立 基 本 的 なセキュリティ ルールの 定 義 ( 続 き) ステップ 4 DMZ から 内 部 ネットワーク (Trust ゾーン ) へのアクセスを 許 可 しま す リスクを 最 小 限 に 抑 えるため に 特 定 のサーバーと 宛 先 アドレ スのトラフィックのみを 許 可 し ます たとえば Trust ゾーンの 特 定 のデータベース サーバーと 通 信 する 必 要 のあるアプリケー ション サーバーが DMZ にある 場 合 特 定 の 送 信 元 と 宛 先 の 間 のト ラフィックのみを 許 可 するルー ルを 作 成 します 1. [ 追 加 ] をクリックして 新 しいルールを 追 加 し 分 かり やすい 名 前 をつけます 2. [ 送 信 元 ゾーン ] を [DMZ] に 設 定 します 3. [ 宛 先 ゾーン ] を [Trust] に 設 定 します 4. DMZ からアクセス 可 能 な Trust ゾーンのサーバーを 指 定 するアドレス オブジェクトを 作 成 します ゾーン : DMZ から Trust 5. セキュリティ ポリシー ルールの [ 宛 先 ] タブで [ 宛 先 アドレス ] を 作 成 済 みのアドレス オブジェクトに 設 定 します 6. [ アクション ] タブで 以 下 の 手 順 を 実 行 します a [ アクション 設 定 ] を [ 許 可 ] に 設 定 します b [ プロファイル 設 定 ] 以 下 で [ アンチウイルス ] [ アンチスパイウェア ] [ 脆 弱 性 防 御 ] のデフォルト プロファイルを 関 連 付 けます c [ その 他 の 設 定 ] セクションで [ サーバー レスポン ス 検 査 の 無 効 化 ] を 選 択 します この 設 定 により サーバー 側 レスポンスのアンチウイルスおよびアン チスパイウェアのスキャンが 無 効 になり ファイア ウォールの 負 荷 が 軽 減 されます 60 スタート ガイド

63 ペリメータ セキュリティの 確 立 基 本 的 なセキュリティ ポリシーのセットアップ 基 本 的 なセキュリティ ルールの 定 義 ( 続 き) ステップ 5 DMZ サーバーがインターネット から 更 新 や 修 正 プログラムを 入 手 できるようにします たとえ ば Microsoft Update サービスを 許 可 します ゾーン : DMZ から Untrust 1. 新 しいルールを 追 加 し 分 かりやすい 名 前 をつけます 2. [ 送 信 元 ゾーン ] を [DMZ] に 設 定 します 3. [ 宛 先 ゾーン ] を [Untrust] に 設 定 します 4. アプリケーション グループを 作 成 し 許 可 するアプリ ケーションを 指 定 します この 例 では Microsoft Updates (ms-updates) と DNS を 許 可 します 5. [ サービス ] を [application-default] に 設 定 します こ れにより これらのアプリケーションに 関 連 付 けられ た 標 準 ポートを 使 用 するアプリケーションのみをファ イアウォールで 許 可 できます 6. [ アクション 設 定 ] を [ 許 可 ] に 設 定 します 7. [ プロファイル 設 定 ] 以 下 で [ アンチウイルス ] [ アン チスパイウェア ] [ 脆 弱 性 防 御 ] のデフォルト プロファ イルを 関 連 付 けます ステップ 6 デバイスで 実 行 中 の 設 定 に 対 す るポリシーを 保 存 します [Commit] をクリックします スタート ガイド 61

64 基 本 的 なセキュリティ ポリシーのセットアップ ペリメータ セキュリティの 確 立 セキュリティ ポリシーのテスト 基 本 ポリシーを 効 果 的 に 設 定 できていることを 確 認 するために セキュリティ ポリシーが 評 価 されているかどうかテストし どのセキュリティ ルールがトラフィック フローに 適 用 されてい るかを 判 断 します. ポリシーとフローの 一 致 を 確 認 する フローと 一 致 するポリシー ルールを 確 認 するには 次 の CLI コマンドを 使 用 し ます test security-policy-match source <IP アドレス > destination <IP アドレ ス > destination port < ポート 番 号 > protocol < プロトコル 番 号 > この CLI コマンドで 指 定 する 送 信 元 と 宛 先 の IP アドレスに 最 も 一 致 するルール が 出 力 されます たとえば IP アドレスが の DMZ サーバー から Microsoft Update サーバーにアクセスする 場 合 こ の DMZ サーバーに 適 用 されるポリシー ルールを 確 認 するには 次 のコマンドを 実 行 します test security-policy-match source destination destination-port 80 protocol 6 "Updates-DMZ to Internet" { from dmz; source any; source-region any; to untrust; destination any; destination-region any; user any; category any; application/service[ dns/tcp/any/53 dns/udp/any/53 dns/udp/any/5353 ms-update/tcp/any/80 ms-update/tcp/any/443]; action allow; terminal yes; ネットワーク 上 のトラフィックのモニタリング 基 本 セキュリティ ポリシーの 配 置 はこれで 完 了 です 次 に アプリケーション コマンド セン ター (ACC) の 統 計 およびデータ トラフィック ログ および 脅 威 のログをレビューしてネット ワークの 動 向 を 観 察 し より 詳 細 なポリシーを 作 成 する 必 要 のある 場 所 を 特 定 します ポートまたはプロトコルを 使 用 してアプリケーションを 識 別 する 従 来 のファイアウォールとは 異 なり Palo Alto Networks のファイアウォールでは アプリケーション シグネチャ (App-ID テク ノロジー) を 利 用 してアプリケーションをモニタリングします アプリケーション シグネチャは 一 意 のアプリケーション プロパティと 関 連 するトランザクションの 特 性 ポートまたはプロト コルの 組 み 合 わせに 基 づいています そのため トラフィックで 正 しいポート / プロトコルが 使 用 されていても アプリケーション シグネチャが 一 致 しない 場 合 は ファイアウォールにより コンテンツへのアクセスが 拒 否 されます この 機 能 により アプリケーションの 一 部 は 許 可 し 同 じアプリケーション 内 の 機 能 の 一 部 をブロックまたは 制 限 するなど 安 全 にアプリケーション を 実 行 できます たとえば アプリケーションの Web 参 照 を 許 可 すると ユーザーはインター ネット 上 のコンテンツにアクセスできます 次 に ユーザーが Facebook に 移 動 してから Facebook の Scrabble をプレイすると ファイアウォールがアプリケーションのシフトを 識 別 し Facebook と Scrabble を それぞれ 個 別 に 認 識 します そのため Facebook アプリケーションをブロックす る 特 定 のルールを 作 成 すると ユーザーは Scrabble へのアクセスが 拒 否 されますが Facebook に はアクセスできます 62 スタート ガイド

65 ペリメータ セキュリティの 確 立 基 本 的 なセキュリティ ポリシーのセットアップ ネットワーク 上 のトラフィックをモニタリングするには 次 の 手 順 を 実 行 します ACC で 使 用 頻 度 が 最 も 高 いアプリケーションと リスクの 高 いネットワーク アプリケーション をレビューします ACC では ログ 情 報 をグラフィカルに 要 約 され ネットワークを 通 過 す るアプリケーションと それらを 使 用 する (User-ID が 有 効 な ) ユーザー およびコンテンツ の 潜 在 的 なセキュリティへの 影 響 が 強 調 表 示 されるため ネットワークの 状 況 をリアルタイ ムに 識 別 できます この 情 報 を 利 用 して 不 要 なアプリケーションをブロックしながら 安 全 にアプリケーションを 許 可 し 有 効 にする 適 切 なセキュリティ ポリシーを 作 成 できます ネットワーク セキュリティ ルールのどの 部 分 を 更 新 / 修 正 し 変 更 を 適 用 する 必 要 があるか を 判 断 します 例 : スケジュール ユーザー またはグループに 基 づいて コンテンツを 許 可 するかどうかを 評 価 し ます 特 定 のアプリケーションまたはアプリケーション 内 の 機 能 を 許 可 または 制 御 します コンテンツを 復 号 化 して 検 査 します 脅 威 や 悪 用 をスキャンしてからコンテンツを 許 可 します セキュリティ ポリシーをさらに 細 かく 設 定 し カスタム セキュリティ プロファイルを 関 連 付 け る 方 法 の 詳 細 は 脅 威 からのネットワークの 防 御 を 参 照 してください [Monitor] > [ ログ ] の 順 に 選 択 し トラフィックおよび 脅 威 のログを 表 示 します トラフィックのログは セキュリティ ポリシーの 定 義 およびログ トラフィックの 設 定 の 方 法 により 異 なります ただし ACC タブでは ポリシーの 設 定 に 関 係 なく アプリケーションおよび 統 計 情 報 が 記 録 されます つまり ネットワークで 許 可 さ れているすべてのトラフィックが 表 示 されるため ポリシーで 許 可 されている ゾーン 間 トラフィックと 暗 黙 のうちに 許 可 されているゾーン 内 トラフィックの 両 方 が 含 まれています URL フィルタリング ログをレビューして アラートおよび 拒 否 されたカテゴリ /URL をス キャンします URL ログを 生 成 するには URL プロファイルをセキュリティ ルールに 関 連 付 けて アクションを alert ( アラート ) continue ( 継 続 ) override ( オーバーライド ) また は block ( ブロック ) に 設 定 する 必 要 があります スタート ガイド 63

66 基 本 的 なセキュリティ ポリシーのセットアップ ペリメータ セキュリティの 確 立 64 スタート ガイド

67 3 脅 威 からのネットワークの 防 御 この 章 では Palo Alto Networks の 脅 威 防 御 の 機 能 と 各 機 能 を 設 定 するために 必 要 な 初 期 ステッ プについて 説 明 します この 章 は 以 下 のセクションで 構 成 されています 脅 威 防 御 の 概 要 セキュリティ ゾーン セキュリティ ポリシー 復 号 ポリシーについて 脅 威 防 御 機 能 のライセンス セキュリティ ポリシーについて セキュリティ プロファイルとセキュリティ ポリシーのセットアップ スタート ガイド 65

68 脅 威 防 御 の 概 要 脅 威 からのネットワークの 防 御 脅 威 防 御 の 概 要 Palo Alto Networks の 次 世 代 ファイアウォールにはユニークな 独 特 の 脅 威 防 御 機 能 が 組 み 込 まれてお り この 機 能 により 回 避 トンネリング または 迂 回 技 法 に 関 係 なく すべてのポートおよびト ラフィックでの 攻 撃 からネットワークを 保 護 することができます 脅 威 防 御 機 能 には アンチウィ ルス アンチスパイウェア 脆 弱 性 防 御 URL フィルタリング ファイル ブロッキング データ フィルタリングなどがあります サービス 拒 否 (DoS) 防 御 およびゾーン プロテクションについて も この 章 で 取 り 上 げます アプリケーションを 識 別 する(App-ID) 機 能 とユーザー / グループ 情 報 を 識 別 する(User-ID) 機 能 により 環 境 内 で 使 用 されるさまざまな 組 織 とアプリケーションに 基 づいて 脅 威 防 御 機 能 とセ キュリティポリシーを 設 定 できます 特 に アンチウィルス ファイル ブロッキング およびデー タ フィルタリングの 各 プロファイルを 設 定 するときに 分 析 すべきアプリケーションを 決 定 してか ら 特 定 のユーザー グループに 基 づいてそのポリシーをセキュリティ ポリシーに 適 用 することが できます たとえば 所 定 の 部 門 が 信 頼 された Web アプリケーションを 使 用 する 場 合 そのアプリ ケーションではアンチウィルスとファイル ブロッキングの 機 能 をオフにすることもできます ファイル ブロッキング 機 能 の 一 部 として ファイルを 分 析 して 未 知 のマルウェアを 探 し 出 すサンド ボックス 環 境 にファイアウォールが 添 付 ファイルを 転 送 できるようにする WildFire サービスを 実 装 することも 可 能 です WildFire システムが 新 しいマルウェアを 検 出 すると マルウェアのシグネチャ が 自 動 的 に 生 成 され 24 ~ 48 時 間 以 内 にアンチウィルスのシグネチャのダウンロードに 組 み 込 ま れます WildFire ライセンスの 加 入 者 は 30 分 間 隔 でシグネチャを 受 信 します ファイアウォールを 通 過 する SSL および SSH トラフィックは 暗 号 化 されるため このタイプのトラ フィックを 検 査 / フィルタリングするために 復 号 ポリシーを 設 定 できます これによりファイア ウォールでは SSL トラフィックの 復 号 化 脅 威 があるかどうかのスキャン または URL カテゴリ (URL フィルタリング)やアプリケーション(App-ID)に 基 づいたトラフィックのフィルタリング を 行 ってから トラフィックがファイアウォールを 出 ていく 前 に 再 暗 号 化 することができます SSH トラフィックに 対 しては 管 理 者 は SSH トンネル トラフィックに 対 してポリシーベースの 識 別 お よび 制 御 を 実 行 できます SSH 内 でのポート 転 送 または X11 転 送 を SSH トンネルとして 検 出 して 中 間 者 攻 撃 に 近 い 技 法 を 使 って 標 準 シェル SCP および SFTP のリモート マシンへの SSH アクセ スと 区 別 することができます デフォルトでは SSH 制 御 は 無 効 です ゾーン:Trust 脅 威 防 御 ゾーン:Untrust アンチウイルス アンチスパイウェア 脆 弱 性 防 御 URL フィルタリング ファイル ブロッキング WildFire データ フィルタリング 66 スタート ガイド

69 脅 威 からのネットワークの 防 御 脅 威 防 御 の 概 要 Palo Alto Networks 製 品 で 識 別 可 能 な 脅 威 およびアプリケーションについての 詳 細 は 以 下 のリン ク 先 にアクセスしてください Applipedia Palo Alto Networks で 識 別 できるアプリケーションについて 詳 細 に 説 明 しています Threat Vault Palo Alto Networks 製 品 で 識 別 可 能 な 脅 威 の 一 覧 が 掲 載 されています 脆 弱 性 スパイウェア またはウィルスを 条 件 にして 検 索 できます 脅 威 についての 詳 細 は ID 番 号 の 横 にある 詳 細 アイコンをクリックしてください 以 下 のセクションでは Palo Alto Networks 脅 威 防 御 機 能 のコンポーネントについて 説 明 します これらの 機 能 を 使 用 し 始 めるのに 役 立 つ 設 定 例 については 78 ページの セキュリティ プロファイ ルとセキュリティ ポリシーのセットアップ を 参 照 してください セキュリティ ゾーン セキュリティ ポリシー 復 号 ポリシーについて 脅 威 防 御 機 能 を 適 用 できるようにするには まず ゾーンおよびセキュリティ ポリシーを 設 定 する 必 要 があります セキュリティ ゾーンは 1 つ 以 上 の 送 信 元 インターフェイスまたは 宛 先 イン ターフェイスを 識 別 します セキュリティ ポリシーを 設 定 する 場 合 には ゾーンによって 表 さ れる 送 信 元 と 宛 先 に 基 づいてポリシーを 作 成 する 必 要 があります たとえば インターネットに 接 続 されたインターフェイスは 一 般 に 信 頼 されないゾーンであり 内 部 ネットワークに 接 続 され たインターフェイスは 信 頼 されるゾーンになります セキュリティ ポリシーでは トラフィッ ク 属 性 (たとえば アプリケーション 送 信 元 セキュリティ ゾーンと 宛 先 セキュリティ ゾーン 送 信 元 アドレスと 宛 先 アドレス HTTP などのアプリケーション サービス)に 基 づいて 新 しい ネットワーク セッションのブロックまたは 許 可 を 決 定 します セキュリティ ポリシーが 設 定 さ れたら セキュリティ プロファイルを 作 成 してセキュリティ ポリシーに 適 用 し 脅 威 から 保 護 したり URL フィルタリングを 適 用 したり ファイル ブロッキングを 有 効 にしたりします SSH や SSL によって 暗 号 化 されたトラフィック 内 の 脅 威 をフィルタリングまたはスキャンする には ゾーンに 適 用 され 所 定 のポリシーに 一 致 するすべてのトラフィックを 復 号 化 する 復 号 ポ リシーを 設 定 する 必 要 があります 詳 細 については 77 ページの 復 号 ポリシーと 復 号 プロファイ ル を 参 照 してください ゾーンおよびポリシーの 詳 細 については 次 のセクションを 参 照 してください 47 ページの インターフェイスおよびゾーンの 設 定 57 ページの 基 本 的 なセキュリティ ポリシーのセットアップ スタート ガイド 67

70 脅 威 防 御 機 能 のライセンス 脅 威 からのネットワークの 防 御 脅 威 防 御 機 能 のライセンス 以 下 のセクションでは 脅 威 防 御 機 能 を 利 用 するために 必 要 なライセンスと アクティベーション 処 理 について 説 明 します 脅 威 防 御 のライセンスについて ライセンスの 取 得 とインストール 脅 威 防 御 のライセンスについて 以 下 に さまざまな 脅 威 防 御 関 連 のライセンス 情 報 を 示 します 脅 威 防 御 アンチウィルス アンチスパイウェア および 脆 弱 性 防 御 機 能 を 提 供 します URL フィルタリング サポートされている URL フィルタリング データベース(PAN-DB ま たは BrightCloud)のいずれかのサブスクリプションを 購 入 してインストールすることで URL カテゴリに 基 づいたポリシー ルールを 作 成 できるようになります Palo Alto Networks PAN-DB 機 能 をアクティベーションする 場 合 は まずライセンスをインストールし [PAN-DB URL フィルタリング ] セクションで 初 期 シード データベースをダウンロードして 取 得 し そ れからアクティベーションします WildFire WildFire 機 能 ( 分 析 のためにサンプルを 送 信 し 分 析 結 果 を 受 信 )は 標 準 機 能 の 一 部 として 組 み 込 まれています WildFire を 使 用 して 検 出 されたマルウェアのアンチウィ ルス シグネチャ 更 新 を 受 信 するためには 脅 威 防 御 サブスクリプションが 必 要 です WildFire サブスクリプション サービスでは より 迅 速 なセキュリティが 必 要 な 組 織 を 対 象 に 提 供 され るもので 1 時 間 以 内 の 間 隔 での WildFire シグネチャ 更 新 WildFire サーバーからのログのダ ウンロード および WildFire REST API を 使 用 したファイルのアップロードが 可 能 になります ライセンスの 取 得 とインストール ライセンスを 購 入 するには Palo Alto Networks の 販 売 部 門 にお 問 い 合 わせください ライセンス を 取 得 したら [Device] > [ ライセンス ] の 順 に 移 動 します ライセンスの 受 け 取 り 方 法 に 応 じて 以 下 のタスクを 実 行 できます ライセンス サーバーからライセンス キーを 取 得 ライセンスがサポート ポータルでアク ティベーションされている 場 合 は このオプションを 使 用 します 認 証 コードを 使 用 した 機 能 のアクティベーション このオプションを 選 択 し 購 入 したサブ スクリプションを 有 効 にします 該 当 の 認 証 コードがサポート ポータルで 以 前 にアクティ ベーションされていないことが 前 提 になります ライセンス キーの 手 動 アップロード デバイスから Palo Alto Networks サポート サイトへの 接 続 が 確 立 されていない 場 合 は このオプションを 使 用 します この 場 合 は インターネッ トに 接 続 されたコンピュータでサポート サイトからライセンス キーをダウンロードしてか ら そのデバイスにアップロードする 必 要 があります ファイアウォールでのライセンスの 登 録 およびアクティベーションについての 詳 細 は 12 ページ の ファイアウォール サービスのアクティベーション を 参 照 してください 68 スタート ガイド

71 脅 威 からのネットワークの 防 御 セキュリティ ポリシーについて セキュリティ ポリシーについて セキュリティ プロファイルを 使 用 して セキュリティ ポリシーに 保 護 機 能 を 追 加 します たと えば アンチウィルス プロファイルをセキュリティ ポリシーに 適 用 し そのセキュリティ ポリ シーと 一 致 するすべてのトラフィックにウィルスが 存 在 しないかどうかスキャンすることがで きます これらの 機 能 を 使 用 し 始 めるときに 役 立 つ 基 本 設 定 の 例 については 78 ページの セキュリティ プロファイルとセキュリティ ポリシーのセットアップ を 参 照 してください 次 の 表 に セキュリティ ポリシーに 適 用 可 能 なセキュリティ プロファイルの 概 要 および DoS プロファイルとゾーン プロテクション プロファイルの 基 本 的 な 説 明 を 示 します 脅 威 防 御 機 能 アンチウイルス 説 明 ウィルス ワーム トロイの 木 馬 およびスパイウェアのダウンロードから 保 護 します Palo Alto Networks アンチウィルス ソリューションでは パケットを 最 初 に 受 信 する 瞬 間 にトラフィックを 検 査 するストリームベースのマルウェ ア 防 御 エンジンを 使 用 して ファイアウォールのパフォーマンスに 大 きな 影 響 を 与 えることなくクライアントを 保 護 することができます この 機 能 では 実 行 ファイル PDF ファイル HTML ウィルス および JavaScript ウィルスに 含 まれるさまざまなマルウェアをスキャンし 内 部 の 圧 縮 ファイルとデータ エン コード スキームのスキャンもサポートしています 復 号 化 されたコンテンツの スキャンは ファイアウォールでの 復 号 化 を 有 効 にすることによって 実 行 でき ます デフォルト プロファイルでは ウィルスが 含 まれていないかどうかについてリ ストにあるプロトコル ディテクタすべてを 検 査 し FTP HTTP および SMB プロトコルの 場 合 にはブロックし SMTP IMAP および POP3 プロトコルの 場 合 にはアラートを 生 成 します カスタマイズしたプロファイルを 使 用 して 信 頼 されたセキュリティ ゾーン 間 のトラフィックに 対 するアンチウィルスの 検 査 を 最 小 限 に 抑 え インターネットなどの 信 頼 されていないゾーンから 受 信 したトラフィックや サーバー ファームなどの 機 密 性 の 高 い 宛 先 に 送 信 される トラフィックの 検 査 を 最 大 化 することもできます Palo Alto Networks WildFire システムは 他 のアンチウィルス ソリューションに よってまだ 検 出 されていない 可 能 性 がある 脅 威 のシグネチャも 生 成 できます WildFire によって 脅 威 が 検 出 されると シグネチャが 素 早 く 作 成 され 脅 威 防 御 ライセンスの 加 入 者 は 毎 日 (WildFire ライセンスの 加 入 者 の 場 合 は 1 時 間 以 内 の 間 隔 で)ダウンロードされる 標 準 のアンチウィルス シグネチャに 組 み 込 ま れます スタート ガイド 69

72 セキュリティ ポリシーについて 脅 威 からのネットワークの 防 御 脅 威 防 御 機 能 アンチスパイウェア 脆 弱 性 防 御 説 明 侵 入 されたホストのスパイウェアから 外 部 指 揮 統 制 (C2)サーバーに 対 する phone-home 通 信 またはビーコン 通 信 の 試 みをブロックします ゾーン 間 では さまざまなレベルで 保 護 機 能 を 適 用 できます たとえば 信 頼 されたゾーン 間 での 検 査 を 最 小 限 に 抑 えるカスタム アンチスパイウェア プロファイルを 作 成 する 一 方 で インターネット 側 ゾーンなどの 信 頼 されないゾーンから 受 信 する トラフィックでの 検 査 を 最 大 化 することができます アンチスパイウェアをセキュリティ ポリシーに 適 用 するときには 2 つの 事 前 定 義 プロファイルのどちらかを 選 択 できます デフォルト デフォルト プロファイルは シグネチャの 作 成 時 に Palo Alto Networks によって 指 定 される シグネチャごとのデフォルトのア クションを 使 用 します ストリクト ストリクト プロファイルは シグネチャ ファイルで 定 義 されているアクションに 関 係 なく 重 大 度 が critical high お よび medium の 脅 威 のアクションがすべてブロックになります 重 大 度 が medium および informationl のシグネチャの 場 合 にはデフォル ト アクションが 実 行 されます PAN-OS 5.0 では DNS に 基 づいた 新 しい 形 式 のアンチスパイウェア シグネチャ が 導 入 されました これらのシグネチャは マルウェアに 関 連 付 けられている ホスト 名 の 特 定 の DNS クエリを 検 出 します これらのシグネチャはアンチウィ ルス 更 新 の 一 部 として 毎 日 ダウンロードされますが 新 しい [DNS シグネチャ ] タブを 介 してアンチスパイウェア プロファイルで 設 定 されます アンチスパイウェア プロファイルと 脆 弱 性 防 御 プロファイルは 同 様 の 方 法 で 設 定 されます アンチスパイウェアの 主 な 目 的 は 感 染 したクライアントから 出 てネットワークを 出 ていく 悪 意 のあるトラフィックを 検 出 することである のに 対 し 脆 弱 性 防 御 ではネットワークに 入 ってくる 脅 威 を 防 御 します システムの 弱 点 を 悪 用 したり システムへの 不 正 アクセスを 試 みる 行 為 を 防 止 します たとえばこの 機 能 は バッファ オーバーフロー 不 正 なコード 実 行 およびシステムの 脆 弱 性 を 悪 用 するその 他 の 試 みからシステムを 防 御 します デフォルトの 脆 弱 性 防 御 プロファイルでは 重 大 度 が critical high およ び medium のすべての 既 知 の 脅 威 からクライアントとサーバーを 保 護 します また 特 定 のシグネチャに 対 するレスポンスの 変 更 を 許 可 する 例 外 を 作 成 する こともできます アンチスパイウェア プロファイルと 脆 弱 性 防 御 プロファイルは 同 様 の 方 法 で 設 定 されます 脆 弱 性 防 御 の 主 な 目 的 は ネットワークに 入 る 悪 意 のあるトラ フィックを 検 出 することであるのに 対 し アンチスパイウェア 防 御 ではネット ワークを 出 ていく 脅 威 から 防 御 します 70 スタート ガイド

73 脅 威 からのネットワークの 防 御 セキュリティ ポリシーについて 脅 威 防 御 機 能 URL フィルタリング 説 明 特 定 の Web サイトおよび Web サイト カテゴリへのアクセスを 制 限 します た とえば Adult Shopping Gambling などにカテゴリ 分 けされたサイトを 制 限 できます Palo Alto Networks PAN-DB URL データベース(PAN-OS 5.0 現 在 ) または BrightCloud データベースを 設 定 できます PAN-DB は Palo Alto Networks が 開 発 した URL フィルタリング エンジンです PAN-DB を 使 用 すると マスター データベースへのクエリにはクラウド 検 索 が 使 用 され 最 も 頻 繁 にアクセスされる URL をキャッシュとして 保 存 すること で デバイスのパフォーマンスが 最 適 化 されます デバイスとクラウドはリアル タイムで 同 期 されるため 更 新 を 取 得 するための 定 期 的 なデータベース ダウン ロードは 不 要 になります カテゴリは PAN-DB の 場 合 には Palo Alto Networks によって BrightCloud DB の 場 合 には BrightCloud によって 事 前 定 義 されます URL の 再 カテゴリ 分 けは 指 定 されたサイトのログの 詳 細 に 移 動 して [ 分 類 の 変 更 要 求 ] リンクをクリッ クすることにより URL フィルタリング ログから 直 接 要 求 できます また PAN-DB の 場 合 には Test A Site Web サイトを BrightCloud の 場 合 には URL/IP Lookup サイトを 使 用 することもできます PAN-DB のワークフロー トラブルシューティング およびインストールの 詳 細 は URL Filtering (PAN-DB) Tech Note を 参 照 してください 次 の 図 は PAN-DB URL フィルタリング 機 能 のワークフローを 示 しています スタート ガイド 71

74 セキュリティ ポリシーについて 脅 威 からのネットワークの 防 御 脅 威 防 御 機 能 説 明 ファイル ブロッキング 指 定 されたアプリケーションおよび 方 向 で 指 定 されたファイル タイプをブ ロックします アップロードまたはダウンロードでアラート 送 信 またはブロッ クするプロファイルを 設 定 し ファイル ブロッキング プロファイルの 適 用 対 象 となるアプリケーションを 指 定 できます また 指 定 したファイル タイプの ダウンロードをユーザーが 試 みるときに 表 示 される カスタム ブロック ペー ジを 設 定 することもできます これによりユーザーは ファイルをダウンロー ドするかどうか 考 える 時 間 を 持 つことができます 指 定 したファイルが 検 出 されたときの 対 応 として 以 下 のアクションを 設 定 で きます alert 指 定 したファイル タイプが 検 出 されると データ フィルタリング ロ グでログが 生 成 されます block 指 定 したファイル タイプが 検 出 されると そのファイルはブロック され ユーザーに 対 してカスタマイズ 可 能 なブロック ページが 表 示 されま す データ フィルタリング ログでログも 生 成 されます continue 指 定 したファイル タイプが 検 出 されると ユーザーに 対 してカ スタマイズ 可 能 な 続 行 ページが 表 示 されます ユーザーはページをクリックス ルーしてファイルをダウンロードすることができます データ フィルタリン グ ログでログも 生 成 されます forward 指 定 したタイプが 検 出 されると ファイルが WildFire に 送 信 され て 分 析 されます データ フィルタリング ログでログも 生 成 されます continue-and-forward 指 定 したファイル タイプが 検 出 されると ユーザー に 対 してカスタマイズ 可 能 な 続 行 ページが 表 示 されます ユーザーはページ をクリックスルーしてファイルをダウンロードすることができます ユー ザーが 続 行 ページをクリックスルーしてファイルをダウンロードすると ファイルは WildFire に 送 信 されて 分 析 されます データ フィルタリング ロ グでログも 生 成 されます 72 スタート ガイド

75 脅 威 からのネットワークの 防 御 セキュリティ ポリシーについて 脅 威 防 御 機 能 WildFire 説 明 WildFire では Palo Alto Networks クラウドベース マルウェア 分 析 セン ターにファイルを 安 全 に 送 信 することができ そこでファイルは 仮 想 サンドボックス 環 境 で 自 動 的 に 分 析 され 悪 質 な 振 る 舞 いをしないかが 検 索 されます ファイルは ファイル ブロッキング ポリシーを 使 用 す ることによってファイアウォールから 自 動 的 に 送 信 されますが WildFire ポータルから 手 動 でアップロードしたり または WildFire API(WildFire ライセンスが 必 要 )を 使 用 して 送 信 することもできます WildFire シス テムは 仮 想 環 境 でファイルを 実 行 し 重 要 なシステム ファイルの 変 更 セキュリティ 機 能 の 無 効 化 検 出 を 回 避 するためのさまざまな 方 法 の 使 用 など 多 くの 潜 在 的 にマルウェアに 関 連 する 動 作 や 手 法 を 監 視 し ます 新 しいマルウェアが 検 出 されると WildFire はアンチウィルス シ グネチャを 自 動 的 に 生 成 し 毎 日 のアンチウィルス シグネチャ 更 新 によ りそれらのシグネチャを 脅 威 防 御 サブスクリプションのあるファイア ウォールに 配 布 します WildFire ライセンス 加 入 者 の 場 合 は シグネチャ が 1 時 間 以 下 の 間 隔 で 配 信 されます WildFire サブスクリプション(PAN-OS 5.0 で 導 入 )では 以 下 の 機 能 を 利 用 できます WildFire のダイナミック 更 新 [Device] > [ ダイナミック 更 新 ] には 新 しい WildFire セクションがあります 新 しいマルウェアが 検 出 されると WildFire シグネチャが 30 分 ごとに 生 成 され ファイアウォールの WildFire 更 新 スケ ジュールは 新 しい WildFire シグネチャがあるかどうかについて または 60 ごとにポーリングするように 設 定 できます ファイアウォールに ダウンロードされる 新 しい WildFire シグネチャについては アンチウィルス プロファイルでの 通 常 のアンチウイルス シグネチャ アクションとは 別 に これらのシグネチャで 特 定 のアクションを 実 行 するようにファイアウォー ルを 設 定 できます 統 合 された WildFire ログ WildFire によってファイルがアップロードおよ び 分 析 されると 分 析 の 後 にログ データが 分 析 結 果 とともにデバイスに 返 さ れます ログは [Monitor] > [ ログ ] > [WildFire] に 書 き 込 まれます WildFire API WildFire ライセンスがあれば WildFire API にアクセスするこ とができ これにより Palo Alto Networks ファイアウォールによる 使 用 とは 別 に クラウド 内 の WildFire に 対 して 外 部 プログラムによるアクセスが 許 可 されます WildFire API は WildFire システムへのファイルの 送 信 分 析 お よび 過 去 に 送 信 されたファイルのレポートを 確 認 するために 使 用 します ファイルのアップロードは 毎 日 100 ファイルまで WildFire ポータルへのク エリは 毎 日 1,000 回 まで 実 行 できます スタート ガイド 73

76 セキュリティ ポリシーについて 脅 威 からのネットワークの 防 御 脅 威 防 御 機 能 WildFire ( 続 き) 説 明 次 の 図 は WildFire のワークフローを 示 しています データ フィルタリング クレジット カード 番 号 や 社 会 保 障 番 号 などの 機 密 情 報 が 保 護 されたネッ トワークから 出 て 行 かないよう 防 御 できます また 重 要 なプロジェクト 名 や 秘 密 の 言 葉 などのキーワードに 基 づいてフィルタリングすることも できます プロファイルの 焦 点 を 適 切 なファイル タイプに 合 わせ 誤 検 知 を 削 減 することが 重 要 です たとえば Word ドキュメントまたは Excel ス プレッドシートのみを 検 索 することができます また web-browsing トラ フィック または FTP のみをスキャンすることも 可 能 です デフォルトのプロファイルを 作 成 したり カスタム データ パターンを 作 成 したりすることができます デフォルト プロファイルには 次 の 2 つ があります CC 番 号 (クレジット カード 番 号 ) ハッシュ アルゴリズムを 使 用 し てクレジット カード 番 号 を 識 別 します データをクレジット カード 番 号 として 検 出 するには コンテンツがハッシュ アルゴリズムと 一 致 する 必 要 があります この 方 法 により 誤 検 知 が 減 少 します SSN 番 号 ( 社 会 保 障 番 号 ) フォーマットに 関 係 なく アルゴリズム を 使 用 して 9 桁 の 番 号 を 検 出 します [SSN 番 号 ] と [SSN 番 号 ( ダッ シュを 除 く )] の 2 つのフィールドがあります 特 殊 なアルゴリズムを 使 用 して 社 会 保 障 番 号 とクレジット カード 番 号 を 識 別 するファイアウォールに 加 えて Regex フィールドでカスタム パ ターンを 使 用 してキーワードを 定 義 することもできます カスタム パ ターンは confidential のような 単 語 になります 74 スタート ガイド

77 脅 威 からのネットワークの 防 御 セキュリティ ポリシーについて 脅 威 防 御 機 能 説 明 データ フィルタリング ( 続 き) この 機 能 をテストするときには 社 会 保 障 番 号 とクレジット カード 番 号 で 使 用 可 能 な 有 効 な 桁 数 を 理 解 することも 重 要 です 米 国 の 社 会 保 障 番 号 は 9 桁 で 最 初 の 3 桁 は 666 を 除 く 001 ~ 772 の 数 字 になります また SSN 番 号 では どの 桁 セットであっても すべて 0 にすることはできませ ん たとえば は 無 効 な SSN です テストの 場 合 は 実 際 の 社 会 保 障 番 号 を 使 用 するのが 最 善 です また カスタム データ パターン の 定 義 では パターンの 大 文 字 と 小 文 字 を 区 別 します クレジット カード 番 号 では 最 初 の 2 ~ 6 桁 を 使 用 してカード タイプを 識 別 します 可 能 な 数 字 の 数 は 多 くありません また 番 号 の 長 さはさ まざまです たとえば American Express の 番 号 は 34 または 37 で 始 まる 15 桁 であるのに 対 し Visa カードの 番 号 は 4 で 始 まる 13 または 16 桁 です 重 み 値 としきい 値 フィルタリングしようとする 条 件 の 適 切 なしきい 値 を 設 定 するには オブジェ クト(SSN CC 番 号 パターン)の 重 みの 計 算 方 法 を 理 解 することが 重 要 で す アクションしきい 値 (アラートまたはブロック)に 到 達 するまで 各 値 に 重 み 値 を 乗 算 して 合 計 されます 例 1 簡 単 に 説 明 するため 社 会 保 障 番 号 (SSN)が 書 き 込 まれているファイルをフィ ルタリングし [SSN 番 号 ] の 重 みを 3 と 定 義 するとします 使 用 する 式 は SSN の 各 インスタンス x 重 み = しきい 値 と 比 較 する 値 です このとき Word ドキュメントに 10 件 社 会 保 障 番 号 がある 場 合 は その 件 数 に 重 みの 3 を 乗 算 (10 x 3)して 30 となります よって 10 件 の 社 会 保 障 番 号 を 含 んだファイル でアクションを 起 こすには しきい 値 を 30 に 設 定 することになります この 場 合 は アラートは 30 で ブロックは 60 で 実 行 されるように 設 定 することがで きます また ダッシュを 含 まない 社 会 保 障 番 号 の [SSN 番 号 ( ダッシュを 除 く )] フィールドで 重 みを 設 定 することもできます 複 数 の 設 定 を 使 用 する 場 合 は 指 定 されたしきい 値 になるまで 累 積 されます 例 2 この 例 では 社 会 保 障 番 号 とカスタム パターン confidential を 含 むファイルで フィルタリングします 言 い 換 えると ファイルに confidential という 単 語 に 加 えて 社 会 保 障 番 号 が 書 き 込 まれており それらの 項 目 の 合 計 インスタンス 数 がしきい 値 に 到 達 すると アクション 設 定 に 応 じて そのファイルでアラー トまたはブロックがトリガーされます SSN 番 号 の 重 み = 3 カスタム パターン confidential の 重 み = 20 注 : カスタム パターンでは 大 文 字 と 小 文 字 が 区 別 されます ファイルに 20 件 の 社 会 保 障 番 号 が 含 まれ 重 みが 3 に 設 定 されている 場 合 値 は 20 x 3 = 60 となります そのファイルに confidential という 単 語 のインスタン スが 1 つ 含 まれ 重 みが 20 に 設 定 されている 場 合 は 値 が 1 x 20 = 20 で 合 計 で 80 となります ブロックのしきい 値 が 80 に 設 定 されていれば このシナリ オの 場 合 にはファイルがブロックされます アラートまたはブロック アクション は しきい 値 に 到 達 するとすぐにトリガーされます スタート ガイド 75

78 セキュリティ ポリシーについて 脅 威 からのネットワークの 防 御 脅 威 防 御 機 能 説 明 DoS 防 御 プロファイル サービス 拒 否 (DoS) 防 御 ポリシーの 詳 細 を 制 御 できます DoS ポリシーでは インターフェイス ゾーン アドレス 国 に 対 するセッション 数 を セッション 総 数 送 信 元 IP アドレスおよび 宛 先 IP アドレス 毎 に 基 いて 制 御 できます Palo Alto Networks のファイアウォールでサポートされる DoS 防 御 メカニズムは 次 の 2 つです フラッド 防 御 パケットがフラッドされたために 各 要 求 に 応 答 できな いハーフオープン セッションまたはサービスの 数 が 非 常 に 多 くなった ネットワークにおいて 攻 撃 を 検 出 および 防 御 します この 場 合 攻 撃 の 送 信 元 アドレスは 通 常 スプーフされます リソース 保 護 セッション 消 耗 攻 撃 を 検 出 および 防 御 します このタ イプの 攻 撃 では 大 量 数 のホスト(ボット)を 使 用 して 完 全 に 確 立 さ れたセッションを 可 能 な 限 り 多 く 確 立 し システム リソースのすべて を 消 費 します これら 両 方 の 防 御 メカニズムは 1 つの DoS プロファイルで 定 義 できます DoS プロファイルを 使 用 して 実 行 するアクションのタイプと DoS ポリシーの 照 合 基 準 の 詳 細 を 指 定 します DoS プロファイルでは SYN UDP および ICMP フラッドの 設 定 項 目 を 定 義 し リソースの 保 護 を 有 効 にし 最 大 同 時 接 続 数 を 定 義 します DoS 防 御 プロファイルを 設 定 したら DoS ポリシーに 適 用 します DoS 防 御 の 設 定 時 には 適 正 なしきい 値 を 設 定 するため 使 用 環 境 を 分 析 することが 重 要 です また DoS 防 御 ポリシーの 定 義 にはいくつかの 複 雑 な 設 定 が 関 係 しているため このガイドでは 詳 細 な 例 は 示 しませ ん 詳 細 については Palo Alto Networks 管 理 者 ガイド または Threat Prevention Tech Note を 参 照 してください ゾーン プロテクション ゾーンを 攻 撃 から 保 護 するため 特 定 のネットワーク ゾーン 間 の 防 御 を 強 化 します プロファイルはゾーン 全 体 に 適 用 する 必 要 があるため 各 ゾーンを 通 過 する 通 常 のトラフィックによって 問 題 が 発 生 しないよう にするため 慎 重 にプロファイルをテストすることが 重 要 です ゾーン プロテクション プロファイルにパケット / 秒 (pps) のしきい 値 制 限 を 定 義 する 場 合 しきい 値 は 以 前 に 確 立 したセッションと 一 致 しないパケッ ト / 秒 を 基 にしています このガイドでは 詳 細 な 例 は 示 しません 詳 細 については Palo Alto Networks 管 理 者 ガイド または Threat Prevention Tech Note を 参 照 してく ださい 76 スタート ガイド

79 脅 威 からのネットワークの 防 御 セキュリティ ポリシーについて 復 号 ポリシーと 復 号 プロファイル 復 号 ポリシーでは セキュリティ ポリシーでのトラフィックの 復 号 化 を 設 定 します ポリシー 毎 に 復 号 するトラフィックの URL のカテゴリを 指 定 することもできます SSH 復 号 化 は SSH 内 でのポート 転 送 または X11 転 送 を SSH トンネルとして 検 出 するために 使 用 されるのに 対 し 標 準 シェル SCP および SFTP のリモート マシンへのアクセスは SSH として 報 告 されます SSL トラフィックでは 復 号 化 された 通 信 に 対 して App-ID や アンチウイルス 脆 弱 性 アンチス パイウェア URL フィルタリング およびファイル ブロッキングの 各 プロファイルが 適 用 され て トラフィックがデバイスを 出 るときに 再 暗 号 化 されます 接 続 中 はクライアントとサーバー 間 でエンドツーエンドのセキュリティが 保 持 され ファイアウォールは 信 頼 されたサード パー ティとして 機 能 します 復 号 化 されたトラフィックはデバイスに 残 りません 復 号 プロファイルにより ファイアウォールでは SSL フォワード プロキシ SSL インバウンド インスペクション および SSH トラフィックのさまざまな 側 面 をブロックまたは 制 御 すること ができます 復 号 プロファイルを 使 用 して サーバー 証 明 書 のチェックなどのチェック 処 理 を 実 行 し 証 明 書 が 期 限 切 れのセッションをブロックできます 実 行 可 能 なすべてのチェックの 一 覧 については Palo Alto Networks 管 理 者 ガイド のセクション 復 号 プロファイル 設 定 を 参 照 してください 復 号 化 を 設 定 するときには 一 定 のタイプの Web サイトを 除 外 することができます たとえば 財 務 や 保 健 および 医 療 のサイトのトラフィックは 復 号 しないようにすることができます 一 部 のアプリケーションは ファイアウォールによって 復 号 化 されていると 正 常 に 機 能 しません そのようなアプリケーションの 一 覧 については ナレッジ ベースの 記 事 SSL 復 号 から 除 外 されるアプリケーションのリスト を 参 照 してください ま た SSL を 使 用 する Dropbox アプリケーションや Microsoft Lync などの 一 部 のネイ ティブ アプリケーションは そのアプリケーションが 自 己 署 名 証 明 書 には 存 在 しな い 特 定 の 詳 細 な 情 報 を 証 明 書 で 検 索 する 可 能 性 があるため 復 号 化 が 有 効 になって いると 障 害 が 発 生 することがあります 特 定 の URL カテゴリの 例 外 を 設 定 したり 復 号 化 が 有 効 だとアプリケーションが 正 常 に 機 能 しない 場 合 にはそのアプリケー ションの 宛 先 アドレスを 設 定 したりする 必 要 があります 例 外 は [URL カテゴリ ] タブの 復 号 ポリシーで 指 定 するか [ 宛 先 ] タブでアドレスを 定 義 して 復 号 化 なしに 設 定 した 新 しい 復 号 ポリシーを 作 成 することによって 設 定 できます リストでは 必 ず 復 号 なしポリシーが 復 号 ポリシーより 前 になるようにしてください 復 号 プロファイルを 作 成 したら そのプロファイルを 復 号 ポリシーに 適 用 できます また ファ イアウォールで 定 義 されているデフォルトの 信 頼 された 証 明 機 関 を 有 効 または 無 効 にすること もできます スタート ガイド 77

80 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーの セットアップ 以 下 のセクションでは 基 本 的 な 脅 威 防 御 設 定 の 例 を 示 します 復 号 ポリシーのセットアップ データ フィルタリングのセットアップ アンチウィルス アンチスパイウェア および 脆 弱 性 防 御 のセットアップ データ フィルタリングのセットアップ ファイル ブロッキングのセットアップ WildFire のセットアップ URL フィルタリングのセットアップ 復 号 ポリシーのセットアップ SSL や SSH などの 通 信 で 暗 号 化 されたトラフィック 内 の 脅 威 をフィルタリングしたり 脅 威 が 存 在 しないかどうかスキャンしたりするには 復 号 ポリシーを 設 定 する 必 要 があります この 例 で は まず 復 号 化 プロセスで 使 用 される 自 己 署 名 付 きの 信 頼 された 転 送 証 明 書 および 自 己 署 名 付 き の 信 頼 されない 転 送 証 明 書 を 作 成 します ファイアウォールで 信 頼 された 転 送 証 明 書 として 作 成 された CA 証 明 書 は ファイアウォールからエクスポートされ クライアント Web ブラウザの 信 頼 された CA リストにインポートされます これによりクライアント / ユーザーは SSL を 使 用 してアクセスされる 外 部 サイトへのフォワード プロキシとしてファイアウォールを 信 頼 できま す たとえば クライアントが SSL サイトにアクセスすると ファイアウォールはまずそのサイ トに 接 続 し 証 明 書 を 検 証 します 次 にファイアウォールは そのクライアントの 証 明 書 を 作 成 します クライアントはファイアウォールを CA として 信 頼 しているため クライアント ブラ ウザは 外 部 Web サーバーから 直 接 に 証 明 書 を 使 用 しているかのようにして 動 作 します これ によりファイアウォールでは サイトがクライアントに 表 示 される 前 に トラフィックを 復 号 化 して 検 査 できます 同 様 に 信 頼 されない 転 送 証 明 書 として 生 成 された CA 証 明 書 は ファイア ウォールが 接 続 する 先 の Web サーバーで 無 効 な 証 明 書 が 使 用 されている 場 合 に クライアント に 対 して 証 明 書 警 告 を 表 示 するために 使 用 されます このセクションでは ファイアウォールで 生 成 される 自 己 署 名 証 明 書 の 使 用 につい てのみ 説 明 し パブリック CA によって 外 部 で 署 名 された 証 明 書 や 内 部 の PKI イン フラストラクチャによって 生 成 される 証 明 書 の 使 用 については 説 明 しません 78 スタート ガイド

81 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ ここでは 復 号 化 で 必 要 な 証 明 書 のセットアップ 手 順 について 説 明 します 証 明 書 のセットアップ ステップ 1 ステップ 2 ステップ 3 新 しい CA 証 明 書 を 生 成 します 1. [Device] > [ 証 明 書 の 管 理 ] > [ 証 明 書 ] の 順 に 移 動 します 信 頼 された 証 明 書 の 転 送 により 2. ウィンドウの 下 部 にある [ 生 成 ] をクリックします ファイアウォールでは クライ 3. [ 証 明 書 名 ] に my-fwd-trust などの 名 前 を 入 力 します アントの 接 続 先 サーバーがファ イアウォールの 信 頼 された CA などの [ 共 通 名 ] を 入 力 します(これは リストに 含 まれる CA によって 証 明 書 に 表 示 される IP または FQDN です この 場 合 は 署 名 される 場 合 復 号 化 中 にクラ 信 頼 できるインターフェイスの IP を 使 用 します この イアントに 対 してその 証 明 書 を フィールドではスペースを 使 用 しないでください) 示 すことができます この 場 合 5. [ 署 名 者 ] フィールドは 空 白 のままにします は フォワード プロキシの 復 号 化 中 に 使 用 される 自 己 署 名 証 明 書 を 使 用 します 6. [ 認 証 局 ] チェック ボックスをオンにして 有 効 にします このチェック ボックスをオンにすると ファイアウォー ルで 認 証 局 (CA)が 作 成 されてクライアントのブラウ ザにインポートできるようになるため クライアントは そのファイアウォールを CA として 信 頼 できます 7. [ 生 成 ] をクリックして 証 明 書 を 生 成 します 8. 新 しい 証 明 書 my-ssl-cert をクリックして 変 更 し [ 信 頼 された 証 明 書 の 転 送 ] オプションを 有 効 にします 9. [OK] をクリックして 保 存 します 信 頼 されない 証 明 書 の 転 送 を 設 定 します 信 頼 されない 証 明 書 の 転 送 により ファイアウォールで は ファイアウォールの 信 頼 され た CA リストに 含 まれていない CA によって 署 名 された 証 明 書 を 使 用 するサイトにクライアント が 接 続 するときに 別 の 証 明 書 を 示 すことができます これによ り 無 効 な 証 明 書 を 使 用 するサイ トの 場 合 に クライアントに 証 明 書 警 告 が 表 示 されます 次 のセクションに 移 動 し SSL ア ウトバウンド 復 号 ポリシーを 作 成 します 80 ページの アウト バウンド 復 号 ポリシーのセット アップ を 参 照 してください 1. 証 明 書 ページの 下 部 にある [ 生 成 ] をクリックします 2. [ 証 明 書 名 ] に my-fwd-untrust などの 名 前 を 入 力 し ます 3. [ 共 通 名 ] を たとえば に 設 定 します [ 署 名 者 ] は 空 白 のままにします 4. [ 認 証 局 ] チェック ボックスをオンにして 有 効 にします 5. [OK] をクリックして 保 存 します 6. 新 しい my-ssl-fw-untrust 証 明 書 をクリックして 変 更 し [ 信 頼 されない 証 明 書 の 転 送 ] オプションを 有 効 に します 7. [OK] をクリックして 保 存 します 8. 各 クライアント ブラウザでは ブラウザの 信 頼 された ルート CA リストに 信 頼 された 転 送 証 明 書 をインポー トしておくことが 必 要 になります この 処 理 は 通 常 グ ループ ポリシー 等 を 使 用 して 行 われます 無 効 な 証 明 書 があるサイトについての 警 告 がクライアントに 表 示 されても 問 題 ないという 場 合 は 転 送 証 明 書 をブラウ ザにインポートする 必 要 はありません スタート ガイド 79

82 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 アウトバウンド 復 号 ポリシーのセットアップ ここでは SSL アウトバウンド 復 号 ポリシーのセットアップで 必 要 な 手 順 について 説 明 します このポリシーは フィルタを 適 用 したり 暗 号 化 されたトラフィックで 脅 威 を 識 別 したりするた め アウトバウンド トラフィックを 復 号 するときに 使 用 されます SSL アウトバウンド 復 号 ポリシーのセットアップ ステップ 1 復 号 ポリシーを 設 定 します 1. [Policies] > [ 復 号 ] の 順 に 移 動 します 2. [ 追 加 ] をクリックして すべてのトラフィックを 復 号 する 復 号 ポリシーを 設 定 します ステップ 2 復 号 オプションを 設 定 します 1. [ 全 般 ] タブで [ 名 前 ] を Decrypt_All_Traffic など に 設 定 します 2. ( 任 意 ) 任 意 の [ 内 容 ] を 入 力 します 3. ( 任 意 )[ タグ ] を 入 力 します (ポリシー タグは ポリ シーをソートまたはフィルタリングできるようにする キーワードまたはフレーズです これは 定 義 したポ リシーの 数 が 多 く 特 定 のキーワードでタグ 付 けされ ているポリシーを 表 示 するような 場 合 に 便 利 です た とえば 特 定 のセキュリティ ポリシーに Inbound to DMZ というタグを 付 けたり 復 号 ポリシーに Decrypt と No-decrypt という 語 のタグを 付 けたり 特 定 のデータ センターの 場 所 に 関 連 付 けられたポリ シーにはそのデータ センターの 名 前 を 使 用 したりする ことができます ) 4. [ 送 信 元 ] タブの [ 送 信 元 ゾーン ] で [ 追 加 ] をクリッ クし [trust] ゾーンを 選 択 します 5. [ 宛 先 ] タブの [ 宛 先 ゾーン ] で [ 追 加 ] をクリック し [untrust] ゾーンを 選 択 します 6. [URL カテゴリ ] タブで [ いずれか ] のままにする と すべてのトラフィックを 復 号 化 します プロ ファイルを 特 定 の Web サイト カテゴリに 適 用 す る 場 合 は [ 追 加 ] をクリックして URL カテゴリを 1 つ 選 択 します 特 定 のアプリケーション 通 信 に 対 する SSL 復 号 化 を 無 効 にする 場 合 は 新 しい 復 号 プロファイルを 作 成 し [ 宛 先 ] タブでそのアプリケーション サー バーの IP アドレスを 入 力 し [ オプション ] タブで [ 復 号 なし ] をオンにして [SSL フォワード プロキシ ] タイプを 選 択 する 必 要 があります この 復 号 ポリ シーは ドラッグアンドドロップにより 復 号 ポ リシー リストの 中 で 必 ず 他 の 復 号 ポリシーよりも 上 になるようにしてください 80 スタート ガイド

83 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ SSL アウトバウンド 復 号 ポリシーのセットアップ( 続 き) ステップ 2 ( 続 き) ステップ 3 復 号 オプションを 設 定 します 設 定 を [Commit] します 7. [ オプション ] タブで [ アクション ] として [ 復 号 ] を オンにし [ タイプ ] として [SSL フォワード プロキシ ] を 選 択 します 8. [ 復 号 プロファイル] の 設 定 は [None] のままにします 復 号 プロファイルにより ポリシーを 使 用 して SSL フォ ワード プロキシ SSL インバウンド インスペクション および SSH トラフィックにおける 復 号 動 作 を 細 かく 制 御 することができます 詳 細 については Palo Alto Networks 管 理 者 ガイド を 参 照 してください 9. [OK] をクリックして 保 存 します ステップ 4 これで 復 号 化 が 有 効 になります 次 に 信 頼 された 転 送 証 明 書 (この 例 では my-ssl-cert)をエ クスポートし すべてのユーザーに 配 布 して ユーザーのブラウザの 信 頼 された CA リストに その 証 明 書 を 追 加 する 必 要 があります これは 通 常 Active Directory ポリシーを 使 用 して 処 理 されます この 処 理 を 行 わない 場 合 ユーザーには アクセスする SSL サイトごとに 証 明 書 の 警 告 が 表 示 されます 設 定 をテストするには 復 号 ポリシーを 無 効 にして に 移 動 し Anti Malware Test File をダウンロードします eicar テスト ファイルとして HTTPS バー ジョンをダウンロードします マルウェアは 検 出 されません 復 号 ファイルを 有 効 にして 再 試 行 すると 今 度 はウィルスが 検 出 されるはずです スタート ガイド 81

84 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 アンチウィルス アンチスパイウェア および 脆 弱 性 防 御 のセットアップ ここでは アンチウィルス アンチスパイウェア および 脆 弱 性 防 御 のデフォルト プロファイ ルをセットアップするために 必 要 な 手 順 について 説 明 します これらの 機 能 は 使 用 目 的 が 非 常 に よく 似 ているため ここではデフォルトのプロファイルを 有 効 にするために 必 要 な 一 般 手 順 のみ を 示 します アンチスパイウェアと 脆 弱 性 防 御 のすべてのシグネチャには Palo Alto Networks に よってデフォルトのアクションが 定 義 されています デフォルトのアクションを 確 認 するには [Objects] > [ セキュリティ プロファイル ] >([ アンチスパイウェア ] または [ 脆 弱 性 防 御 ])の 順 に 選 択 し プロファイルを 選 択 します [ 例 外 ] タブを クリックして [ すべてのシグネチャの 表 示 ] をオンにすると [ アクション ] 列 にデ フォルト アクションを 表 示 したシグネチャのリストが 表 示 されます デフォルト ア クションを 変 更 するには 新 しいプロファイルを 作 成 してから デフォルト 以 外 の アクションが 設 定 されたルールを 作 成 するか プロファイルの [ 例 外 ] タブで 個 々の シグネチャ 例 外 を 追 加 します アンチウィルス / アンチスパイウェア / 脆 弱 性 防 御 のセットアップ ステップ 1 脅 威 防 御 ライセンスがあること を 確 認 します 脅 威 防 御 ライセンスでは 1 つのライセンスに アンチ ウィルス アンチスパイウェア および 脆 弱 性 防 御 の 全 機 能 をバンドルしています [Device] > [ライセンス] の 順 に 移 動 して [ 脅 威 防 御 ] ライ センスがインストールされていることを 検 証 し 有 効 期 限 を 確 認 します ステップ 2 最 新 のアンチウィルス 脅 威 シグ ネチャをダウンロードします 1. [Device] > [ ダイナミック 更 新 ] の 順 に 移 動 し ページ の 下 部 にある [ 今 すぐチェック ] をクリックして 最 新 の シグネチャを 取 得 します 2. [ アクション ] 列 で [ ダウンロード ] をクリックして 最 新 のシグネチャをインストールします このページには [ アンチウィルス ] と [ アプリケーション および 脅 威 ] のセクションが 別 々に 表 示 されます [ アンチ ウィルス ] セクションにはアンチウィルスのシグネチャが 表 示 され [ アプリケーションおよび 脅 威 ] セクションには Palo Alto Networks が 識 別 できるサポート アプリケーション とともに アンチスパイウェアと 脆 弱 性 防 御 のシグネチャ が 表 示 されます 82 スタート ガイド

85 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ アンチウィルス / アンチスパイウェア / 脆 弱 性 防 御 のセットアップ( 続 き) ステップ 3 シグネチャの 更 新 をスケジュー ルします 1. [Device] > [ ダイナミック 更 新 ] の 順 に 選 択 し [ スケ ジュール ] の 右 側 にあるテキストをクリックして [ アン チウィルス ] と [ アプリケーションおよび 脅 威 ] のシグ ネチャ 更 新 を 自 動 的 に 取 得 します 2. 更 新 の 頻 度 とタイミングを 指 定 し 更 新 ファイルをダ ウンロードしてインストールするのか またはダウン ロードのみを 行 うのかを 指 定 します [ ダウンロードの み ] をオンにする 場 合 は 定 期 的 に 手 動 でページを 開 き [ アクション ] 列 の [ インストール ] リンクをクリッ クしてシグネチャをインストールする 必 要 がありま す [OK] をクリックすると 更 新 がスケジュールされ ます コミットは 必 要 ありません 3. ( 任 意 )[ しきい 値 ] フィールドに 時 間 数 を 入 力 して ダ ウンロードが 実 行 されるまでのシグネチャの 最 小 存 続 時 間 を 指 定 することもできます たとえば 10 と 入 力 すると そのシグネチャは スケジュールに 関 係 な く ダウンロードされるまでに 少 なくとも 10 時 間 は 存 続 する 必 要 があります 4. HA 設 定 では [ ピアと 同 期 ] オプションをクリックし て ダウンロード / インストールの 後 にコンテンツ タ イプと HA ピアを 同 期 することもできます これによっ てスケジュール 設 定 がピア デバイスにプッシュされる ことはないため 各 デバイスでスケジュールを 設 定 す る 必 要 があります アンチウィルス スケジュールのベスト プラクティス アンチウィルス シグネチャの 更 新 スケジュールとして 一 般 的 な 推 奨 設 定 は アンチウィルスの 場 合 には 毎 日 アプリケーションおよび 脆 弱 性 の 場 合 には 毎 週 [download-and-install] を 実 行 することです HA 設 定 の 場 合 の 推 奨 設 定 は 次 のとおりです アクティブ / パッシブの HA アンチウィルスのシグネチャのダウンロードで MGT ポートを 使 用 する 場 合 は 両 方 のデバイスでスケジュールを 設 定 し 両 方 のデバイスが 別 々にダウンロード / インストールを 実 行 するようにしてください ダウンロードでデータ ポートを 使 用 する 場 合 パッシブ デバイスはパッシブ 状 態 になっている 間 ダウンロードを 実 行 しません この 場 合 は 両 方 のデバイスでスケジュールを 設 定 して [ ピアと 同 期 ] オプションを 選 択 します これにより どちらのデバイスがアクティブであっても 更 新 処 理 が 実 行 され パッシブ デバイスにプッシュさ れるようにします アクティブ / アクティブの HA 両 方 のデバイスでアンチウィルスのシグネチャのダウンロー ドに MGT ポートを 使 用 する 場 合 は 両 方 のデバイスでダウンロード / インストールをスケ ジュールしますが [ ピアと 同 期 ] オプションは 選 択 しません データ ポートを 使 用 する 場 合 は 両 方 のデバイスでシグネチャのダウンロードをスケジュールし [ ピアと 同 期 ] を 選 択 しま す これにより アクティブ / アクティブ 設 定 の 1 つのデバイスがアクティブなセカンダリ 状 態 になった 場 合 でも そのアクティブ デバイスがシグネチャをダウンロード / インストールし てから アクティブなセカンダリ デバイスにシグネチャをプッシュするようにします スタート ガイド 83

86 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 アンチウィルス / アンチスパイウェア / 脆 弱 性 防 御 のセットアップ( 続 き) ステップ 4 セキュリティ プロファイルをセ キュリティ ポリシーに 適 用 し ます 1. [Policies] > [ セキュリティ] の 順 に 移 動 し 適 切 なポリ シーを 選 択 して 変 更 し [ アクション ] タブをクリック します 2. [ プロファイル 設 定 ] リストで 有 効 にする 各 セキュリ ティ プロファイルの 横 にあるドロップダウンをクリッ クします この 例 では [ アンチウィルス ] [ 脆 弱 性 防 御 ] および [ アンチスパウェア ] のデフォルトを 選 択 します 前 にセキュリティ プロファイルを 定 義 したことがない 場 合 は [ プロファイル タイプ ] ドロップダウンを 選 択 し [ プ ロファイル ] を 選 択 します セキュリティ プロファイル を 選 択 するためのオプションの 一 覧 が 表 示 されます ステップ 5 設 定 を [Commit] します 84 スタート ガイド

87 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ データ フィルタリングのセットアップ ここでは 社 会 保 障 番 号 を 検 出 するデータ フィルタリング プロファイルと.doc および.docx ド キュメントで 識 別 されるカスタム パターンを 設 定 するために 必 要 な 手 順 について 説 明 します データ フィルタリングの 設 定 例 ステップ 1 データ フィルタリングのセキュ リティ プロファイルを 作 成 し ます 1. [Objects] > [セキュリティ プロファイル] > [データ フィ ルタリング ] の 順 に 移 動 し [ 追 加 ] をクリックします 2. プロファイルの 名 前 と 説 明 を 入 力 します この 例 での 名 前 は DF_Profile1 説 明 は Detect Social Security Numbers です 3. ( 任 意 )フィルタによってブロックされるデータを 収 集 する 場 合 は [ データ キャプチャ ] チェック ボックス をオンにします 注 意 データ キャプチャ 機 能 を 使 用 する 場 合 は パスワー ドを 設 定 する 必 要 があります 詳 細 は 以 下 の 手 順 を 参 照 してください ステップ 2 ( 任 意 )データ フィルタリング ロ グへのアクセスを 保 護 し 他 の 管 理 者 が 機 密 データを 表 示 できな いようにします 1. [Device] > [ セットアップ ] > [Content-ID] の 順 に 移 動 し ます 2. [Content-ID 機 能 ] セクションで [ データ 保 護 の 管 理 ] をクリックします 3. データ フィルタリング ログを 表 示 するために 必 要 なパ スワードを 設 定 します このオプションを 設 定 しているときに [Monitor] > [ ログ ] > [ データ フィルタリング ] の 順 に 選 択 してログを 表 示 する と フィルタリングをトリガーした 最 初 のパケットを 示 す 緑 の 矢 印 が 表 示 されます パケット キャプチャは それに 続 いて 実 行 され 定 義 したパスワードを 入 力 することに よってのみ 表 示 できます パケット キャプチャを 表 示 する には ログ エントリの 最 初 の 列 にあるアイコンをクリック して [ ログ 詳 細 ] ウィンドウを 表 示 します 下 部 の [ 関 連 ログ ] セクションで 緑 の 矢 印 があるログが 表 示 されるま でスクロールし その 緑 の 矢 印 をクリックします パスワー ドを 入 力 するよう 求 められます パスワードを 入 力 して キャプチャ パケットを 表 示 します スタート ガイド 85

88 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 データ フィルタリングの 設 定 例 ( 続 き) ステップ 3 データ フィルタリング プロファイルで 使 用 されるデータ パターンを 定 義 します この 例 で は キーワードとして confidential を 使 用 し ダッシュ 付 きの SSN 番 号 ( 例 ) を 検 索 するオプションを 設 定 します 適 切 なしきい 値 を 設 定 し ドキュメント 内 のキーワー ドを 定 義 すると 誤 検 知 を 減 らすのに 有 効 です 以 下 の 手 順 を 実 行 します 1. [ データ フィルタリング プロファイル ] ページで [ 追 加 ] をクリックし [ データ パターン ] ドロップダウンで [ 新 規 ] をクリックします [Objects] > [ カスタム シグネチャ ] > [ デー タ パターン ] からデータ パターンを 設 定 することもできます 2. この 例 では データ パターン シグネチャに Detect SS Numbers という 名 前 を 付 け Data Pattern to detect Social Security numbers という 説 明 を 追 加 します 3. [ 重 み ] セクションの [SSN 番 号 ] に 3 と 入 力 します 75 ページ の 重 み 値 としきい 値 を 参 照 してください 4. ( 任 意 )このプロファイルが 適 用 される [ カスタム パターン ] を 設 定 することもできます この 場 合 は カスタム パターンの [ 正 規 表 現 ] フィールドでパターンを 指 定 し 重 みを 設 定 します 照 合 する 正 規 表 現 を 同 じデータ パターン プロファイルに 複 数 追 加 できます この 例 で は カスタム パターンが confidential (パターンの 大 文 字 と 小 文 字 は 区 別 されます)で SSN_Custom という 名 前 の [ カスタム パターン ] を 作 成 し 重 みとして 20 を 使 用 します この 例 で confidential と いう 語 を 使 用 するのは 社 会 保 障 の Word ドキュメントにこの 語 が 含 ま れているからです そのため この 語 を 特 に 定 義 します 86 スタート ガイド

89 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ データ フィルタリングの 設 定 例 ( 続 き) ステップ 4 フィルタリングするアプリケー ションを 指 定 し ファイル タイ プを 設 定 します 1. [ アプリケーション ] を [ いずれか ] に 設 定 します これ により たとえば web-browsing FTP SMTP などのサ ポートされるアプリケーションがすべて 検 出 されま す アプリケーションを 絞 り 込 むには リストから 対 象 を 選 択 します SSL を 使 用 する Microsoft Outlook Web App などのアプリケーションの 場 合 は 復 号 化 を 有 効 にする 必 要 があります また 各 アプリケーションの 表 示 名 について 理 解 しておくことも 必 要 です たとえば Outlook Web App はこのアプリケーションの Microsoft 名 ですが PAN-OS のアプリケーション リストでは outlook-web アプリケーションとして 示 されます 所 定 のアプリケーションのログを 調 べ PAN-OS で 定 義 され ている 名 前 を 識 別 できます 85 ページの データ フィ ルタリングのセットアップ を 参 照 してください 2. [ ファイル タイプ] を [doc] と [docx] に 設 定 します これにより doc ファイルと docx ファイルのみがス キャンされます ステップ 5 フィルタリングするトラフィック の 方 向 としきい 値 を 指 定 します 1. [ 方 向 ] を [both] に 設 定 します アップロードまたはダ ウンロードされるファイルがスキャンされます 2. [ アラートしきい 値 ] を 35 に 設 定 します この 場 合 社 会 保 障 番 号 が 5 インスタンス confidential という 単 語 が 1 インスタンス 存 在 するとアラートがトリガーされ ます 式 に 当 てはめると 重 みが 3 の SSN インスタン スが 5 つで 15 重 みが 20 の 単 語 confidential のインス タンスが 1 つで 20 となり 合 計 で 35 となります 3. [ ブロックしきい 値 ] を 50 に 設 定 します ファイル での SSN インスタンスまたは 単 語 confidential のイン スタンスの 合 計 数 がしきい 値 の 50 になると そのファ イルはブロックされます たとえば doc 内 に 重 みが 20 の 単 語 confidential が 1 インスタンス 含 まれ(しき い 値 の 20 に 相 当 ) 重 みが 3 の 社 会 保 障 番 号 が 15 イン スタンス 含 まれ(しきい 値 の 45 に 相 当 )ているとしま す この 場 合 は 20 と 45 を 加 算 して 65 となり ブロッ クしきい 値 50 を 超 えます スタート ガイド 87

90 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 データ フィルタリングの 設 定 例 ( 続 き) ステップ 6 データ フィルタリング プロファ イルをセキュリティ ルールに 適 用 します 1. [Policies] > [ セキュリティ ] の 順 に 移 動 し 適 切 なセ キュリティ ポリシーを 選 択 します 2. セキュリティ プロファイル ルールをクリックして 変 更 し 次 に [ アクション ] タブをクリックします [ デー タ フィルタリング ] ドロップダウンで 作 成 した 新 し いデータ フィルタリング プロファイルを 選 択 し [OK] をクリックして 保 存 します この 例 でのデータ フィル タリング ルール 名 は DF_Profile1 です この 例 ではセキュリティ ルールがすでに 作 成 されており 信 頼 されたゾーンから 信 頼 されないゾーンへのアウトバ ウンド トラフィックがすべて 許 可 され 信 頼 されないゾーン から 信 頼 されたゾーンへのインバウンド トラフィックはす べてブロックされます 基 本 セキュリティ ポリシーの 設 定 に ついての 詳 細 は 57 ページの セキュリティ ルールの 作 成 を 参 照 してください ステップ 7 設 定 を [Commit] します 88 スタート ガイド

91 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ データ フィルタリングの 設 定 例 ( 続 き) ステップ 8 データ フィルタリング 設 定 をテ ストします テストでは 実 際 の 社 会 保 障 番 号 を 使 用 し 各 番 号 は 一 意 である 必 要 があります また この 例 で 単 語 confidential を 使 用 してカスタム パターンを 定 義 したのと 同 様 に パターン では 大 文 字 と 小 文 字 が 区 別 されます テストを 簡 易 に 保 つ ため 最 初 はデータ パターンだけを 使 用 してテストし 次 に SSN をテストすることができます 1. ファイアウォールの 信 頼 されたゾーンにあるクライアン ト PC にアクセスし フィルタリングする 情 報 の 適 切 な インスタンスを 含 んだ.doc または.docx ファイルを HTTP を 使 用 してアップロードします 2. 単 語 confidential を 1 インスタンスと ダッシュ 付 き 社 会 保 障 番 号 を 5 インスタンス 含 んだ Microsoft Word ド キュメントを 作 成 します 3. ファイルを Web サイトにアップロードします 復 号 化 を 設 定 していない 場 合 を 除 いて HTTP を 使 用 します 設 定 していない 場 合 は HTTPS を 使 用 できます 4. [Monitor] > [ ログ ] > [ データ フィルタリング ] ログの 順 に 移 動 します 5. アップロードしたファイルの [ データ フィルタリング ] ログに クライアント PC の 送 信 元 および Web サーバーの 宛 先 と 一 緒 にアラートが 表 示 され ログの [ アクション ] 列 に reset-both と 表 示 されます これで ドキュメン ト 内 の 社 会 保 障 番 号 の 数 を 増 やしてブロックしきい 値 をテストできます データ フィルタリングが 正 常 に 機 能 しない 場 合 は データ フィルタリング ログまたはトラフィック ログを 調 べてテ スト 対 象 のアプリケーションを 検 証 し テスト ドキュメン トに 適 切 な 数 の 一 意 の 社 会 保 障 番 号 インスタンスが 含 まれ ていることを 確 認 してください たとえば Microsoft Outlook Web App のようなアプリケーションが web-browsing として 識 別 されているように 見 えても ログを 見 ると そ のアプリケーションは outlook-web になっています また SSN の 数 やカスタム パターンを 増 やし 必 ずしきい 値 に 到 達 するようにしてください スタート ガイド 89

92 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 ファイル ブロッキングのセットアップ この 例 を 使 用 して ファイル ブロッキングのセットアップに 必 要 な 基 本 手 順 について 説 明 しま す この 設 定 では Web サイトから.exe ファイルをダウンロードする 前 に 続 行 するよう 求 めるプ ロンプトをユーザーに 表 示 するために 必 要 なオプションを 設 定 します この 例 のテストでは 送 信 元 との 間 にコンテンツをブロックしている 他 のシステムが 存 在 する 可 能 性 があることに 注 意 してください ファイル ブロッキング 設 定 ステップ 1 ステップ 2 ファイル ブロッキング プロファ イルを 作 成 します ファイル ブロッキングのオプ ションを 設 定 します 1. [Objects] > [ セキュリティ プロファイル ] > [ ファイル ブロッキング ] の 順 に 移 動 し [ 追 加 ] をクリックします 2. この 例 では [ 名 前 ] を Block_EXE とし Block.exe files from being downloaded from websites という 説 明 を 入 力 します 1. [ 追 加 ] をクリックしてプロファイル 設 定 を 定 義 します 2. [ 名 前 ] に BlockEXE などと 入 力 します 3. この 例 では [ アプリケーション ] を [web-browsing] に 設 定 します 4. [ ファイル タイプ ] を [exe] に 設 定 します 5. [ 方 向 ] を [download] に 設 定 します 6. [ アクション ] を [continue] に 設 定 します [continue] オ プションを 選 択 することにより 応 答 ページで ファ イルをダウンロードするために [ 続 行 ] をクリックする ようユーザーに 求 めるプロンプトが 表 示 されます 7. [OK] をクリックして 保 存 します 90 スタート ガイド

93 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ ファイル ブロッキング 設 定 ( 続 き) ステップ 3 ステップ 4 ステップ 5 ファイル ブロッキング プロファ イルをセキュリティ ポリシーに 適 用 します 設 定 を [Commit] します 1. [Policies] > [ セキュリティ] に 移 動 します 既 存 のポリ シーを 選 択 するか 新 しいポリシーを 作 成 します 57 ページの セキュリティ ルールの 作 成 を 参 照 して ください 2. ポリシーを 選 択 して [ アクション ] タブをクリックし ます 3. [ プロファイル 設 定 ] セクションで ドロップダウンを クリックし 設 定 したファイル ブロッキング プロファ イルを 選 択 します この 例 でのプロファイル 名 は Block_EXE です 前 にセキュリティ プロファイルを 定 義 したことがない 場 合 は [ プロファイル タイプ ] ドロップダウンを 選 択 し [ プ ロファイル ] を 選 択 します セキュリティ プロファイルを 選 択 するためのオプションの 一 覧 が 表 示 されます ファイル ブロッキング 設 定 をテストするには ファイアウォールの 信 頼 されたゾーンのクラ イアント PC にアクセスし 信 頼 されないゾーンの Web サイトから.exe ファイルのダウンロー ドを 試 みます 応 答 ページが 表 示 されます [ 続 行 ] をクリックすると ファイルがダウン ロードされます 次 の 図 は ファイル ブロッキングのデフォルト 応 答 ページのサンプルです スタート ガイド 91

94 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 ファイル ブロッキング 設 定 ( 続 き) ステップ 6 continue アクションを 選 択 したときにユーザーに 表 示 されるカスタム 応 答 ページを 定 義 するこ ともできます これにより 応 答 ページに 表 示 される 情 報 量 を 増 やすことができます 含 め ることができる 情 報 は ポリシーの 情 報 やチケット システムへのリンクなどです このオプ ションは [Device] > [ 応 答 ページ ] にあります 応 答 ページの 作 成 および 管 理 についての 詳 細 は Palo Alto Networks 管 理 者 ガイド の カスタム 応 答 ページの 定 義 セクションを 参 照 してください 付 録 A( カスタム ページ )には 独 自 のページ 作 成 に 役 立 つデフォルトの 応 答 ページすべての HTML コードが 掲 載 されています 注 意 アクションを [continue] または [continue-and-forward](wildfire 転 送 に 使 用 される)のいずれか にしてファイル ブロッキング プロファイルを 作 成 する 場 合 選 択 できるアプリケーションは web-browsing のみです その 他 のアプリケーションを 選 択 すると ユーザーに 対 して 続 行 ペー ジのプロンプトが 表 示 されないため セキュリティ ポリシーに 一 致 するトラフィックはファ イアウォールを 通 過 しません また テスト 対 象 の Web サイトで HTTPS を 使 用 している 場 合 は 復 号 ポリシーを 設 定 する 必 要 があります 85 ページの データ フィルタリングのセット アップ を 参 照 してください ログを 調 べ この 機 能 をテストするときに 使 用 中 のアプリケーションを 確 認 することができます たと えば Microsoft Sharepoint を 使 用 してファイルをダウンロードする 場 合 は Web ブラウザを 使 用 してその サイトにアクセスするとしても 実 際 のアプリケーションは sharepoint-base または sharepoint-document で す テストでは アプリケーション タイプは [ いずれか ] に 設 定 できます 92 スタート ガイド

95 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ WildFire のセットアップ この 例 を 使 用 して WildFire のセットアップで 必 要 な 基 本 手 順 と WildFire にファイルを 送 信 し て 分 析 を 行 う 場 合 に 使 用 できる 別 の 方 法 について 説 明 します WILDFIRE 設 定 ステップ 1 ステップ 2 デバイスが 登 録 されており 有 効 なサポート アカウントを 保 有 し ていることを 確 認 します WildFire ポータル オプションを 設 定 します 1. Palo Alto Networks サポート サイトに 移 動 し ログイン して [My Devices] をクリックします 2. 使 用 中 のファイアウォールが [My Devices] リストに 含 まれていることを 確 認 します リストにない 場 合 は 12 ページの Palo Alto Networks への 登 録 を 参 照 して ください 1. ファイアウォールで [Device] > [ セットアップ ] > [WildFire] タブの 順 に 移 動 します 2. WildFire サーバー( 現 時 点 では default-cloud のみをサ ポート)を 定 義 し 転 送 される 最 大 ファイル サイズを 設 定 し WildFire ログに 表 示 されるセッション 情 報 を 設 定 することができます 以 下 に デフォルトの 設 定 を 示 します 注 意 WildFire ポータル 上 のログ またはライセンス 加 入 者 のログを 表 示 することができます ログは ファ イアウォールで [Monitor] > [ ログ ] > [WildFire] の 順 に 選 択 して 表 示 することもできます スタート ガイド 93

96 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 WILDFIRE 設 定 ( 続 き) ステップ 3 WildFire ポータルへのファイルの アップロードを 開 始 します Palo Alto Networks サポートにログイン 可 能 な 場 合 は 以 下 のいずれかの 方 法 でファイルを 送 信 できます 注 意 WildFire にファイルをアップロードするために 推 奨 される 方 法 は ファイル ブロッキング プロファイ ルです ファイル ブロッキング プロファイル ファイアウォー ルでファイルを WildFire システムに 自 動 で 転 送 できるよ うにするには 90 ページの ファイル ブロッキングの セットアップ の 説 明 に 従 ってファイル ブロッキング プ ロファイルをセットアップします [Objects] > [ セキュリ ティ プロファイル ] > [ ファイル ブロッキング ] の 順 に 移 動 し 新 しいプロファイルを 作 成 するか 既 存 のプロファ イルに 変 更 を 加 えます [ アクション ] 列 でドロップダ ウンを 選 択 して [forward] または [continue-and-forward] を 選 択 します これらのアクションのいずれかを 指 定 す ると サポートされる 各 ファイル タイプが WildFire シス テムに 転 送 されます サポートされているファイル タイ プには Win32 Portable Executable(PE)ファイル(exe dll scr など)があります オブジェクト プロファイルで ファイル タイプに [PE] を 選 択 すると Win32 PE のすべ てのファイル タイプが 処 理 対 象 になります 90 ページの ファイル ブロッキングのセットアップ の 説 明 に 従 っ てファイル ブロッキング プロファイルがセキュリティ ポリシーに 適 用 されていることを 確 認 してください 手 動 アップロード [WildFire ポータル ] に 移 動 し 自 分 の Palo Alto Networks サポート アカウントでログインしま す [ ファイルのアップロード] ボタンをクリックしてファ イルに 移 動 し [ アップロード ] をクリックします ファ イルがスキャンされ [ デバイス ] リストから 結 果 を 表 示 できます 手 動 でアップロードされたファイルのリスト を 表 示 するには [ 手 動 ] をクリックします API WildFire ライセンスがあれば WildFire API にアク セスすることができ これにより Palo Alto Networks ファ イアウォールによる 使 用 とは 別 に クラウド 内 の WildFire に 対 して 外 部 プログラムからのアクセスが 許 可 されま す WildFire API は WildFire システムへのファイルの 送 信 分 析 および 過 去 に 送 信 されたファイルのレポート を 確 認 するために 使 用 します ファイルのアップロード は 毎 日 100 ファイルまで WildFire ポータルへのクエリは 毎 日 1,000 回 まで 実 行 できます WildFire API Tech Note を 参 照 してください 94 スタート ガイド

97 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ WILDFIRE 設 定 ( 続 き) ステップ 4 WildFire ポータルを 設 定 します 1. WildFire ポータルにログインし ポータル ページ 右 上 の アカウント 名 の 横 にある [ 設 定 ] リンクをクリックし ます 2. このページから タイム ゾーンの 設 定 WildFire ログの 削 除 および 手 動 でアップロードされるファイルまた はスキャンされたファイルの 状 態 (マルウェアまたは 安 全 )に 基 づいて 各 デバイスによって 送 信 されるファ イルの 電 子 メール 通 知 の 設 定 を 行 うことができます ステップ 5 アップロードされたファイルの 状 態 を 確 認 します WildFire ライ センス 加 入 者 であれば ファイア ウォールで WildFire ログを 直 接 調 べることもできます 1. WildFire ポータルから 登 録 済 みデバイスを 確 認 します 2. アップロードされたファイルのリスト およびマルウェ アに 感 染 安 全 または 未 解 決 分 析 などのスキャン 結 果 を 表 示 するには 特 定 のデバイスをクリックします WildFire ポータルおよび 他 の WildFire オプションについての 詳 細 は Palo Alto Networks 管 理 者 ガ イド の WildFire の 章 を 参 照 してください WildFire スキャン プロセスのフロー 図 については WildFire Decision Flow Tech Note を API についての 詳 細 は WildFire API Tech Note を 参 照 してください URL フィルタリングのセットアップ この 例 を 使 用 して Palo Alto Networks URL フィルタリング(PAN-DB) 機 能 を 設 定 するために 必 要 な 手 順 について 説 明 します 代 替 方 法 として 使 用 可 能 な BrightCloud データベースについても 説 明 します PAN-DB URL フィルタリング 設 定 ステップ 1 URL フィルタリングのライセン ス 情 報 を 確 認 します 1. PAN-DB ライセンスを 取 得 してインストールします 2. [Device] > [ ライセンス ] ページに 移 動 し [PAN-DB URL フィルタリング ] セクションで [ 有 効 期 限 ] フィールド を 見 て ライセンスが 有 効 であることを 確 認 します スタート ガイド 95

98 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 PAN-DB URL フィルタリング 設 定 ( 続 き) ステップ 2 ステップ 3 初 期 シード データベースをダウン ロードし PAN-DB URL フィルタ リングをアクティベーションし ます PAN-DB をアクティベーションす るには まずシード データベー スをダウンロードする 必 要 があ ります 1. [PAN-DB URL フィルタリング ] セクションの [Devices] > [ ライセンス ] で [ ダウンロードの 状 態 ] の 横 にある [ ダウンロード ] をクリックします 2. 現 在 位 置 の 適 切 な 領 域 を 選 択 し [OK] をクリックして ダウンロードを 開 始 します 3. [ アクティベーション ] リンクをクリックします ステップ 4 URL フィルタリング プロファイ ルをセットアップします 注 意 PAN-DB がすでにアクティブな URL フィルタリング ベンダーになっているときに [ 再 ダウンロード] をク リックすると データプレーンと 管 理 プレーンの キャッシュがクリアされてシード データベースの エントリで 置 き 換 えられることにより PAN-DB が 再 アクティベーションされます デバイスを 通 過 す る Web トラフィックに 基 づいてカスタマイズされて いるキャッシュを 失 うことになるため 必 要 時 以 外 はこの 操 作 を 行 わないでください 再 び BrightCloud に 切 り 替 えるには 有 効 な BrightCloud ライセンスを まだ 保 有 している 場 合 には [BrightCloud URL フィ ルタリング ] セクションで [ アクティベーション ] を クリックします これにより PAN-DB が 削 除 され BrightCloud が URL フィルタリングのアクティブな ベンダーとなります 再 び PAN-DB に 切 り 替 える には [PAN-DB URL フィルタリング ] セクション からもう 一 度 シード データベースをダウンロード して [ アクティベーション ] をクリックすること が 必 要 になります URL ベンダーを 切 り 換 えるときにコミットする 必 要 はあり ません 1. [Objects] > [ セキュリティ プロファイル ] > [URL フィ ルタリング ] の 順 に 移 動 し [ 追 加 ] をクリックします 2. [ 名 前 ] と [ 内 容 ] を 入 力 します この 例 では 名 前 を Block_Shopping に 説 明 を Block shopping sites に します 3. [ ライセンス 有 効 期 限 のアクション ] は デフォルト 値 の 許 可 のままにします URL フィルタリング ライ センスが 期 限 切 れになると ショッピング サイトが 許 可 されます (BrightCloud のみ) 96 スタート ガイド

99 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ PAN-DB URL フィルタリング 設 定 ( 続 き) ステップ 5 ( 任 意 )ダイナミック URL フィル タリングを 有 効 または 無 効 にし ます BrightCloud を 使 用 する 場 合 は ダイナミック URL フィルタ リングを 有 効 または 無 効 にすることができます このオプ ションが 有 効 な 場 合 デバイスではクラウド URL データ ベースにクエリすることができます PAN-DB の 場 合 このオプションはデフォルトで 有 効 にさ れており 設 定 できません ステップ 6 ( 任 意 )URL フィルタリング ポリ シーで URL カテゴリの 場 合 に オーバーライド アクションを 定 義 すると ユーザーがそのカテゴ リの URL にアクセスするときに プロンプトが 表 示 されます 管 理 者 が 認 証 情 報 を 入 力 することが でき ユーザーは 設 定 された 一 定 時 間 の 間 このタイプのカテゴリ を 表 示 できます ステップ 7 ( 任 意 )ブロック リストと 許 可 リ ストを 定 義 します 1. [Device] > [ セットアップ ] > [ コンテンツ ID] タブの 順 に 移 動 します 2. [URL 管 理 オーバーライド ] セクションで [ 追 加 ] を クリックしてパスワードを 設 定 します 3. デフォルトのオーバーライド 期 間 15 分 を 使 用 するか [URL 管 理 オーバーライド タイムアウト ] フィールドで カスタム 値 を 設 定 できます たとえば 60 分 に 設 定 す ると ログイン 認 証 情 報 を 入 力 した 後 ユーザーはブ ロックされたカテゴリの 任 意 のサイトに 60 分 間 アクセ スできます 4. パスワードを 設 定 するときには [ 透 過 的 ] または [ リ ダイレクト ] を 選 択 できます これにより ブロック ページが 透 過 的 に 配 信 されるか ( ブロックされた Web サイトから 発 信 したように 見 える ) 指 定 したサーバー にユーザーをリダイレクトするかを 決 定 します [ リダ イレクト ] を 選 択 した 場 合 は リダイレクトするための IP アドレスを 入 力 します ブロック リストの 場 合 は 次 のアクションを 設 定 できます ブロック URL をブロックします 続 行 ユーザーに 対 して 応 答 ページが 表 示 されます [ 続 行 ] をクリックすると Web ページが 開 きます 応 答 ページはカスタマイズすることもできます アラート 定 義 されたカテゴリの Web サイトごとにア ラートがログに 記 録 されます スタート ガイド 97

100 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 PAN-DB URL フィルタリング 設 定 ( 続 き) ステップ 8 カテゴリを 選 択 します 1. カテゴリのリストで shopping までスクロールして チェック ボックスをオンにします 2. [ アクション ] 列 で [block] を 選 択 し [OK] をクリッ クして 変 更 を 保 存 します ステップ 9 プロファイルをセキュリティ ポ リシーに 適 用 します 1. [Policies] > [ セキュリティ ] に 移 動 します 2. 変 更 したいポリシー 名 を 選 択 し 次 に [ アクション ] タ ブをクリックします 3. [ プロファイル 設 定 ] リストで [URL フィルタリング ] の 横 にあるドロップダウンをクリックします この 例 でのプロファイル 名 は Block_Shopping です 4. [OK] をクリックして 保 存 します 注 意 前 にセキュリティ プロファイルを 定 義 したことがな い 場 合 は [ プロファイル タイプ ] ドロップダウンを 選 択 し [ プロファイル ] を 選 択 します セキュリ ティ プロファイルを 選 択 するためのオプション の 一 覧 が 表 示 されます ステップ 10 設 定 を [Commit] します 98 スタート ガイド

101 脅 威 からのネットワークの 防 御 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ PAN-DB URL フィルタリング 設 定 ( 続 き) ステップ 11 URL フィルタリングをテストするには セキュリティ ポリシーが 適 用 されるゾーンにあるク ライアント PC から ショッピング Web サイトへのアクセスを 試 みます この 例 では デフォ ルトの URL フィルタリング 応 答 ページが 表 示 されます URL フィルタリングのデフォルト 応 答 ページのサンプルを 示 します ステップ 12 continue アクションを 選 択 したときにユーザーに 表 示 されるカスタム 応 答 ページを 定 義 するこ ともできます これにより 応 答 ページに 表 示 される 情 報 量 を 増 やすことができます 含 め ることができる 情 報 は 会 社 毎 のポリシーの 情 報 や 社 内 IT サポート 部 門 へのリンクなどです このオプションは [Device] > [ 応 答 ページ ] にあります 応 答 ページの 作 成 および 管 理 につ いての 詳 細 は Palo Alto Networks 管 理 者 ガイド の カスタム 応 答 ページの 定 義 セクション を 参 照 してください 付 録 A( カスタム ページ )には 独 自 のページ 作 成 に 役 立 つデフォ ルトの 応 答 ページすべての HTML コードが 掲 載 されています PAN-DB URL フィルタリングについての 詳 細 は URL Filtering (PAN-DB) Tech Note を 参 照 してください BrightCloud を 使 用 した URL フィルタリングについての 詳 細 は URL Categorization Components and Process Tech Note を 参 照 してください スタート ガイド 99

102 セキュリティ プロファイルとセキュリティ ポリシーのセットアップ 脅 威 からのネットワークの 防 御 100 スタート ガイド

103 4 ユーザー ID の 設 定 ユーザー ID (User-ID) は Palo Alto Networks の 次 世 代 ファイアウォールの 機 能 の 1 つで 個 々の IP アドレスではなくユーザーおよびグループに 基 づきポリシーを 作 成 してレポートを 実 行 でき ます ここでは Palo Alto Networks の User-ID 機 能 と ユーザーおよびグループ ベースのアクセ スを 設 定 する 方 法 について 説 明 します ユーザー ID の 概 要 ユーザー ID の 有 効 化 ユーザーおよびグループ ベースのポリシーを 有 効 にする User-ID 設 定 の 確 認 スタート ガイド 101

104 ユーザー ID の 概 要 ユーザー ID の 設 定 ユーザー ID の 概 要 User-ID は Palo Alto Networks のファイアウォールとさまざまな 企 業 ディレクトリおよび 端 末 サービスをシームレスに 統 合 することにより アプリケーションの 動 作 とセキュリティ ポリ シーを IP アドレスだけでなくユーザーおよびグループに 結 合 させることができます Palo Alto Networks の 次 世 代 ファイアウォールでは 以 下 の 企 業 向 けサービスをサポートしています Microsoft Active Directory LDAP Novell edirectory Citrix Metaframe Presentation Server または XenApp Microsoft Terminal Services ユーザーおよびグループに 基 づいてポリシーを 作 成 できるようにするには ファイアウォール で ポリシーを 定 義 するときに 使 用 可 能 なすべてのユーザーと 対 応 するグループを 選 択 できる マッピングのリストが 必 要 です このリストでは LDAP ディレクトリ サーバーに 直 接 接 続 して 情 報 を 取 得 します ユーザーおよびグループ ベースのポリシーを 実 施 できるようにするには ファイアウォールで 受 信 するパケットの IP アドレスをユーザー 名 にマッピングできる 必 要 があ ります この 情 報 を 取 得 するには Windows サーバーにインストールされた User-ID エージェン トから 直 接 取 得 するか Microsoft Exchange Server またはドメイン コントローラのイベント ログ でログオン イベントをモニタリングするか Novell edirectory のログイン 情 報 をモニタリングす るか またはクライアント システムを 直 接 プローブします 以 下 では グループ マッピングお よびユーザー マッピングの 機 能 について 詳 しく 説 明 します 102 スタート ガイド

105 ユーザー ID の 設 定 ユーザー ID の 概 要 グループ マッピングについて ユーザーまたはグループに 基 づいてセキュリティ ポリシーを 定 義 するには ファイアウォール でグループとそれに 対 応 するメンバーのリストをディレクトリ サーバーから 取 得 する 必 要 があ ります この 機 能 を 有 効 にするには LDAP サーバー プロファイルを 作 成 する 必 要 があります このプロファイルからファイアウォールに 対 して サーバーへの 接 続 および 認 証 方 法 と ディレ クトリでユーザーおよびグループの 情 報 を 検 索 する 方 法 に 関 する 命 令 が 行 われます LDAP サー バーへの 接 続 が 確 立 され グループとユーザー ID のマッピング 機 能 を 設 定 すると セキュリ ティ ポリシーを 定 義 するときにユーザーまたはグループを 選 択 できるようになります ファイ アウォールでは Microsoft Active Directory (AD) Novell edirectory Sun ONE Directory Server など さまざまな LDAP ディレクトリ サーバーがサポートされています ユーザー マッピングについて ユーザーおよびグループに 名 前 がついているだけでは パズルの 1 ピースにすぎません ファイ アウォールでは セキュリティ ポリシーを 正 しく 実 施 するためにも どの IP アドレスがどの ユーザーにマッピングされるかを 知 る 必 要 があります このようなユーザー マッピングを 行 う には User-ID エージェントを 設 定 する 必 要 があります User-ID エージェントは ドメインの Windows サーバーにエージェント ソフトウェアをインストールするか またはファイアウォー ルでネイティブのエージェントを 有 効 にすることで 使 用 できます マッピングを 入 手 する 方 法 は 以 下 のいずれかです Microsoft Exchange Server ドメイン コントローラ または Novell edirectory サーバーのセキュ リティ イベント ログでログオン イベントをモニタリングします たとえば AD 環 境 の 場 合 エージェントがセキュリティ ログで Kerberos チケットの 許 可 または 更 新 Exchange Server へ のアクセス ( 設 定 されている 場 合 ) ファイルおよび 印 刷 サービスの 接 続 ( モニタリング 対 象 のサーバー ) などをモニタリングします これらのイベントをセキュリティ ログに 記 録 する には アカウントのログオン 完 了 イベントを 記 録 するように AD ドメインを 設 定 する 必 要 が あります スタート ガイド 103

106 ユーザー ID の 概 要 ユーザー ID の 設 定 Microsoft Windows 環 境 では Windows Management Instrumentation (WMI) または NetBIOS を 使 用 してクライアント システムをプローブするようにエージェントを 設 定 できます プローブ を 有 効 にすると エージェントが 取 得 した IP アドレスを 定 期 的 にプローブし ( デフォルトは 20 分 ですが この 設 定 は 変 更 できます ) 同 じユーザーがログオンし 続 けていることを 確 認 できます さらに ファイアウォールでユーザーにマッピングされていない IP アドレスが 見 つかった 場 合 エージェントにそのアドレスが 送 信 され 直 ちにプローブが 実 行 されます Microsoft Terminal Server や Citrix 環 境 など マルチ ユーザー システム 環 境 の 場 合 多 くのユー ザーが 同 じ IP アドレスを 共 有 します このような 場 合 ユーザー 対 IP アドレスのマッピン グ プロセスで クライアントごとの 送 信 元 ポートの 情 報 が 必 要 となります このタイプの マッピングを 実 行 するには Windows Terminal Server/Citrix のターミナル サーバー 自 体 に Palo Alto Networks Terminal Services Agent をインストールし さまざまなユーザー プロセスに 対 す る 送 信 元 ポートの 割 り 当 てを 仲 介 する 必 要 があります モバイル ユーザーやローミング ユーザーの 場 合 GlobalProtect クライアントからユーザー マッピング 情 報 がファイアウォールに 直 接 提 供 されます GlobalProtect の 設 定 の 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 9 章 を 参 照 してください ユーザーがログインしていない 場 合 や ドメイン サーバーでサポートされていない Linux な どのオペレーティング システムを 使 用 している 場 合 など User-ID エージェントのファイア ウォールで IP アドレスとユーザーをマッピングできない 場 合 キャプティブ ポータルを 設 定 できます キャプティブ ポータルを 設 定 すると キャプティブ ポータルのポリシーと 一 致 する Web トラフィック (HTTP または HTTPS) でユーザー 認 証 が 必 要 となります ユーザー 認 証 は NT LAN Manager (NTLM) からブラウザへの 認 証 チャレンジを 透 過 的 に 行 うか また はユーザーを Web 認 証 フォームにリダイレクトして RADIUS LDAP Kerberos またはロー カル 認 証 データベースに 対 する 認 証 をアクティブに 行 うか またはクライアント 証 明 書 によ る 認 証 を 使 用 して 行 います サードパーティの VPN ソリューションから 接 続 するユーザーや 802.1x 対 応 のワイヤレス ネットワークに 接 続 するユーザーのマッピングを 追 加 する 場 合 など 標 準 的 なユーザー マッ ピングまたはキャプティブ ポータルの 手 法 ではマッピングできない 他 のタイプのユーザー アクセスの 場 合 については PAN-OS XML-based REST API Usage Guide (PAN-OS XML ベース の REST API 利 用 ガイド ) を 参 照 してください 104 スタート ガイド

107 ユーザー ID の 設 定 ユーザー ID の 有 効 化 以 下 の 図 に ユーザーおよびグループをネットワーク 上 で 識 別 するのに 使 用 できるさまざまな 方 法 を 示 します ユーザー ID の 有 効 化 ユーザーまたはグループに 基 づくポリシーの 適 用 を 可 能 にするには 以 下 のタスクを 実 行 する 必 要 があります ユーザー 対 グループのマッピング IP アドレス 対 ユーザーのマッピング ユーザーおよびグループ ベースのポリシーを 有 効 にする ユーザー 対 グループのマッピング 以 下 の 手 順 により LDAP ディレクトリに 接 続 し ファイアウォールでユーザー 対 グループのマッ ピング 情 報 を 取 得 できるようにします スタート ガイド 105

108 ユーザー ID の 有 効 化 ユーザー ID の 設 定 ユーザー 対 グループのマッピング ステップ 1 LDAP サーバー プロファイルを 作 成 し ファイアウォールがグループのマッピング 情 報 の 取 得 に 使 用 する ディレクトリ サーバーへの 接 続 方 法 を 指 定 します 1. [Device] > [ サーバー プ ロファイル ] > [LDAP] の 順 に 選 択 します 2. [ 追 加 ] をクリックし プ ロファイルの [ 名 前 ] を 入 力 します 3. ( 任 意 )[ 場 所 ] ドロップ ダウンから このプロ ファイルの 適 用 先 とな る 仮 想 システムを 選 択 します 4. [ 追 加 ] をクリックして 新 しい LDAP サーバー のエントリを 追 加 し [ サーバー ] フィールドにサーバーを 識 別 できる 名 前 (1-31 文 字 ) を 入 力 し IP アドレスを [ アドレス ] フィールドに ポート 番 号 を [ ポート ] フィールドに それぞれ 入 力 します ファイアウォールでは これらの 情 報 を 使 用 して LDAP サーバーに 接 続 します (LDAP のデフォルトのポート 番 号 は 389 LDAP over SSL は 636 です ) プロファ イルに 追 加 できる LDAP サーバーは 最 大 4 つですが プロファイルに 追 加 するサーバーは すべて 同 じタイプのものでなければなりません 冗 長 性 を 確 保 するために 2 つ 以 上 のサー バーを 追 加 することをお 勧 めします 5. LDAP のドメイン 名 を [ ドメイン ] フィールドに 入 力 すると サーバーから 取 得 したすべて のオブジェクトの 先 頭 にこのドメイン 名 が 追 加 されます ここで 入 力 する 値 は 導 入 タイ プにより 異 なります - Active Directory を 使 用 している 場 合 は FQDN ではなく NetBIOS のドメイン 名 ( 例 : acme.com ではなく acme) を 入 力 する 必 要 があります データを 複 数 のドメインから 収 集 する 必 要 があ る 場 合 は サーバー プロファイルを 個 別 に 作 成 する 必 要 があります ドメイン 名 は 自 動 的 に 決 定 することもできますが できるだけ 手 動 で 入 力 することをお 勧 めします - グローバル カタログ サーバーを 使 用 している 場 合 このフィールドは 空 白 のままにしてお きます 6. [ タイプ ] フィールドで 接 続 先 となる LDAP サーバーを 選 択 します 選 択 したタイプに 基 づ き グループ マッピングの 値 が 自 動 的 に 入 力 されます ただし LDAP スキーマをカスタ マイズしている 場 合 デフォルトの 設 定 を 変 更 する 必 要 があります 7. [ ベース ] フィールドで ファイアウォールが LDAP ツリー 内 でユーザーおよびグループの 情 報 検 索 を 開 始 するポイントを 指 定 します 8. LDAP ツリーにバインドする 認 証 情 報 を [ バインド DN] [ バインド パスワード ] [ 再 入 力 バインド パスワード ] の 各 フィールドに 入 力 します バインド DN は ユーザー プリン シパル 名 (UPN) 形 式 ( 例 : または LDAP の 完 全 修 飾 名 ( 例 : cn=administrator,cn=users,dc=acme,dc=local) のどちらかになります 9. ファイアウォールから 安 全 な 接 続 を 介 して LDAP サーバーとの 通 信 を 行 う 場 合 は [SSL] チェックボックスをオンにします [SSL] を 有 効 にする 場 合 は 適 切 なポート 番 号 が 指 定 さ れていることを 確 認 する 必 要 があります 106 スタート ガイド

109 ユーザー ID の 設 定 ユーザー ID の 有 効 化 ユーザー 対 グループのマッピング( 続 き) ステップ 2 LDAP サーバー プロファイルを User-ID のグループ マッピング 設 定 に 追 加 します 1. [Device] > [ ユーザー ID] > [ グループ マッピング 設 定 ] の 順 に 選 択 し [ 追 加 ] をクリックします 2. [ サーバー プロファイル ] で ステッ プ 1 で 作 成 したプロファイルを 選 択 します 3. [ 有 効 ] チェックボックスがオンに なっていることを 確 認 します 4. (オプション) セキュリティ ポリシー 内 で 表 示 するグループを 制 限 する 場 合 [ 許 可 リストのグループ 化 ] タブ を 選 択 し LDAP ツリーを 参 照 してポ リシー 内 で 使 用 できるグループを 特 定 します 許 可 するグループごとに [ 使 用 可 能 なグループ ] のリストからグループを 選 択 し 追 加 アイコン をクリックして [ 含 まれたグループ ] のリストに 移 動 します ポリシーで 使 用 可 能 にするグループごとに この 手 順 を 繰 り 返 します 5. [OK] をクリックして 設 定 を 保 存 します ステップ 3 設 定 を 保 存 します [Commit] をクリックします IP アドレス 対 ユーザーのマッピング IP アドレスとユーザー 名 のマッピングを 実 行 するのに 必 要 なタスクは ネットワーク 上 のクラ イアント システムのタイプや 場 所 により 異 なります 以 下 のタスクの 中 から クライアント シ ステムでマッピングを 有 効 にするのに 必 要 なものを 実 行 します モニタリング 対 象 の Exchange Server ドメイン コントローラ または edirectory サーバーに ログインしているクライアント あるいは 直 接 プローブできる Windows クライアントをマッ ピングする 方 法 の 詳 細 は 108 ページの User-ID エージェントを 使 用 したユーザー マッピングの 設 定 を 参 照 してください ドメインにログインしていない Linux クライアントを 実 行 するユーザーなど ドメイン サー バーにログインしていないクライアント システムのユーザーの 場 合 は 111 ページの キャプ ティブ ポータルを 使 用 した IP アドレス 対 ユーザー 名 のマッピング を 参 照 してください Microsoft Terminal Server Citrix Metaframe Presentation Server または XenApp など マルチサー バー システムを 実 行 するクライアントで エージェントをインストールおよび 設 定 する 方 法 の 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 7 章 にある ターミナル サービス エージェン トのセットアップ を 参 照 してください 前 述 の 方 法 でマッピングできないその 他 のクライアントについては XML ベースの REST API を 使 用 してユーザー マッピングを 直 接 ファイアウォールに 追 加 できます 詳 細 は PAN-OS XML-based REST API Usage Guide (PAN-OS XML ベースの REST API 利 用 ガイド ) を 参 照 してください スタート ガイド 107

110 ユーザー ID の 有 効 化 ユーザー ID の 設 定 User-ID エージェントを 使 用 したユーザー マッピングの 設 定 多 くの 場 合 ネットワーク ユーザーの 大 部 分 がモニタリング 対 象 のドメイン サービスにログイン できます これらのユーザーについては Palo Alto Networks の User-ID エージェントが IP アド レス 対 ユーザーのマッピングを 実 行 します User-ID エージェントを 設 定 する 方 法 は 環 境 の 規 模 やディレクトリ サーバーの 場 所 により 異 なります User-ID エージェントをモニタリング 対 象 サーバーの 近 くに 配 置 することをお 勧 めします これは ユーザー マッピングのトラフィック がエージェントとモニタリング 対 象 サーバーの 間 で 発 生 し エージェントとファイアウォール 間 のトラフィック ( 最 終 更 新 以 降 の IP アドレス マッピングの 差 分 情 報 ) の 量 もごくわずかなため です ただし 小 規 模 な 環 境 ( モニタリング 対 象 のディレクトリ サーバーが 10 台 以 下 の 環 境 では 一 般 的 にオンデバイス エージェントを 使 用 するため 導 入 タイプにより 異 なります ) の 場 合 ファ イアウォール 上 にあるオンデバイス エージェントを 使 用 すると ネットワーク サーバーで 個 別 にエージェント ソフトウェアをインストールする 必 要 がなくなります オンデバイス エージェン トを 使 用 すると さらにユーザー マッピング 情 報 を 他 のファイアウォールにも 再 配 信 するよう に 設 定 できます 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 7 章 にある マッピング デー タを 共 有 するためのファイアウォールの 設 定 を 参 照 してください 以 下 の 手 順 により Active Directory ドメイン コントローラをモニタリングするための オンデバ イス エージェントの 設 定 方 法 を 示 します スタンドアロンの User-ID エージェントのインストー ルおよび 設 定 の 詳 細 は User-ID エージェントの 初 期 インストールおよびセットアップを 参 照 し てください IP アドレス 対 ユーザーのマッピング ステップ 1 サービスまたはホストごとにロ グインする 権 限 を 持 つファイア ウォール エージェントの Active Directory アカウントを 作 成 しま す これらのサービスまたはホス トをモニタリングして ユーザー マッピング データを 収 集 します Windows 2008 以 降 のドメイン サーバー Event Log Readers グループにアカウントを 追 加 します オンデバ イスの User-ID エージェントを 使 用 している 場 合 アカウン トが Distributed COM Users グループのメンバーにもなっ ている 必 要 があります Windows 2003 ドメイン サーバー 監 査 とセキュリ ティ ログの 管 理 許 可 がグループ ポリシーに 割 り 当 てら れます WMI プローブ CIMV2 名 前 空 間 を 読 み 取 る 権 限 を 持 つアカウントが 必 要 です ドメイン 管 理 者 アカウントに はこの 権 限 があります NTLM 認 証 オンデバイス User-ID エージェントによ る NTLM 認 証 を 使 用 する 場 合 ファイアウォールがドメ インに 参 加 する 必 要 があるため NTLM アクセス 用 に 作 成 する Windows アカウントに 管 理 者 権 限 が 必 要 となりま す 複 数 の 仮 想 システムを 設 定 している 場 合 同 じホス トで 実 行 される 仮 想 システムで AD の 制 約 があるため vsys1 のみがドメインに 参 加 できます 108 スタート ガイド

111 ユーザー ID の 設 定 ユーザー ID の 有 効 化 IP アドレス 対 ユーザーのマッピング( 続 き) ステップ 2 ファイアウォールでモニタリン グするサーバーを 定 義 し IP ア ドレス 対 ユーザー マッピングの 情 報 を 収 集 します ネットワーク で 最 大 100 個 の Microsoft Active Directory Microsoft Exchange ま たは Novell edirectory サーバーの エントリを 定 義 できます 必 要 なマッピング 情 報 をすべて 収 集 するには ユーザーがログ インしているすべてのサーバー に 接 続 し ログオン イベントを 含 むすべてのサーバーのセキュ リティ ログ ファイルをファイア ウォールでモニタリングできる ようにする 必 要 があります 1. [Device] > [ ユーザー ID] > [ ユーザー マッピング ] の 順 に 選 択 します 2. 画 面 の [ サーバー モニタリング ] セクションで [ 追 加 ] をクリックします 3. サーバーの [ 名 前 ] と [ ネットワーク アドレス ] を 入 力 します 4. [タイプ] フィールドで サーバーのタイプを 選 択 します 5. [ 有 効 ] チェックボックスがオンになっていることを 確 認 し [OK] をクリックします 6. ( オプション ) DNS 検 索 を 使 用 してファイアウォールで 自 動 的 にネットワークのドメイン コントローラを 検 出 できるようにするには [ 検 出 ] をクリックします 注 意 自 動 検 出 機 能 は ドメイン コントローラの 場 合 の み 有 効 です Exchange Server や edirectory サーバー をモニタリングする 場 合 手 動 でそれらを 追 加 する 必 要 があります 7. ( 任 意 ) ファイアウォールが 設 定 済 みサーバーに 対 して マッピング 情 報 をポーリングする 頻 度 を 調 整 するに は 画 面 の Palo Alto Networks ユーザー ID エージェン ト 設 定 セクションで 編 集 アイコン をクリックし て [ サーバー モニタ ] タブを 選 択 します [ サーバー ロ グのモニター 頻 度 ( 秒 )] フィールドで 値 を 変 更 します DC が 古 い 環 境 やリンクの 遅 延 が 大 きな 環 境 の 場 合 こ のフィールドの 値 を 5 秒 に 増 やすことをお 勧 めします ステップ 3 ファイアウォールで Windows リ ソースへのアクセスに 使 用 する アカウントのドメイン 認 証 情 報 を 設 定 します この 設 定 は WMI プローブと Exchange Server およ びドメイン コントローラのモニ タリングに 必 要 です 1. [WMI 認 証 ] タブで [ ユーザー 名 ] と [ パスワード ] フィールドに クライアントのプローブとサーバーの モニタリングに 使 用 するアカウントの 名 前 とパスワー ドを 入 力 します [ ドメイン ]/[ ユーザー 名 ] の 構 文 を 使 用 するユーザー 名 を 入 力 します スタート ガイド 109

112 ユーザー ID の 有 効 化 ユーザー ID の 設 定 IP アドレス 対 ユーザーのマッピング( 続 き) ステップ 4 注 意 ドメインの 認 証 情 報 を 定 義 し 必 要 に 応 じて WMI プローブを 有 効 にします オンデバイス エージェントでは NetBIOS プローブがサポートさ れておらず Windows ベースの User-ID エージェントでのみサ ポートされています 2. [ クライアントによるプローブ ] タブで [ プローブの 有 効 化 ] チェックボックスをオンにします 3. ( 任 意 ) 必 要 に 応 じて [ プローブ 間 隔 ] の 値 を 変 更 し 取 得 した IP アドレスをすべてプローブするのに 十 分 な 時 間 を 確 保 します 4. Windows ファイアウォールでは プローブ 対 象 のクライ アントごとにリモート 管 理 の 例 外 を 追 加 することで クライアントのプローブが 許 可 されます ステップ 5 設 定 を 保 存 します 1. [OK] をクリックして User-ID エージェントの 設 定 を 保 存 します 2. 設 定 を 保 存 するには [Commit] をクリックします ステップ 6 ヒント ( 任 意 ) サービス アカウントや kiosk アカウントなど IP アドレ ス 対 ユーザー 名 のマッピングが 不 要 な 一 連 のユーザーを 定 義 し ます また ignore-user リストを 使 用 して キャプティブ ポータル を 使 用 した 認 証 の 実 施 が 必 要 な ユーザーを 識 別 することもでき ます 1. ファイアウォールに 対 する CLI セッションを 開 きます 2. ファイアウォールでのマッピングが 不 要 なユーザー ア カウントのリストを 追 加 するには 以 下 のコマンドを 実 行 します set user-id-collector ignore-user <value> <value> は 無 視 するユーザー アカウントのリストで リス トに 追 加 するアカウント 数 に 制 限 はありません エン トリをスペースで 区 切 ります ドメイン 名 はユーザー 名 に 含 まれません 例 : set user-id-collector ignore-user SPAdmin SPInstall TFSReport 3. 変 更 をコミットします ステップ 7 設 定 を 確 認 します 1. CLI から 以 下 のコマンドを 入 力 します show user server-monitor state all 2. Web インターフェイスで [Device] > [ ユーザー ID] > [ ユー ザー マッピング ] の 順 に 選 択 して サーバーのモニタ リング 用 に 設 定 したサーバーごとに [ 状 態 ] が [ 接 続 済 み ] になっていることを 確 認 します 110 スタート ガイド

113 ユーザー ID の 設 定 ユーザー ID の 有 効 化 キャプティブ ポータルを 使 用 した IP アドレス 対 ユーザー 名 のマッピング ファイアウォールが User-ID 対 応 のゾーンから 要 求 を 受 信 し 送 信 元 IP アドレスにユーザーの データが 関 連 付 けられていない 場 合 キャプティブ ポータルのポリシーで 一 致 を 確 認 し 認 証 を 実 施 する 必 要 があるかどうかを 判 断 します Linux クライアントなど クライアントがドメイン サーバーにログインしていない 環 境 では この 設 定 が 効 果 的 です このユーザー マッピングの 方 法 がトリガーされるのは セキュリティ ルール / ポリシーと 一 致 し かつ 他 の 方 法 を 使 用 して マッピングされていない Web トラフィック (HTTP または HTTPS) の 場 合 のみです キャプティブ ポータルの 認 証 方 法 キャプティブ ポータルでは 要 求 がキャプティブ ポータルのポリシーと 一 致 すると 以 下 の 方 法 によりユーザー データをクライアントから 取 得 します 認 証 方 法 NTLM 認 証 説 明 ファイアウォールでは 暗 号 化 されたチャレンジ レスポンス 機 構 を 使 用 して ユーザーの 認 証 情 報 をブラウザから 入 手 します 正 しく 設 定 され ていれば ブラウザからファイアウォールに 認 証 情 報 が 透 過 的 に ( ユー ザーに 要 求 メッセージが 表 示 されることなく ) 提 供 されますが 場 合 に よっては 要 求 メッセージが 表 示 されます ブラウザで NTLM を 実 行 でき ない または NTLM 認 証 に 失 敗 した 場 合 キャプティブ ポータルの 設 定 に 応 じて ファイアウォールから Web フォーム 認 証 またはクライアン ト 証 明 書 認 証 に 差 し 戻 されます IE では デフォルトで NTLM がサポートされています Firefox および Chrome の 場 合 も NTLM を 使 用 するように 設 定 できます Windows 以 外 のクライアントでは NTLM 認 証 を 使 用 できません Web フォーム 要 求 が Web フォームにリダイレクトされ 認 証 されます ローカル ユー ザー データベース RADIUS LDAP または Kerberos を 使 用 してユー ザーを 認 証 するようにキャプティブ ポータルを 設 定 できます ユーザー は 常 に 認 証 情 報 を 要 求 されますが この 認 証 方 法 は すべてのブラウザ およびオペレーティング システムと 連 動 します クライアント 証 明 書 認 証 有 効 なクライアント 証 明 書 をブラウザに 要 求 してユーザーを 認 証 しま す この 方 法 を 使 用 するには クライアント 証 明 書 をユーザー システム ごとに 提 示 し 信 頼 された CA 証 明 書 をインストールし その 証 明 書 を 使 用 してクライアント 証 明 書 をファイアウォールで 発 行 します Mac OS や Linux クライアントの 場 合 この 方 法 が 透 過 的 な 認 証 を 可 能 にする 唯 一 の 方 法 です スタート ガイド 111

114 ユーザー ID の 有 効 化 ユーザー ID の 設 定 キャプティブ ポータルのモード キャプティブ ポータルのモードにより Web 要 求 をキャプチャして 認 証 を 行 う 方 法 が 定 義 され ます モード 透 過 リダイレクト 説 明 キャプティブ ポータル ルールに 従 い ファイアウォールがブラ ウザのトラフィックを 遮 断 して 元 の 宛 先 URL になりすまし HTTP 401 を 発 行 して 認 証 を 呼 び 出 します ただし ファイア ウォールに 宛 先 URL の 実 際 の 証 明 書 がないため ユーザーが 保 護 されたサイトにアクセスしようとすると ブラウザに 証 明 書 のエ ラーが 表 示 されます そのため レイヤー 2 またはバーチャル ワ イヤーの 導 入 など どうしても 必 要 な 場 合 以 外 は このモードを 使 用 しないでください ファイアウォールが 不 明 な HTTP または HTTPS セッションを 遮 断 し 認 証 を 実 行 するための HTTP 302 リダイレクトにより そ れらのセッションをファイアウォールのレイヤー 3 インター フェイスにリダイレクトします エンドユーザーの 使 い 勝 手 が 良 くなる ( 証 明 書 のエラーがない ) ため こちらのモードが 推 奨 さ れます ただし レイヤー 3 の 追 加 設 定 が 必 要 となります リダ イレクト モードのもう 1 つのメリットとして セッションの cookie を 使 用 することにより ユーザーはタイムアウトが 発 生 す るたびにマッピングを 再 要 求 しなくても 引 き 続 き 認 証 済 みサイ トにアクセスできます ある IP アドレスから 別 の IP アドレス ( 企 業 LAN からワイヤレス ネットワークなど ) にローミングする ユーザーの 場 合 セッションが 開 いている 限 り IP アドレス 変 更 時 の 再 認 証 が 不 要 なため 特 にこのモードが 効 果 的 です さらに NTLM 認 証 を 使 用 する 場 合 は ブラウザからは 信 頼 されたサイト のみに 認 証 情 報 が 発 行 されるため リダイレクト モードを 使 用 す る 必 要 があります 112 スタート ガイド

115 ユーザー ID の 設 定 ユーザー ID の 有 効 化 キャプティブ ポータルの 設 定 以 下 の 手 順 では オンデバイスの User-ID エージェントを 使 用 して キャプティブ ポータル ポ リシーに 一 致 する 要 求 を ファイアウォールのレイヤー 3 インターフェイスにリダイレクトする ようにキャプティブ ポータルを 設 定 する 方 法 を 示 します Windows ベースのエージェントを 使 用 したキャプティブ ポータルの 設 定 の 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 7 章 ファ イアウォールへの User-ID の 設 定 にある User-ID エージェントのセットアップ を 参 照 して ください 他 の User-ID 機 能 (ユーザー マッピングおよびグループ マッピング) を 使 用 せずにキャ プティブ ポータルを 使 用 する 場 合 は エージェントを 設 定 する 必 要 はありません ローカル USER-ID エージェントを 使 用 したキャプティブ ポータルの 設 定 ステップ 1 ステップ 2 ステップ 3 ファイアウォールに ユーザー データを 収 集 するためにモニタ リングするサーバー ( ドメイン コントローラ Exchange Server な ど) へのルートが 存 在 することを 確 認 します ドメイン コントローラのアドレ スを 解 決 するように DNS が 設 定 されていることを 確 認 します ( リダイレクト モードのみ ) キャ プティブ ポータルの 要 求 をリダ イレクトするレイヤー 3 イン ターフェイスを 作 成 します 今 回 の 製 品 のリリースでは ファイアウォールが MGT イン ターフェイスを 介 してサーバーと 通 信 する 必 要 があるた め このインターフェイスからディレクトリ サーバーが 存 在 するネットワークにアクセスできることを 確 認 する 必 要 があります お 使 いの 環 境 でこの 設 定 が 機 能 しない 場 合 Windows ベースの User-ID エージェントを 使 用 してキャプ ティブ ポータルを 設 定 する 必 要 があります 正 しく 名 前 が 解 決 されていることを 確 認 するには サーバーの FQDN を ping します 例 : ping host dc1.acme.com 1. 管 理 プロファイルを 作 成 して インターフェイスに キャプティブ ポータルの 応 答 ページを 表 示 できるよう にします a [Network] > [ インターフェイス 管 理 ] の 順 に 選 択 し [ 追 加 ] をクリックします b [ 名 前 ] フィールドにプロファイル 名 を 入 力 し [ 応 答 ページ ] を 選 択 してから [OK] をクリックします 2. レイヤー 3 インターフェイスを 作 成 します 方 法 につい ては 49 ページの インターフェイスおよびゾーンの 設 定 を 参 照 してください ステップ 1 ([Ethernet イン ターフェイス ] ダイアログの [ 詳 細 ] > [ その 他 の 情 報 ]) で 作 成 した 管 理 プロファイルが 関 連 付 けられているこ とを 確 認 します 3. レイヤー 3 インターフェイスで 設 定 した IP アドレスと イントラネットのホスト 名 (ntlmhost など 名 前 に ドットが 含 まれないホスト 名 ) をマッピングする DNS の A レコードを 作 成 します スタート ガイド 113

116 ユーザー ID の 有 効 化 ユーザー ID の 設 定 ローカル USER-ID エージェントを 使 用 したキャプティブ ポータルの 設 定 ( 続 き) ステップ 4 注 意 ( リダイレクト モードのみ ) 証 明 書 のエラーが 表 示 されることな く 透 過 的 にユーザーをリダイレ クトするには 要 求 のリダイレク ト 先 となるインターフェイスの IP アドレスと 一 致 する 証 明 書 を インストールする 必 要 がありま す 自 己 署 名 証 明 書 を 作 成 する か または 外 部 CA によって 署 名 された 証 明 書 をインポートでき ます キャプティブ ポータルを 初 めて セットアップする 場 合 インポー トされた 証 明 書 は 機 能 しません インポートされた 証 明 書 を 使 用 するには [ サーバー 証 明 書 ] を 指 定 せずに 初 期 設 定 を 完 了 しま す これでキャプティブ ポータ ルを 有 効 にすれば インポートさ れた 証 明 書 に 戻 って 切 り 替 える ことができます 自 己 署 名 証 明 書 を 使 用 するには 以 下 のとおり まずルート CA の 証 明 書 を 作 成 してから その CA を 使 用 してキャプティ ブ ポータルに 使 用 する 証 明 書 に 署 名 する 必 要 があります 1. ルート CA 証 明 書 を 作 成 するには [Device] > [ 証 明 書 の 管 理 ] > [ 証 明 書 ] > [ デバイス 証 明 書 ] の 順 に 選 択 し [ 生 成 ] をクリックします [ 証 明 書 名 ] テキストボッ クスに RootCA などの 名 前 を 入 力 します [ 署 名 者 ] フィールドの 値 を 選 択 すると その 証 明 書 が 自 己 署 名 証 明 書 であることを 示 すため この 値 は 選 択 しないで ください [ 認 証 局 ] チェックボックスがオンになって いることを 確 認 してから [OK] をクリックすると 証 明 書 が 生 成 されます 2. キャプティブ ポータルに 使 用 する 証 明 書 を 作 成 するに は [ 生 成 ] をクリックします [ 証 明 書 名 ] に 名 前 を 入 力 し インターフェイスのイントラネット ホストの DNS 名 前 を [ 共 通 名 ] フィールドに 入 力 します [ 署 名 者 ] フィールドで 前 の 手 順 で 作 成 した CA を 選 択 しま す IP アドレスの 属 性 を 追 加 し 要 求 のリダイレクト 先 となるレイヤー 3 インターフェイスの IP アドレスを 指 定 します [OK] をクリックして 証 明 書 を 生 成 します 3. クライアントが 証 明 書 を 信 頼 するように 設 定 するには [ デバイス 証 明 書 ] タブで CA 証 明 書 を 選 択 し [ エクス ポート ] をクリックします 次 に 証 明 書 を 信 頼 された ルート CA としてすべてのクライアント ブラウザにイン ポートする 必 要 があります インポートはブラウザで 手 動 で 設 定 するか または 証 明 書 を Active Directory のグ ループ ポリシー オブジェクト (GPO) の 信 頼 されたルー トに 追 加 します 114 スタート ガイド

117 ユーザー ID の 設 定 ユーザー ID の 有 効 化 ローカル USER-ID エージェントを 使 用 したキャプティブ ポータルの 設 定 ( 続 き) ステップ 5 Web フォームが 呼 び 出 された 場 合 に 使 用 する 認 証 方 式 を 設 定 しま す NTLM を 使 用 する 場 合 でも NTLM 認 証 に 失 敗 した 場 合 や ユーザー エージェントで NTLM 認 証 がサポートされていない 場 合 に 使 用 できる 二 次 的 な 認 証 方 式 として 設 定 する 必 要 があります ベスト プラクティス : RADIUS を 使 用 してユーザー を Web フォームから 認 証 す る 場 合 RADIUS ドメインを 入 力 する 必 要 があります こ のドメインは ユーザーがロ グイン 時 にドメインを 指 定 しない 場 合 のデフォルトと して 使 用 されます AD を 使 用 してユーザーを Web フォームから 認 証 する 場 合 [samaccountname] を [LogonAttribute] として 入 力 する 必 要 があります 1. 使 用 する 予 定 の 認 証 サービスに 接 続 して 認 証 情 報 にア クセスできるように ファイアウォールを 設 定 します LDAP Kerberos または RADIUS を 使 用 して 認 証 を 行 う 場 合 サービスへの 接 続 方 法 と ユーザーの 認 証 情 報 にアクセスする 方 法 をファイアウォールに 指 示 するサーバー プロファイルを 作 成 する 必 要 がありま す [Device] > [ サーバー プロファイル ] の 順 に 選 択 し アクセスする 特 定 サービスの 新 しいプロファイ ルを 追 加 します Palo Alto Networks 管 理 者 ガイド の 第 3 章 デバイス 管 理 で 認 証 プロファイル を 参 照 してください ローカル データベース 認 証 を 使 用 する 場 合 まず ローカル データベースを 作 成 する 必 要 があります [Device] > [ ローカル ユーザー データベース ] の 順 に 選 択 し 認 証 するユーザーおよびグループを 追 加 し ます Palo Alto Networks 管 理 者 ガイド の 第 3 章 デ バイス 管 理 で ローカル ユーザー データベースの 作 成 を 参 照 してください 2. サーバー プロファイルまたは 先 ほど 作 成 したローカル ユーザー データベースを 参 照 する 認 証 プロファイルを 作 成 します [Device] > [ 認 証 プロファイル ] の 順 に 選 択 し キャプティブ ポータルで 使 用 する 新 しいプロ ファイルを 追 加 します 特 定 のタイプの 認 証 プロファ イルを 作 成 する 方 法 の 詳 細 は Palo Alto Networks 管 理 者 ガイド の 第 3 章 デバイス 管 理 で 認 証 プロファ イル を 参 照 してください スタート ガイド 115

118 ユーザー ID の 有 効 化 ユーザー ID の 設 定 ローカル USER-ID エージェントを 使 用 したキャプティブ ポータルの 設 定 ( 続 き) ステップ 6 注 意 ( オプション ) クライアント 証 明 書 の 認 証 を 設 定 します 認 証 プロ ファイルとクライアント 証 明 書 のプロファイルを 両 方 設 定 しな くても キャプティブ ポータル は 使 用 できます 両 方 設 定 する 場 合 は 両 方 の 認 証 方 式 でユーザー を 認 証 する 必 要 があります CRL または OCSP を 使 用 するか どうかなど その 他 の 証 明 書 プロ ファイル フィールドの 詳 細 は Palo Alto Networks 管 理 者 ガイ ド の 第 3 章 デバイス 管 理 で 認 証 プロファイル を 参 照 して ください 1. キャプティブ ポータルを 使 用 して 認 証 を 行 うユーザー ごとに 証 明 書 を 生 成 します 2. Base64 形 式 で CA 証 明 書 をダウンロードします 3. クライアント 証 明 書 を 生 成 した CA からファイアウォー ルに ルート CA 証 明 書 をインポートします a [Device] > [ 証 明 書 の 管 理 ] > [ 証 明 書 ] > [ デバイス 証 明 書 ] の 順 に 選 択 し [ インポート ] をクリックし ます b [ 証 明 書 名 ] フィールドに クライアント CA 証 明 書 であることを 識 別 できる 名 前 を 入 力 します c [Browse] をクリックして CA からダウンロードし た 証 明 書 ファイルを 選 択 します d [Base64 エンコード 済 み 証 明 書 (PEM)] を [ ファイル フォーマット ] フィールドで 選 択 し [OK] をクリッ クします e [ デバイス 証 明 書 ] タブで 先 ほどインポートした 証 明 書 を 選 択 して 開 きます f [ 信 頼 されたルート CA] を 選 択 して [OK] をクリック します 4. キャプティブ ポータルの 設 定 に 使 用 する クライアン トの 証 明 書 プロファイルを 作 成 します a [Device] > [ 証 明 書 ] > [ 証 明 書 の 管 理 ] > [ 証 明 書 プ ロファイル ] の 順 に 選 択 し [ 追 加 ] をクリックして [ 名 前 ] フィールドにプロファイル 名 を 入 力 します b [ ユーザー 名 フィールド ] ドロップダウン リストか ら ユーザー ID の 情 報 を 含 む 証 明 書 を 選 択 します c [CA 証 明 書 ] フィールドで [ 追 加 ] をクリックし ス テップ 3でインポートした 信 頼 されたルート 認 証 局 の 証 明 書 を 選 択 してから [OK] をクリックします ステップ 7 注 意 NTLM 認 証 を 有 効 にします オンデバイス User-ID エージェン トを 使 用 する 場 合 ファイア ウォールがドメインに 参 加 でき るようにするために ファイア ウォールでドメイン コントロー ラの DNS 名 を 解 決 できるように する 必 要 があります 以 下 で 指 定 する 認 証 情 報 が 使 用 され DNS の 名 前 が 解 決 された 時 点 でファ イアウォールがドメインに 参 加 します 1. [Device] > [ ユーザー ID] > [ ユーザー マッピング ] の 順 に 選 択 し 画 面 の [Palo Alto Networks ユーザー ID エー ジェント 設 定 ] セクションで 編 集 アイコン をクリッ クします 2. [NTLM] タブで [NTLM 認 証 処 理 の 有 効 化 ] チェック ボックスをオンにします 3. ファイアウォールの User-ID エージェントが NTLM 認 証 情 報 を 確 認 する 対 象 となる NTLM ドメインを 入 力 し ます ページの IP アドレス 対 ユーザーのマッピング の ステップ 1 で NTLM 認 証 用 に 作 成 した Active Directory アカウントのユーザー 名 とパスワードを 入 力 します 116 スタート ガイド

119 ユーザー ID の 設 定 ユーザー ID の 有 効 化 ローカル USER-ID エージェントを 使 用 したキャプティブ ポータルの 設 定 ( 続 き) ステップ 8 キャプティブ ポータルを 設 定 します 1. [Device] > [ ユーザー ID] > [ キャプ ティブ ポータルの 設 定 ] の 順 に 選 択 し 画 面 の [ キャプティブ ポータ ル ] セクションで 編 集 アイコン をクリックします 2. [ 有 効 ] チェックボックスがオンに なっていることを 確 認 します 3. [ モード ] を 設 定 します この 例 で は [ リダイレクト ] モードの 設 定 方 法 について 説 明 します 4. ( リダイレクト モードのみ ) [ サー バー 証 明 書 ] で ファイアウォールが SSL 経 由 で 要 求 のリダイレクトに 使 用 する 証 明 書 を 選 択 します この 証 明 書 は ステップ 4 で 作 成 した 証 明 書 です 5. ( リダイレクト モードのみ ) [ ホストのリダイレクト ] フィールドでホストを 指 定 します これは ステップ 3 で 指 定 したとおり 要 求 のリダイレクトに 使 用 するレイヤー 3 インター フェイスの IP アドレスを 解 決 する イントラネットのホスト 名 です 6. NTLM が 失 敗 した 場 合 ( または NTLM を 使 用 しない 場 合 ) に 使 用 する 認 証 方 式 を 選 択 します - LDAP Kerberos RADIUS またはローカル データベース 認 証 を 使 用 する 場 合 [ 認 証 プ ロファイル ] フィールドで ステップ 5 で 作 成 したプロファイルを 選 択 します - クライアント 証 明 書 の 認 証 を 使 用 する 場 合 [ 証 明 書 プロファイル ] フィールドで ステッ プ 6 で 作 成 した 証 明 書 を 選 択 します 7. [OK] をクリックして 設 定 を 保 存 します 8. [Commit] をクリックしてキャプティブ ポータルの 設 定 を 保 存 します スタート ガイド 117

120 ユーザーおよびグループ ベースのポリシーを 有 効 にする ユーザー ID の 設 定 ユーザーおよびグループ ベースのポリシーを 有 効 にする ユーザーおよびグループに 基 づくセキュリティ ポリシーを 有 効 にするには 識 別 するユーザー を 含 むゾーンごとに User-ID を 有 効 にする 必 要 があります そうすることで ユーザー 名 または グループのメンバーシップに 基 づいてトラフィックを 許 可 または 拒 否 するポリシーを 定 義 でき ます さらにキャプティブ ポータルのポリシーを 作 成 することで ユーザー データが 関 連 付 け らていない IP アドレスを 識 別 することもできます ユーザーおよびグループ ベースのポリシーを 有 効 にする ステップ 1 ユーザーベースのアクセス 制 御 を 必 要 とする 送 信 元 ゾーンとしてユーザーがリクエストを 送 信 するゾーンにおいて User-ID を 有 効 にします 1. [Network] > [ ゾーン ] の 順 に 選 択 します 2. [ 名 前 ] フィールドで User-ID を 有 効 にするゾーンをクリック すると [ ゾーン ] ダイアログが 開 きます 3. [ ユーザー ID の 有 効 化 ] チェッ クボックスをオンにしてから [OK] をクリックします ステップ 2 ユーザーまたはグループに 基 づ くセキュリティ ポリシーを 作 成 します 1. User-ID を 設 定 すると セキュリティ ルールの 送 信 元 お よび 宛 先 を 定 義 するときに ユーザー 名 またはグルー プ 名 を 選 択 できるようになります a [Policies] > [ セキュリティ ] の 順 に 選 択 し [ 追 加 ] をクリックします ここで 新 しいポリシーを 作 成 す るか または 既 存 のポリシー ルール 名 をクリックす ると [ セキュリティ ポリシー ルール ] ダイアログ が 開 きます b [ ユーザー] タブを 選 択 し ダイアログの [ 送 信 元 ユー ザー ] セクションで [ 追 加 ] ボタン をクリックす ると ファイアウォールのグループ マッピング 機 能 により 検 出 されたユーザーおよびグループのリスト が 表 示 されます c ポリシーに 追 加 するユーザーまたはグループを 選 択 します 2. 必 要 に 応 じてポリシーのその 他 の 部 分 を 設 定 し [OK] をクリックして 設 定 を 保 存 します セキュリティ ポリ シーのその 他 のフィールドの 詳 細 は 57 ページの 基 本 的 なセキュリティ ポリシーのセットアップ を 参 照 してください 118 スタート ガイド

121 ユーザー ID の 設 定 ユーザーおよびグループ ベースのポリシーを 有 効 にする ユーザーおよびグループ ベースのポリシーを 有 効 にする( 続 き) ステップ 3 キャプティブ ポータル ポリシーを 作 成 します 1. [Policies] > [ キャプティブ ポータル ] の 順 に 選 択 します 2. [ 追 加 ] をクリックし [ 名 前 ] にポリシー 名 を 入 力 します 3. [ 送 信 元 ] [ 宛 先 ] および [ サービス /URL カテゴリ ] タブで 必 要 に 応 じて 認 証 するト ラフィックと 一 致 する 情 報 を 入 力 し ルールの 一 致 基 準 を 定 義 します これらのタブの 一 致 基 準 は セキュリティ ポリシーの 作 成 時 に 定 義 する 基 準 と 同 じです 詳 細 は 57 ページ の 基 本 的 なセキュリティ ポリシーのセットアップ を 参 照 してください 4. [ アクション ] タブで ルールと 一 致 するトラフィックに 対 するアクションを 定 義 します 選 択 肢 は 以 下 のとおりです - no-captive-portal キャプティブ ポータルのページを 表 示 せずに トラフィックの 通 過 を 許 可 します - web-form キャプティブ ポータルのページを 表 示 して ユーザーに 認 証 情 報 の 入 力 また はクライアント 証 明 書 認 証 の 使 用 を 要 求 します - browser-challenge NTLM 認 証 要 求 をユーザーの Web ブラウザで 開 きます Web ブラウ ザは ユーザーの 現 在 のログイン 認 証 情 報 を 使 用 して 応 答 します ログインの 認 証 情 報 を 使 用 できない 場 合 ユーザーに 認 証 情 報 の 提 示 を 要 求 します 以 下 の 例 では Web フォームを 表 示 して Trust ゾーンから Untrust ゾーンに HTTP 要 求 を 送 信 する 不 明 なユーザーを 認 証 するようファイアウォールに 指 示 する キャプティブ ポータルのポ リシーを 示 します ステップ 4 ポリシーの 設 定 を 保 存 します 1. [Commit] をクリックします スタート ガイド 119

122 User-ID 設 定 の 確 認 ユーザー ID の 設 定 User-ID 設 定 の 確 認 ユーザー ID を 設 定 してセキュリティ ポリシーおよびキャプティブ ポータル ポリシーの User-ID を 有 効 にしたら それらが 正 しく 動 作 していることを 確 認 する 必 要 があります ユーザー ID 設 定 の 確 認 ステップ 1 ステップ 2 グループ マッピングの 動 作 を 確 認 します ユーザー マッピングの 動 作 を 確 認 します CLI から 以 下 のコマンドを 入 力 します show user group-mapping statistics オンデバイス User-ID エージェントを 使 用 している 場 合 CLI から 以 下 のコマンドを 実 行 すれば 確 認 できます show user ip-user-mapping-mp all ステップ 3 セキュリティ ポリシーをテスト します IP Vsys From User Timeout (sec) vsys1 UIA acme\george vsys1 UIA acme\duane vsys1 UIA acme\betsy vsys1 UIA acme\administrator vsys1 AD acme\administrator 748 Total: 5 users *: WMI probe succeeded User-ID が 有 効 なゾーンのマシンからサイトやアプリケー ションにアクセスして ポリシーで 定 義 したルールをテ ストし トラフィックが 予 想 通 りに 許 可 または 拒 否 され ていることを 確 認 します また test security-policy-match コマンドを 使 用 し て ポリシーが 正 しく 設 定 されているかどうかを 確 認 し ます たとえば World of Warcraft をプレイする Duane と いうユーザーをブロックするルールがある 場 合 以 下 の 手 順 でポリシーをテストできます test security-policy-match application worldofwarcraft source-user acme\duane source any destination any destination-port any protocol 6 "deny worldofwarcraft" { from corporate; source any; source-region any; to internet; destination any; destination-region any; user acme\duane; category any; application/service worldofwarcraft; action deny; terminal no; } 120 スタート ガイド

123 ユーザー ID の 設 定 User-ID 設 定 の 確 認 ユーザー ID 設 定 の 確 認 ( 続 き) ステップ 4 キャプティブ ポータルの 設 定 を テストします 1. 先 ほどと 同 じゾーンから Mac OS システムなど ディ レクトリのメンバーでないマシンより ゾーン 外 部 の システムを ping します ping は 認 証 しなくても 動 作 し ます 2. 同 じマシンからブラウザを 開 き 定 義 したキャプティ ブ ポータル ポリシーと 一 致 する 宛 先 ゾーンの Web サ イトに 移 動 します キャプティブ ポータルの Web フォームが 表 示 されます 3. 正 しい 認 証 情 報 を 使 用 してログインし 要 求 したペー ジにリダイレクトされていることを 確 認 します 4. また 以 下 の test cp-policy-match コマンドを 使 用 してキャプティブ ポータル ポリシーをテストすること もできます test cp-policy-match from corporate to internet source destination Matched rule: 'captive portal' action: web-form ステップ 5 ログ ファイル ([Monitor] > [ ログ ]) にユーザー 名 が 表 示 されていることを 確 認 します スタート ガイド 121

124 User-ID 設 定 の 確 認 ユーザー ID の 設 定 ユーザー ID 設 定 の 確 認 ( 続 き) ステップ 6 レポート ([Monitor] > [ レポート ]) にユーザー 名 が 表 示 されていることを 確 認 します たとえ ば 以 下 の 例 に 示 すように 拒 否 されるアプリケーション のレポートまでドリルダウンす ると そのアプリケーションにアクセスしようとしたユーザーのリストを 確 認 できます 122 スタート ガイド

125 5 高 可 用 性 のセットアップ 高 可 用 性 (HA) は 2 つのファイアウォールを 1 つのグループに 配 置 して ネットワーク 上 の 単 一 障 害 点 を 回 避 するための 設 定 です 2 つのデバイス クラスタでファイアウォールを 設 定 すると 冗 長 性 が 得 られるため ビジネス 継 続 性 を 確 保 できます このセクションでは 以 下 のトピック について 説 明 します HA 概 要 アクティブ / パッシブ HA の 前 提 条 件 アクティブ / パッシブ ペアの 設 定 フェイルオーバーの 確 認 スタート ガイド 123

126 HA 概 要 高 可 用 性 のセットアップ HA 概 要 Palo Alto Networks ファイアウォールでは 2 つのデバイスを HA ペアとして 設 定 できます HA では プライマリ デバイスに 障 害 が 発 生 した 場 合 に 代 替 デバイスを 使 用 できるようにするこ とで ダウンタイムを 最 小 限 に 抑 えることができます このデバイスでは 専 用 またはインバン ドの HA ポートをファイアウォール 上 で 使 用 することにより ネットワーク オブジェクト ポ リシー 設 定 などのデータを 同 期 し 状 態 の 情 報 を 維 持 します 管 理 ポートの IP アドレスや 管 理 者 プロファイルなどのデバイス 固 有 の 設 定 HA 固 有 の 設 定 ログ データ およびアプリケー ション コマンド センター (ACC) の 情 報 は デバイス 間 で 共 有 されません アプリケーションお よびログのビューを HA ペア 間 で 統 合 したい 場 合 Panorama という Palo Alto Networks の 中 央 管 理 システムを 使 用 する 必 要 があります アクティブなデバイスで 障 害 が 発 生 した 場 合 パッシブ デバイスがトラフィックの 保 護 タスク を 引 き 継 ぎますが このイベントをフェイルオーバーといいます フェイルオーバーが 引 き 起 こ される 条 件 は 次 のとおりです モニター 対 象 となる 1 つ 以 上 のインターフェイスに 障 害 が 発 生 した 場 合 ( リンク モニタリング ) デバイスで 指 定 する 1 つ 以 上 の 宛 先 に 到 達 できない 場 合 ( パス モニタリング ) デバイスがハートビート ポーリングに 応 答 しない 場 合 ( ハートビート ポーリング ) HA モード HA のファイアウォールは 次 の 2 つのモードで 設 定 できます アクティブ / パッシブ 一 方 のデバイスではトラフィックをアクティブに 管 理 し もう 一 方 のデバイスでは 同 期 を 取 り 障 害 が 発 生 した 場 合 のアクティブ 状 態 への 移 行 に 備 えます こ の 設 定 では 両 方 のデバイスで 同 じ 設 定 を 共 有 し パス リンク システム またはネット ワークに 障 害 が 発 生 するまでは 一 方 がアクティブにトラフィックを 管 理 します アクティ ブなデバイスで 障 害 が 発 生 した 場 合 パッシブ デバイスがシームレスに 同 じポリシーを 引 き 継 いで 実 行 し ネットワーク セキュリティを 維 持 します アクティブ / パッシブ HA はバー チャル ワイヤー レイヤー 2 およびレイヤー 3 モードでサポートされています デバイス のアクティブ / パッシブ 設 定 の 詳 細 は アクティブ / パッシブ ペアの 設 定 を 参 照 してください PA-200 および VM シリーズ ファイアウォールは アクティブ / パッシブ HA の ライト バージョンをサポートしています HA のライト バージョンでは 設 定 を 同 期 できるほか IPSec Security Associations (SA) など いくつかの 実 行 時 デー タを 同 期 できます ただし セッションの 同 期 には 対 応 していないため HA ラ イトにはステートフル フェイルオーバー 機 能 がありません アクティブ / アクティブ ペアリングされた 両 方 のデバイスがアクティブな 状 態 でトラ フィックを 処 理 し 同 調 してセッションのセットアップやオーナーシップを 操 作 します ア クティブ / アクティブ 導 入 は バーチャル ワイヤーおよびレイヤー 3 モードでサポートされ ていますが 推 奨 されるのは 非 対 称 ルーティングのネットワークの 場 合 のみです デバイス のアクティブ / アクティブ 設 定 方 法 の 詳 細 は Active/ActiveHigh Availability Tech Note を 参 照 して ください 124 スタート ガイド

127 高 可 用 性 のセットアップ HA 概 要 HA リンクおよびバックアップ リンク HA ペアのデバイスでは HA リンクを 使 用 してデータを 同 期 し 状 態 情 報 を 管 理 します ファ イアウォールの 一 部 のモデルには コントロール リンク (HA1) とデータ リンク (HA2) という 専 用 の HA ポートがありますが それ 以 外 のモデルでは インバンド ポートを HA リンクとして 使 用 する 必 要 があります PA-3000 シリーズ PA-4000 シリーズ PA-5000 シリーズのファイアウォールなど 専 用 の HA ポート (HA1 および HA2) があるデバイスの 場 合 専 用 の HA ポートを 介 して 2 つの HA デバイ スの 管 理 プレーンとデータプレーンを 直 接 接 続 できます これらの 専 用 ポートを 使 用 して デバ イス 間 の 通 信 および 同 期 を 管 理 します PA-200 シリーズ PA-500 シリーズ PA-2000 シリーズの ファイアウォールなど 専 用 の HA ポートがないデバイスの 場 合 デバイス 間 の 管 理 プレーンを 直 接 接 続 できるようにするための HA1 リンク 用 の 管 理 ポートと HA2 リンク 用 のインバンド ポートを 使 用 します コントロール リンク : HA1 リンクは Hello ハートビート HA の 状 態 ルーティング 用 の 管 理 プレーンの 同 期 User-ID などの 情 報 交 換 に 使 用 します またこのリンクを 使 用 して ア クティブ デバイスまたはパッシブ デバイスの 設 定 変 更 をピア デバイスと 同 期 します HA1 リンクはレイヤー 3 リンクのため IP アドレスが 必 要 です HA1 リンクでは クリア テキ スト 通 信 に TCP ポート を 暗 号 化 通 信 (SSH over TCP) にポート 28 を 使 用 します データ リンク : HA2 リンクを 使 用 して セッションの 同 期 テーブルの 転 送 IPSec SA お よび ARP テーブルを HA ペアのデバイス 間 で 同 期 します HA2 リンクのデータ フローは (HA2 キープアライブを 除 き ) 常 に 単 向 性 なので データはアクティブ デバイスからパッシ ブ デバイスに 流 れます HA2 リンクはレイヤー 2 リンクなので デフォルトで EtherType 0x7261 を 使 用 します HA データ リンクは IP ( プロトコル 番 号 99) または UDP ( ポート 29281) のいずれかを 転 送 ポートとして 使 用 するように 設 定 できるため HA データ リンクは サブネットをまたぐことができます 注 : アクティブ / アクティブ 導 入 では パケット 転 送 に HA3 リンクも 使 用 します バックアップ リンク : HA1 リンクと HA2 リンクの 冗 長 性 を 提 供 します インバンド ポート は HA1 と HA2 の 両 方 のバックアップ リンクとして 使 用 します バックアップ HA リンク を 設 定 する 場 合 は 次 のガイドラインを 考 慮 してください プライマリ HA リンクとバックアップ HA リンクの IP アドレスを 重 複 させることはできません HA バックアップ リンクは プライマリ HA リンクとは 別 のサブネット 上 になければなりません HA1 バックアップと HA2 バックアップのポートは 異 なる 物 理 ポート 上 で 設 定 する 必 要 があり ます 注 : Palo Alto Networks では HA1 または HA1 のバックアップ リンクにインバンド ポートを 使 用 す る 場 合 ハートビート バックアップを 有 効 にすることをお 勧 めします スタート ガイド 125

128 HA 概 要 高 可 用 性 のセットアップ デバイス 優 先 度 およびプリエンプション HA ペアのデバイスにデバイス 優 先 度 の 値 を 割 り 当 てることにより どちらのデバイスにアク ティブな 役 割 を 持 たせて 優 先 的 にトラフィックを 管 理 させるかを 示 すことができます HA ペア の 特 定 のデバイスを 使 用 してアクティブにトラフィックを 保 護 する 必 要 がある 場 合 両 方 のファ イアウォールでプリエンプティブ 機 能 を 有 効 にし 各 デバイスに 優 先 度 の 値 を 割 り 当 てる 必 要 が あります 数 値 の 小 さい 方 のデバイス つまり 優 先 度 の 高 いデバイスがアクティブ デバイスに 指 定 され ネットワーク 上 のすべてのトラフィックを 管 理 します もう 一 方 のデバイスはパッシ ブ 状 態 となり アクティブ デバイスと 設 定 情 報 や 状 態 の 情 報 を 同 期 し 障 害 が 発 生 した 場 合 の アクティブ 状 態 への 移 行 に 備 えます デフォルトでは ファイアウォールでプリエンプションが 無 効 になっているため 両 方 のデバイ スで 有 効 にする 必 要 があります プリエンプティブの 動 作 を 有 効 にすると 優 先 度 の 高 い ( 数 値 の 低 い 方 の ) ファイアウォールが 障 害 から 回 復 した 後 に そのファイアウォールをアクティブ ファ イアウォールとして 再 開 させることができます プリエンプションが 発 生 すると そのイベント がシステム ログに 記 録 されます フェイルオーバーのトリガー アクティブなデバイスで 障 害 が 発 生 した 場 合 パッシブ デバイスがトラフィックの 保 護 タスク を 引 き 継 ぎますが このイベントをフェイルオーバーといいます アクティブ デバイスのモニ ター 対 象 メトリックに 障 害 が 発 生 すると フェイルオーバーが 引 き 起 こされます デバイスの 障 害 を 検 出 するための モニター 対 象 となるメトリックは 次 のとおりです ハートビート ポーリングおよび Hello メッセージ ファイアウォールでは Hello メッセー ジおよびハートビートを 使 用 して ピア デバイスの 応 答 状 態 および 動 作 状 態 を 検 証 します 設 定 した Hello 間 隔 で Hello メッセージがピアの 一 方 からもう 一 方 へ 送 信 され デバイスの 状 態 を 検 証 します ハートビートは コントロール リンクを 介 した HA ピアに 対 する ICMP ping の 一 種 で ピアがこの ping に 応 答 することで デバイスの 接 続 および 応 答 状 態 を 証 明 しま す デフォルトでは ハートビートの 間 隔 は 1000 ミリ 秒 です リンク モニタリング モニター 対 象 の 物 理 インターフェイスが 1 つのリンク グループに 集 約 され その 状 態 ( リンク アップまたはリンク ダウン ) がモニタリングされます リンク グ ループには 1 つ 以 上 の 物 理 インターフェイスを 含 めることができます グループ 内 のイン ターフェイスの 一 部 またはすべてに 障 害 が 発 生 すると デバイスの 障 害 が 引 き 起 こされま す デフォルトの 動 作 では グループ 内 のいずれかのリンクに 障 害 が 発 生 すると デバイス の HA 状 態 が 非 稼 働 に 変 わり モニター 対 象 オブジェクトの 障 害 を 示 します パス モニタリング ネットワーク 全 体 でミッション クリティカルな IP アドレスへの 全 経 路 をモニタリングします ICMP ping を 使 用 して 問 題 の IP アドレスに 到 達 可 能 かどうかを 検 証 します デフォルトの ping 間 隔 は 200 ミリ 秒 です 10 回 ( デフォルト 値 ) 連 続 で ping に 失 敗 すると その IP アドレスに 到 達 不 可 能 とみなされ 対 象 の IP アドレスの 一 部 またはす べてに 到 達 不 可 能 となった 場 合 は デバイスの 障 害 が 引 き 起 こされます デフォルトの 動 作 では IP アドレスのいずれかに 到 達 不 可 能 となった 場 合 デバイスの HA 状 態 が not-functional に 変 わり モニター 対 象 オブジェクトの 障 害 を 示 します 126 スタート ガイド

129 高 可 用 性 のセットアップ アクティブ / パッシブ HA の 前 提 条 件 上 記 のフェイルオーバーのトリガー 条 件 に 加 えて 管 理 者 がデバイスを 一 時 停 止 した 場 合 また はプリエンプションが 発 生 した 場 合 も フェイルオーバーが 引 き 起 こされます 注 : PA-3000 シリーズと PA-5000 シリーズのファイアウォールでは 内 部 ヘルス チェックに 失 敗 するとフェイルオーバーが 引 き 起 こされる 場 合 があります このヘルス チェックは 設 定 変 更 不 可 能 で 有 効 時 はファイアウォール 内 のすべてのコンポーネントに 対 して 動 作 状 態 を 検 証 します アクティブ / パッシブ HA の 前 提 条 件 Palo Alto Networks ファイアウォールで 高 可 用 性 をセットアップするには 次 の 前 提 条 件 を 満 たす ファイアウォールのペアが 必 要 です 同 じモデル ペアの 両 方 のデバイスが 同 じハードウェアまたは 仮 想 マシンのモデルでなけれ ばなりません 同 じバージョンの PAN OS 両 方 のデバイスで 同 じバージョンの PAN OS を 実 行 していて 両 方 のアプリケーション URL および 脅 威 データベースで 最 新 の 状 態 を 保 つ 必 要 がありま す また 同 じ 複 数 の 仮 想 システム ( シングルまたはマルチ vsys) 機 能 を 備 えている 必 要 があ ります 同 タイプのインターフェイス 専 用 の HA リンク またはインターフェイス タイプを HA に 設 定 した 管 理 ポートとインバンド ポートの 組 み 合 わせです デバイス ペア 間 の HA1 ( コントロール リンク ) 接 続 の IP アドレスを 決 定 します ピアが 直 結 さ れている 場 合 または 同 じスイッチに 接 続 されている 場 合 は 両 方 の HA1 IP アドレスが 同 じサ ブネット 上 になければなりません 専 用 の HA ポートを 持 たないデバイスでは 管 理 ポートをコントロール リンクの 接 続 に 使 用 でき ます 管 理 ポートを 使 用 すると 両 方 のデバイスで 管 理 プレーン 間 の 通 信 を 直 接 接 続 できます ただし 管 理 ポートはデバイス 間 で 直 結 できないため ネットワーク 全 体 でこれら 2 つのインター フェイスを 接 続 するルートがあることを 確 認 してください レイヤー 3 を HA2 ( データ ) 接 続 の 転 送 方 法 として 使 用 する 場 合 HA2 リンクの IP アドレスを 決 定 する 必 要 があります 経 路 指 定 されたネットワークを 介 して HA2 接 続 の 通 信 を 行 う 必 要 が ある 場 合 は レイヤー 3 のみを 使 用 します HA2 リンクの IP サブネットは HA1 リンクのサブ ネットまたはファイアウォール 上 のデータ ポートに 割 り 当 てられたその 他 のサブネットと 重 複 し てはなりません デバイス 同 士 を 直 結 する 場 合 クロスオーバー ケーブルを 使 用 して HA ポートを 接 続 します スイッチまたはルーターを 使 用 して 接 続 をセットアップする 場 合 ストレート ケーブルを 使 用 し ます 同 一 ライセンス ライセンスはデバイス 固 有 のものであるため ほかのデバイスと 共 有 する ことはできません そのため 両 方 のデバイスで 同 一 のライセンスを 取 得 する 必 要 がありま す 両 方 のデバイスに 同 一 のライセンスがない 場 合 設 定 情 報 を 同 期 する または 等 価 性 を 管 理 してシームレスにフェイルオーバーを 発 生 させることができません スタート ガイド 127

130 設 定 のガイドライン 高 可 用 性 のセットアップ 設 定 のガイドライン アクティブ (PeerA) およびパッシブ (PeerB) のペアを HA でセットアップするには いくつかのオ プションを 両 方 のデバイスで 同 一 の 設 定 にし それ 以 外 のオプションを 各 デバイスで 個 別 に ( 一 致 しないように ) 設 定 する 必 要 があります これらの HA 設 定 は デバイス 間 で 同 期 されません HA でのデバイスの 設 定 手 順 をさらに 進 める 場 合 は アクティブ / パッシブ ペアの 設 定 を 参 照 して ください 次 の 表 に 両 方 のデバイスで 同 一 にする 必 要 のある 設 定 を 示 します PeerA と PeerB で 同 一 にする 設 定 HA は 両 方 のデバイスで 有 効 にする 必 要 があります 両 方 のデバイスに 同 じグループ ID の 値 を 割 り 当 てる 必 要 があります グループ ID の 値 は 設 定 した すべてのインターフェイスに 対 する 仮 想 MAC アドレスの 作 成 に 使 用 します 仮 想 MAC アドレスの 形 式 は 00-1B-17:00: xx: yy で 次 のような 意 味 を 持 ちます 00-1B-17: ベンダー ID 00: 固 定 xx: HA のグループ ID yy: インターフェイス ID 新 しいアクティブ デバイスがタスクを 引 き 継 ぐ 場 合 接 続 された 新 しいアクティブ メンバーの 各 イン ターフェイスから Gratuitous ARP が 送 信 され 接 続 されたレイヤー 2 スイッチに 仮 想 MAC アドレス の 新 しい 場 所 が 通 知 されます インバンド ポートを 使 用 する 場 合 HA1 リンクと HA2 リンクのインターフェイス タイプを HA に 設 定 する 必 要 があります HA モードを [ アクティブ / パッシブ ] に 設 定 する 必 要 があります 必 要 に 応 じて 両 方 のデバイスでプリエンプションを 有 効 にする 必 要 があります ただし デバイス 優 先 度 は 異 なる 値 にする 必 要 があります 必 要 に 応 じて HA1 リンク (HA ピア 間 の 通 信 用 ) の 暗 号 化 を 両 方 のデバイスで 設 定 する 必 要 があります 使 用 中 の HA1 と HA1 のバックアップ ポートの 組 み 合 わせに 応 じて 次 の 推 奨 事 項 に 基 づき ハート ビート バックアップを 有 効 にするかどうかを 判 断 してください HA1: 専 用 の HA1 ポート HA1 バックアップ : インバンド ポート 推 奨 : ハートビート バックアップを 有 効 にする HA1: 専 用 の HA1 ポート HA1 バックアップ : 管 理 ポート 推 奨 : ハートビート バックアップを 有 効 にしない HA1: インバンド ポート HA1 バックアップ : インバンド ポート 推 奨 : ハートビート バックアップを 有 効 にする HA1: 管 理 ポート HA1 バックアップ : インバンド ポート 推 奨 : ハートビート バックアップを 有 効 にしない 128 スタート ガイド

131 高 可 用 性 のセットアップ 設 定 のガイドライン 以 下 の 表 に 各 デバイスで 個 別 に 設 定 する 必 要 のある 項 目 を 示 します 個 別 の 設 定 PeerA PeerB コントロール リンク このデバイス (PeerA) で 設 定 されている HA1 リンクの IP アドレス データ リンク データ リンク 情 報 は HA を 有 効 にして デバイス 間 のコント ロール リンクを 有 効 にした 後 に デバ イス 間 で 同 期 され ます デバイス 優 先 度 ( 必 須 プリエンプション が 有 効 な 場 合 ) リンク モニタリン グ このデバイス の 主 要 トラフィック を 処 理 する 1 つ 以 上 の 物 理 インターフェ イスをモニタリング し 失 敗 条 件 を 定 義 します パス モニタリング ファイアウォー ルで ICMP ping を 使 用 して 応 答 状 態 を 確 認 できる 1 つ 以 上 の 宛 先 IP アドレ スをモニタリング します このデバイス (PeerB) で 設 定 されてい る HA1 リンクの IP アドレス 専 用 の HA ポートを 持 たないデバイスでは 管 理 ポートをコントロール リンクの IP アドレスに 使 用 します デフォルトでは HA2 リンクでレイヤー 2 の Ethernet が 使 用 されます レイヤー 3 接 続 を 使 用 する 場 合 このデバ イス (PeerA) のデータ リンクの IP アドレス を 設 定 します アクティブにするデバイスの 数 値 を ピア よりも 小 さくする 必 要 があります そのた め PeerA をアクティブ デバイスとして 機 能 させる 場 合 デフォルト 値 の 100 をその ままにしておき PeerB の 値 をこれよりも 大 きくします モニタリングするファイアウォール 上 の 物 理 インターフェイスを 選 択 し フェイル オーバーを 引 き 起 こす 失 敗 条 件 ([ いずれか ] または [ すべて ]) を 定 義 します 失 敗 条 件 ([ すべて ] または [ いずれか ]) ping 間 隔 および ping の 実 行 回 数 を 定 義 します 相 互 接 続 されたネットワーク デバイスの 可 用 性 をモニタリングする 場 合 は 特 にこれ らの 定 義 が 役 に 立 ちます たとえば サー バーに 接 続 されたルーターの 可 用 性 サー バー 自 体 への 接 続 状 態 またはトラフィッ ク フロー 中 に 存 在 するその 他 いくつかの 主 要 デバイスへの 接 続 状 態 をモニタリングす る 場 合 などです モニタリング 中 のノード / デバイスが 応 答 していない 可 能 性 がある 場 合 特 に 負 荷 を 受 けている 場 合 は パス モニタリングの 障 害 の 原 因 となり フェイルオーバーが 引 き 起 こされるため このような 状 態 がないか どうかを 確 認 します デフォルトでは HA2 リンクでレイ ヤー 2 の Ethernet が 使 用 されます レイヤー 3 接 続 を 使 用 する 場 合 この デバイス (PeerB) のデータ リンクの IP アドレスを 設 定 します PeerB がパッシブの 場 合 デバイス 優 先 度 の 値 を PeerA よりも 大 きく 設 定 します たとえば 優 先 度 の 値 を 110 に 設 定 します このファイアウォール 上 でモニタリン グする 同 様 の 物 理 インターフェイス 群 を 選 択 し フェイルオーバーを 引 き 起 こす 失 敗 条 件 ([ すべて ] または [ いずれか ]) を 定 義 します PeerB でも モニタリングしてフェイ ルオーバーのトリガー 条 件 を 判 断 で きる 同 様 のデバイス 群 または 宛 先 IP アドレス 群 を 選 択 します 失 敗 条 件 ([ すべて ] または [ いずれか ]) ping 間 隔 および ping の 実 行 回 数 を 定 義 し ます スタート ガイド 129

132 アクティブ / パッシブ ペアの 設 定 高 可 用 性 のセットアップ アクティブ / パッシブ ペアの 設 定 以 下 の 手 順 は 下 のトポロジの 例 に 示 すようなアクティブ / パッシブ 導 入 で ファイアウォール のペアを 設 定 する 方 法 を 示 したものです デバイスの 接 続 および 設 定 ステップ 1 HA ポートを 接 続 して デバイス 間 の 物 理 的 な 接 続 をセットアッ プします 専 用 の HA ポートを 持 つデバイスの 場 合 Ethernet ケーブ ルを 使 用 して デバイス ペアの 専 用 の HA1 ポートと HA2 ポートを 接 続 します デバイス 同 士 を 直 結 する 場 合 は ク ロスオーバー ケーブルを 使 用 します 専 用 の HA ポートを 持 たないデバイスの 場 合 HA2 リン ク 用 とバックアップ HA1 リンク 用 に 2 つのデータ イン ターフェイスを 選 択 します 次 に Ethernet ケーブルを 使 用 して 両 デバイス 間 でこれらのインバンド HA インター フェイスを 接 続 します HA1 リンク 用 の 管 理 ポートを 使 用 して ネットワーク 全 体 を 通 じて 管 理 ポート 同 士 を 接 続 で きることを 確 認 します ペアのうちどちらかのデバイスを 選 択 して 次 のタスクを 完 了 します ステップ 2 ping を 管 理 ポートで 有 効 にしま す ping を 有 効 にすることで 管 理 ポートをハートビート バッ クアップの 情 報 交 換 に 使 用 でき ます 1. [Device] > [ セットアップ ] > [ 管 理 ] の 順 に 選 択 して 画 面 上 にある [ 管 理 インターフェイス 設 定 ] セクション で 編 集 アイコン をクリックします 2. インターフェイスで 許 可 されるサービスとして [Ping] を 選 択 します 130 スタート ガイド

133 高 可 用 性 のセットアップ アクティブ / パッシブ ペアの 設 定 デバイスの 接 続 および 設 定 ( 続 き) ステップ 3 ステップ 4 デバイスに 専 用 の HA ポートが ない 場 合 データ ポートを HA ポートとして 機 能 するように 設 定 します 専 用 の HA ポートを 持 つデバイス の 場 合 ステップ 4 に 進 みます コントロール リンクの 接 続 をセッ トアップします 次 の 例 は インターフェイス タ イプを HA に 設 定 したインバン ド ポートを 示 しています 管 理 ポートをコントロール リン クとして 使 用 するデバイスの 場 合 IP アドレス 情 報 が 自 動 的 に 入 力 されています 1. [Network] > [ インターフェイス ] の 順 に 選 択 します 2. 使 用 するポート 上 でリンクがアップになっている 確 認 します 3. インターフェイスを 選 択 してタイプを HA に 指 定 します 4. [ リンク 速 度 ] および [ リンク デュプレックス ] を 必 要 に 応 じて 設 定 します 1. [Device] > [ 高 可 用 性 ] > [ 全 般 ] の 順 に 選 択 し [ コン トロール リンク (HA1)] セクションを 編 集 します 2. [ ポート ] ドロップダウン メニューから HA1 リンクと して 使 用 するために 配 線 したインターフェイスを 選 択 します IP アドレスおよびネットマスクを 設 定 します HA1 インターフェイスがそれぞれ 別 のサブネット 上 に ある 場 合 のみ ゲートウェイの IP アドレスを 入 力 しま す デバイス 同 士 を 直 結 している 場 合 は ゲートウェ イを 追 加 しないでください ステップ 5 ( 任 意 ) コントロール リンク 接 続 の 暗 号 化 を 有 効 にします 一 般 的 に 2 つのデバイスが 直 接 接 続 されていない 場 合 すなわち ポートがスイッチまたはルーター に 接 続 されている 場 合 に リンク を 保 護 するためにこの 設 定 を 使 用 します 1. HA キーをデバイスからエクスポートして ピア デバ イスにインポートします a [Device] > [ 証 明 書 の 管 理 ] > [ 証 明 書 ] の 順 に 選 択 し ます b [HA キーのエクスポート ] を 選 択 します ピア デバ イスがアクセスできるネットワーク 上 の 場 所 に HA キーを 保 存 します c ピア デバイスで [Device] > [ 証 明 書 の 管 理 ] > [ 証 明 書 ] の 順 に 選 択 し [HA キーのインポート ] を 選 択 し てキーを 保 存 した 場 所 を 検 索 し そのキーをピア デ バイスにインポートします 2. [Device] > [ 高 可 用 性 ] > [ 全 般 ] の 順 に 選 択 し [ コン トロール リンク (HA1)] セクションを 編 集 します 3. [ 暗 号 化 を 有 効 ] を 選 択 します スタート ガイド 131

134 アクティブ / パッシブ ペアの 設 定 高 可 用 性 のセットアップ デバイスの 接 続 および 設 定 ( 続 き) ステップ 6 バックアップ コントロール リン クの 接 続 をセットアップします 1. [Device] > [ 高 可 用 性 ] > [ 全 般 ] の 順 に 選 択 し [ コント ロール リンク (HA1 Backup)] セクションを 編 集 します 2. HA1 バックアップ インターフェイスを 選 択 し IP アド レスとネットマスクを 設 定 します 132 スタート ガイド

135 高 可 用 性 のセットアップ アクティブ / パッシブ ペアの 設 定 デバイスの 接 続 および 設 定 ( 続 き) ステップ 7 デバイス 間 のデータ リンク 接 続 (HA2) とバックアップ HA2 接 続 をセットアップします 1. [Device] > [ 高 可 用 性 ] > [ 全 般 ] の 順 に 選 択 し [ デー タ リンク (HA2)] セクションを 編 集 します 2. データ リンク 接 続 のインターフェイスを 選 択 します 3. [ 転 送 ] の 方 法 を 選 択 します デフォルトでは [ethernet] が 選 択 されており HA ペアが 直 結 されている 場 合 ま たはスイッチ 経 由 で 接 続 されている 場 合 に 機 能 しま す ネットワーク 経 由 でデータ リンク トラフィックを ルーティングする 必 要 がある 場 合 は [ip] または [udp] を 転 送 方 法 に 指 定 します 4. 転 送 方 法 として [ip] または [udp] を 使 用 する 場 合 は IP アドレスとネットマスクを 入 力 します 5. [ セッション 同 期 を 有 効 にする ] が 選 択 されていること を 確 認 します 6. HA ピア 間 で HA2 データ リンク 上 のモニタリングを 有 効 にするには [HA2 キープアライブ ] を 選 択 します 設 定 されているしきい 値 ( デフォルトは ミリ 秒 ) に 基 づいて 障 害 が 発 生 した 場 合 定 義 されているアク ションが 発 生 します アクティブ / パッシブ 設 定 の 場 合 HA2 キープアライブの 障 害 が 発 生 すると critical レベルのシステム ログ メッセージが 生 成 されます 注 意 [HA2 キープアライブ ] オプションは HA ペアの 両 方 のデバイス または 一 方 のデバイスに 設 定 できま す このオプションが 一 方 のデバイスでのみ 有 効 な 場 合 そのデバイスのみからキープアライブ メッ セージが 送 信 されます もう 一 方 のデバイスには 障 害 が 発 生 したかどうかが 通 知 されます 7. [ データ リンク (HA2 バックアップ )] セクションを 編 集 し インターフェイスを 選 択 し IP アドレスとネット マスクを 追 加 します スタート ガイド 133

136 アクティブ / パッシブ ペアの 設 定 高 可 用 性 のセットアップ デバイスの 接 続 および 設 定 ( 続 き) ステップ 8 ステップ 9 コントロール リンクで 専 用 HA ポートまたはインバンド ポート を 使 用 している 場 合 は ハート ビート バックアップを 有 効 にし ます 管 理 ポートをコントロール リン クに 使 用 している 場 合 は ハート ビート バックアップを 有 効 にす る 必 要 はありません デバイス 優 先 度 を 設 定 してプリ エンプションを 有 効 にします 特 定 のデバイスがアクティブ デ バイスに 指 定 されていることを 確 認 する 場 合 のみ この 設 定 が 必 要 です 詳 細 は デバイス 優 先 度 およびプリエンプションを 参 照 してください 1. [Device] > [ 高 可 用 性 ] > [ 全 般 ] の 順 に 選 択 し [ 選 択 設 定 ] セクションを 編 集 します 2. [ ハートビート バックアップ ] を 選 択 します 冗 長 なハートビートおよび Hello メッセージを 送 信 す る 場 合 は ハートビート バックアップのリンクを 使 用 します ハートビートをデバイス 間 で 送 信 できるよう にするには ピア 同 士 で 管 理 ポートをルーティングで きることを 確 認 する 必 要 があります 1. [Device] > [ 高 可 用 性 ] > [ 全 般 ] の 順 に 選 択 し [ 選 択 設 定 ] セクションを 編 集 します 2. [ デバイス 優 先 度 ] で 優 先 度 の 数 値 を 設 定 します 優 先 度 を 高 くするデバイスの 数 値 を 小 さく 設 定 する 必 要 が あります 注 意 両 方 のファイアウォールで 優 先 度 の 値 が 同 じ 場 合 HA1 コントロール リンクで MAC アドレスが 最 も 小 さいファイアウォールがアクティブ デバイスと なります 3. [ プリエンプティブ ] を 選 択 します アクティブ デバイスとパッシブ デバイスの 両 方 でプリ エンプティブを 有 効 にする 必 要 があります ステップ 10 ( 任 意 パッシブ デバイスで 設 定 している 場 合 のみ ) パッシブ デ バイスで HA ポートのリンク ス テータスを 変 更 します 注 意 パッシブ リンクの 状 態 はデフォ ルトで [ シャットダウン ] が 選 択 されています HA を 有 効 にする と アクティブ デバイスの HA ポートのリンク 状 態 が 緑 に 変 わ り パッシブ デバイスの HA ポー トが 停 止 して 赤 く 表 示 されます リンク 状 態 を [ 自 動 ] に 設 定 すると フェイルオーバーが 発 生 した 場 合 にパッシブ デバイスがタスクを 引 き 継 ぐまで の 時 間 を 短 縮 できます また リンク 状 態 をモニタリング することもできます パッシブ デバイスでリンク 状 態 をアップにして 物 理 イン ターフェイスの 稼 働 状 態 および 配 線 状 態 を 保 つには 次 の 手 順 を 実 行 します 1. [Device] > [ 高 可 用 性 ] > [ 全 般 ] の 順 に 選 択 し [ アク ティブ / パッシブ 設 定 ] セクションを 編 集 します 2. [ パッシブ リンク 状 態 ] を [ 自 動 ] に 設 定 します [ 自 動 ] オプションを 設 定 すると フェイルオーバーが 発 生 し た 場 合 にパッシブ デバイスがタスクを 引 き 継 ぐまでの 時 間 を 短 縮 できます 注 意 インターフェイスの 表 示 は ( 配 線 されていて 稼 働 し ていることを 示 す ) 緑 になっていますが フェイル オーバーが 引 き 起 こされるまでは すべてのトラ フィックが 破 棄 されます パッシブ リンク 状 態 を 変 更 する 場 合 デバイスの リンク 状 態 のみに 基 づいて 隣 接 するデバイスから パッシブ ファイアウォールにトラフィックが 転 送 されていないことを 確 認 してください 134 スタート ガイド

137 高 可 用 性 のセットアップ アクティブ / パッシブ ペアの 設 定 デバイスの 接 続 および 設 定 ( 続 き) ステップ 11 HA を 有 効 にします 1. [Device] > [ 高 可 用 性 ] > [ 全 般 ] の 順 に 選 択 し [ セッ トアップ ] セクションを 編 集 します 2. [HA の 有 効 化 ] を 選 択 します 3. [ グループ ID] を 設 定 します この ID は ネットワー ク 上 の HA ペアを 一 意 に 識 別 するもので 複 数 の HA ペ アでネットワーク 上 の 同 じブロードキャスト ドメイン を 共 有 する 場 合 に 必 要 となります 4. モードを [ アクティブ パッシブ ] に 設 定 します 5. [ 設 定 の 同 期 の 有 効 化 ] を 選 択 します この 設 定 により アクティブ デバイスとパッシブ デバイスの 間 で 設 定 を 同 期 できるようになります 6. [ ピア HA IP アドレス ] で ピア デバイスのコントロー ル リンクに 割 り 当 てられた IP アドレスを 入 力 します 専 用 の HA ポートを 持 たないデバイスにおいて ピア が HA1 リンクとして 管 理 ポートを 使 用 している 場 合 ピアの 管 理 ポートの IP アドレスを 入 力 します 7. [ バックアップ 側 ピア HA IP アドレス ] を 入 力 します ステップ 12 設 定 の 変 更 を 保 存 します [Commit] をクリックします ステップ 13 HA ペアのもう 一 方 のデバイスで ステップ 2~ステップ 12を 実 行 します ステップ 14 両 方 のデバイスで 設 定 が 完 了 し たら アクティブ / パッシブ HA でそれらのデバイスがペアに なっていることを 確 認 します 1. 両 方 のデバイスで [Dashboard] にアクセスして [ 高 可 用 性 ] ウィジェットを 表 示 します 2. 下 に 示 すように デバイスがペアになっていて 同 期 さ れていることを 確 認 します スタート ガイド 135

138 アクティブ / パッシブ ペアの 設 定 高 可 用 性 のセットアップ デバイスの 接 続 および 設 定 ( 続 き) パッシブ デバイス : ローカル デバ イスの 状 態 が [passive] 設 定 が [synchronized] と 表 示 されます アクティブ デバイス : ローカル デバイスの 状 態 が [active] 設 定 が [synchronized] と 表 示 され ます フェイルオーバー 条 件 の 定 義 フェイルオーバーのトリガーの 設 定 ステップ 1 リンク モニタリングを 設 定 する には モニタリングするインター フェイスを 定 義 します これらの インターフェイスでリンク 状 態 を 変 更 すると フェイルオーバー が 引 き 起 こされます 1. [Device] > [ 高 可 用 性 ] > [ リンクおよびパスのモニタ リング ] の 順 に 選 択 します 2. [ リンク グループ ] セクションで [ 追 加 ] をクリックし ます 3. [ リンク グループ ] 画 面 で [ 名 前 ] を 指 定 して モニタ リングするインターフェイスを 追 加 し そのグループ の [ 失 敗 条 件 ] を 選 択 します 定 義 するリンク グルー プが [ リンク グループ ] セクションに 追 加 されます ステップ 2 ( 任 意 ) デバイスで ( 前 の 手 順 で ) 設 定 したリンク グループの 失 敗 条 件 を 変 更 します デフォルトでは モニタリング 対 象 のリンクのいずれかに 障 害 が 発 生 すると デバイスでフェイル オーバーが 引 き 起 こされます 1. [ リンク モニタリング ] セクションを 選 択 します 2. [ 失 敗 条 件 ] を [ すべて ] に 設 定 します デフォルトの 設 定 は [ いずれか ] です 136 スタート ガイド

139 高 可 用 性 のセットアップ アクティブ / パッシブ ペアの 設 定 フェイルオーバーのトリガーの 設 定 ( 続 き) ステップ 3 パス モニタリングを 設 定 するに は ファイアウォールで ping を 実 行 してネットワーク 接 続 を 確 認 するための 宛 先 IP アドレスを 定 義 します 1. [Device] > [ 高 可 用 性 ] > [ リンクおよびパスのモニタリン グ ] の 順 に 選 択 すると 表 示 される [ パス グループ ] セク ションで [ バーチャル ワイヤーパスの 追 加 ] [VLAN パスの 追 加 ] [ 仮 想 ルーターパスの 追 加 ] のいずれか を 選 択 します 2. [ 名 前 ] ドロップダウン リストから 適 切 な 項 目 を 選 択 し モニタリングする [ 送 信 元 IP] と [ 宛 先 IP] のアド レスを 画 面 の 指 示 に 従 って 追 加 します 次 に グルー プの [ 失 敗 条 件 ] を 選 択 します 定 義 するパス グルー プが [ パス グループ ] セクションに 追 加 されます ステップ 4 ( 任 意 ) デバイスで 設 定 したすべ てのパス グループの 失 敗 条 件 を 変 更 します デフォルトでは モニター 対 象 の いずれかのパスに 障 害 が 発 生 す ると デバイスでフェイルオー バーが 引 き 起 こされます [ 失 敗 条 件 ] を [ すべて ] に 設 定 します デフォルトの 設 定 は [ いずれか ] です ステップ 5 変 更 を 保 存 します [Commit] をクリックします スタート ガイド 137

140 アクティブ / パッシブ ペアの 設 定 高 可 用 性 のセットアップ フェイルオーバーの 確 認 HA の 設 定 が 正 しく 動 作 することをテストするには 手 動 でフェイルオーバーを 引 き 起 こして デバイスの 状 態 が 正 しく 移 行 することを 確 認 します フェイルオーバーの 確 認 ステップ 1 アクティブ デバイスをサスペン ドにします [Device] > [ 高 可 用 性 ] > [ 操 作 コマンド ] タブの 順 に 選 択 す ると 表 示 される [ ローカルデバイスをサスペンド ] リンク をクリックします ステップ 2 パッシブ デバイスがアクティブ デバイスとしてタスクを 引 き 継 いでいることを 確 認 します [Dashboard] の [ 高 可 用 性 ] ウィジェットで パッシブ デ バイスの 状 態 が [ アクティブ ] に 変 わっていることを 確 認 します ステップ 3 サスペンドされたデバイスを 稼 働 状 態 に 戻 します プリエンプ ティブを 有 効 にしている 場 合 は しばらく 待 ってからプリエンプ ションが 発 生 していることを 確 認 します 1. 前 にサスペンドにしたデバイスで [Device] > [ 高 可 用 性 ] > [ 操 作 コマンド ] タブの 順 に 選 択 して [ ローカル デバイスを 稼 働 状 態 にする ] リンクを 選 択 します 2. [Dashboard] の [ 高 可 用 性 ] ウィジェットで デバイス がアクティブ デバイスとしてタスクを 引 き 継 いでいる ことと ピアがパッシブ 状 態 に 変 わっていることを 確 認 します 138 スタート ガイド

Untitled

Untitled VPN 接 続 の 設 定 AnyConnect 設 定 の 概 要, 1 ページ AnyConnect 接 続 エントリについて, 2 ページ ハイパーリンクによる 接 続 エントリの 追 加, 2 ページ 手 動 での 接 続 エントリの 追 加, 3 ページ ユーザ 証 明 書 について, 4 ページ ハイパーリンクによる 証 明 書 のインポート, 5 ページ 手 動 での 証 明 書 のインポート,

More information

WebAlertクイックマニュアル

WebAlertクイックマニュアル 目 次 1 WebAlert とは...2 2 管 理 画 面 へのログイン 方 法...3 3 管 理 画 面 のログアウト 方 法...4 4 パスワードリマインダーの 利 用 方 法...5 5 管 理 画 面 の 概 要...6 6 アカウント 設 定...7 6-1 アカウント 情 報...8 6-2 アカウント 詳 細...9 6-3 メールアドレス...10 6-4 メール 通 知...12

More information

Visio-XPSP2_Mpro.vsd

Visio-XPSP2_Mpro.vsd 日 本 情 報 クリエイト 株 式 会 社 Magazine-Proで Microsoft Windows XP Service Pack 2 を 適 用 するにあたって Microsoft Windows XP Service Pack 2 セキュリティ 強 化 機 能 搭 載 は 2004 年 9 月 2 日 にMicrosoft 社 より 公 開 され た Windows XP Home Edition

More information

エラーに 関 して 賃 貸 革 命 の 場 合 Microsoft Windows XP Service Pack 2 セキュリティ 強 化 機 能 搭 載 を 適 用 することによって 賃 貸 革 命 を 起 動 する 際 に 様 々なエラーが 表 示 される 場 合 があります これは お 客

エラーに 関 して 賃 貸 革 命 の 場 合 Microsoft Windows XP Service Pack 2 セキュリティ 強 化 機 能 搭 載 を 適 用 することによって 賃 貸 革 命 を 起 動 する 際 に 様 々なエラーが 表 示 される 場 合 があります これは お 客 日 本 情 報 クリエイト 株 式 会 社 賃 貸 革 命 で Microsoft Windows XP Service Pack 2 を 適 用 するにあたって Microsoft Windows XP Service Pack 2 セキュリティ 強 化 機 能 搭 載 は 2004 年 9 月 2 日 にMicrosoft 社 より 公 開 さ れた Windows XP Home Edition

More information

ユーザーガイド

ユーザーガイド 印 刷 の 管 理 バージョン 1.1 ユーザーガイド 2016 年 7 月 www.lexmark.com 内 容 2 内 容 変 更 履 歴... 3 概 要... 4 アプリケーションを 使 用 する... 5 アプリケーションへのアクセス... 5 アプリケーションを 管 理 する... 5 問 題 に 対 処 する... 7 アプリケーションが 適 切 にロードできない...7 アプリケーションにログインできない...

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション Android OS 向 け 新 規 インストールガイド 安 心 ネットセキュリティ このインストールガイド( 以 下 本 ガイド )に 従 い アプリケーションをインストールして ください ご 注 意 : 安 心 ネットセキュリティ( 以 下 本 製 品 )は インターネットからアプリケーションを ダウンロードしてインストールします 本 ガイド 中 に 記 載 されている ホームキー メニューキー

More information

Microsoft Word - 参考資料:SCC_IPsec_win8__リモート設定手順書_20140502

Microsoft Word - 参考資料:SCC_IPsec_win8__リモート設定手順書_20140502 セキュアカメラクラウドサービス リモート 接 続 設 定 順 書 Windows 8 版 Ver1.0 株 式 会 社 NTTPC コミュニケーションズ Copyright 2014 NTT PC Communications Incorporated, All Rights Reserved. 次 1. はじめに... 2 2. 実 施 前 ご 確 認 事 項... 2 3. VPN 接 続 設

More information

V-CUBE One

V-CUBE One V-CUBE One Office 365 連 携 マニュアル ブイキューブ 2016/06/03 この 文 書 は V-CUBE One の Office 365 連 携 用 ご 利 用 マニュアルです 更 新 履 歴 更 新 日 内 容 2016/02/09 新 規 作 成 2016/03/11 Office 365 ID を 既 存 の One 利 用 者 と 紐 付 ける 機 能 に 関 する

More information

Microsoft Word - TechSmith Deployment Tool Documentation.docx

Microsoft Word - TechSmith Deployment Tool Documentation.docx TechSmith Deployment Tool マニュアル TechSmith Deployment Tool は Snagit や Camtasia Studio の 組 織 全 体 への 展 開 を 担 当 する Windows IT 管 理 者 のために 設 計 されたツールです このツールのイン ターフェイスを 使 用 することで 効 率 的 かつエラーのない 方 法 で MST ( 変

More information

クーポン販売かんたんインストールガイド

クーポン販売かんたんインストールガイド インストールガイド 目 次 セットアップの 流 れ... 3 シリアル 番 号 の 登 録... 4 M2Plus 会 員 に 登 録 していない 方... 4 すでに M2Plus 会 員 の 方... 6 M2Plus Launcher のダウンロード... 7 ipod touch/iphone/ipad から 直 接 ダウンロードする 場 合... 7 コンピュータからダウンロードする 場

More information

WebAlertクイックマニュアル

WebAlertクイックマニュアル WebAlert ユーザーズガイド 目 次 1 WebAlert とは... 3 2 管 理 画 面 ログイン 方 法... 4 3 管 理 画 面 ログアウト 方 法... 6 4 パスワードリマインダーの 利 用 方 法... 7 5 WebAlert 管 理 画 面 概 要... 8 6 アカウント 設 定... 9 6-1 アカウント 情 報... 10 6-2 アカウント 詳 細... 11

More information

技術報告会原稿フォーマット

技術報告会原稿フォーマット Web 情 報 共 有 サービス 利 用 マニュアル 1. ファイルの 保 存 ブラウザを 開 き https://webshare.kyokyo-u.ac.jp を 開 く.ログイン 画 面 が 表 示 されるので,ユーザ ID(メールの ID) とパスワードを 入 力 し,ログインボタンをクリックする( 図 2). ログインに 成 功 すると,TOP フォルダの 一 覧 が 表 示 される (

More information

Microsoft PowerPoint - 130522_リビジョンアップ案内_最終.pptx

Microsoft PowerPoint - 130522_リビジョンアップ案内_最終.pptx WaWaOfficeシリーズ バージョン8.2リビジョンアップ 2013 年 6 月 18 日 リリース 予 定 株 式 会 社 アイアットOEC ローカル 機 能 の 改 善 プレビュー 表 追 加 の 覧 表 にプレビュー 表 を 設 定 可 能 にしました 1 表 2 表 1 +プレビュー 表 から 選 択 設 定 法 個 設 定 個 設 定 基 本 設 定 PC 専 パラメータの 覧 表 時

More information

管理者ガイド

管理者ガイド 用 紙 とお 気 に 入 り バージョン 5.1 管 理 者 ガイド 2016 年 7 月 www.lexmark.com 内 容 2 内 容 変 更 履 歴... 3 概 要... 4 アプリケーションの 設 定... 5 内 蔵 Web サーバーにアクセスする... 5 ブックマークの 設 定... 5 アプリケーションアイコンをカスタマイズする... 5 設 定 ファイルをインポートまたはエクスポートする...

More information

<4D6963726F736F667420576F7264202D203193FA8AD45F95CA8E86325F89898F4B315F94F093EF8AA98D90939994AD97DF914F82CC8FEE95F182CC8EFB8F57814589C28E8B89BB2E646F63>

<4D6963726F736F667420576F7264202D203193FA8AD45F95CA8E86325F89898F4B315F94F093EF8AA98D90939994AD97DF914F82CC8FEE95F182CC8EFB8F57814589C28E8B89BB2E646F63> 1.ログイン 方 法 1-1: 県 域 統 合 型 GIS 総 合 ポータルから 研 修 用 のユーザID 及 びパスワードを 入 力 後 ログインする 1-2:ログイン 後 マップ 編 集 を 選 択 します 1-3:マップ 一 覧 から 編 集 したいマップを 選 ぶ 今 回 の 場 合 1. 避 難 勧 告 等 発 令 までの 情 報 収 集 可 視 化 ( 班 ) を 選 択 する 1 2.

More information

Microsoft Word - Active.doc

Microsoft Word - Active.doc 利 マニュアル 梅 校 メールサーバをご 利 されていた 教 員 の 皆 さまへ 2009 年 1 7 のメールサーバ 移 に 伴 い 学 外 からの 電 メールの 送 受 信 はウェブメール(Active!mail) からのみ 可 能 となりました Active!mail の 利 法 については 本 マニュアルをご 確 認 ください 次 Active!mail にログインする...2 Active!mail

More information

WebMail ユーザーズガイド

WebMail ユーザーズガイド ニフティクラウド ビジネスメール メール 共 有 サービス ユーザーズガイド 第 1.1 版 平 成 26 年 5 月 19 日 ニフティ 株 式 会 社 目 次 はじめに... 3 1. 共 有 メールボックスとは... 4 2. 共 有 メールボックスを 表 示 する... 5 3. 閲 覧 履 歴 操 作 履 歴 を 表 示 する... 8 4. 共 有 メールボックスからメールを 送 信 する...

More information

プロキシサーバー 概 要 プロキシサーバーは 頻 繁 にアクセスされる Web ページの 内 容 をキャッシュ することで ネットワークトラフィックを 削 減 し エンドユーザーに 対 するレスポ ンスの 高 速 化 を 行 います Internet Explorer などのブラウザでもデータをキャ

プロキシサーバー 概 要 プロキシサーバーは 頻 繁 にアクセスされる Web ページの 内 容 をキャッシュ することで ネットワークトラフィックを 削 減 し エンドユーザーに 対 するレスポ ンスの 高 速 化 を 行 います Internet Explorer などのブラウザでもデータをキャ HDE Controller X 1-13. Proxyサーバー プロキシサーバー 概 要 プロキシサーバーは 頻 繁 にアクセスされる Web ページの 内 容 をキャッシュ することで ネットワークトラフィックを 削 減 し エンドユーザーに 対 するレスポ ンスの 高 速 化 を 行 います Internet Explorer などのブラウザでもデータをキャッシュしますが それを 利 用 できるのは

More information

内 容 1. はじめに... 3 2. メールのログイン... 3 2.1 初 めてのログイン... 3 3. メールの 受 信 / 送 信... 6 3.1 メールの 受 信... 6 3.2 メールの 作 成 と 送 信... 6 3.2.1 メールの 新 規 作 成... 6 3.2.2 メー

内 容 1. はじめに... 3 2. メールのログイン... 3 2.1 初 めてのログイン... 3 3. メールの 受 信 / 送 信... 6 3.1 メールの 受 信... 6 3.2 メールの 作 成 と 送 信... 6 3.2.1 メールの 新 規 作 成... 6 3.2.2 メー Gmail 利 用 者 マニュアル Ver1.3 2011 年 10 月 1 日 情 報 メディアセンター 1 内 容 1. はじめに... 3 2. メールのログイン... 3 2.1 初 めてのログイン... 3 3. メールの 受 信 / 送 信... 6 3.1 メールの 受 信... 6 3.2 メールの 作 成 と 送 信... 6 3.2.1 メールの 新 規 作 成... 6 3.2.2

More information

G-Web操作マニュアル

G-Web操作マニュアル G-Web 地 盤 調 査 システム 操 作 マニュアル 目 次 1.G-Web 調 査 システムにログインする... 3 2. 調 査 データを 検 索 表 示 する... 4 3. 調 査 予 定 を 登 録 修 正 する... 7 4. 調 査 情 報 に 認 証 設 定 を 行 う... 9 5. 調 査 測 点 情 報 の 編 集 確 認 する... 10 6. 調 査 画 像 データの

More information

C.1 共 有 フォルダ 接 続 操 作 の 概 要 アクセスが 許 可 されている 研 究 データ 交 換 システムの 個 人 用 共 有 フォルダまたは メーリングリストの 共 有 フォルダに 接 続 して フォルダを 作 成 したり ファイル をアップロードまたはダウンロードしたりすることがで

C.1 共 有 フォルダ 接 続 操 作 の 概 要 アクセスが 許 可 されている 研 究 データ 交 換 システムの 個 人 用 共 有 フォルダまたは メーリングリストの 共 有 フォルダに 接 続 して フォルダを 作 成 したり ファイル をアップロードまたはダウンロードしたりすることがで C.1 共 有 フォルダ 接 続 操 作 の 概 要 C.2 Windows から 接 続 操 作 する C.3 Mac OS X から 接 続 操 作 する 67 C.1 共 有 フォルダ 接 続 操 作 の 概 要 アクセスが 許 可 されている 研 究 データ 交 換 システムの 個 人 用 共 有 フォルダまたは メーリングリストの 共 有 フォルダに 接 続 して フォルダを 作 成 したり

More information

目 次 1. 積 算 内 訳 書 に 関 する 留 意 事 項 1 ページ 2. 積 算 内 訳 書 のダウンロード 3 ページ 3. 積 算 内 訳 書 の 作 成 (Excel 2003の 場 合 ) 6 ページ 4. 積 算 内 訳 書 の 作 成 (Excel 2007の 場 合 ) 13

目 次 1. 積 算 内 訳 書 に 関 する 留 意 事 項 1 ページ 2. 積 算 内 訳 書 のダウンロード 3 ページ 3. 積 算 内 訳 書 の 作 成 (Excel 2003の 場 合 ) 6 ページ 4. 積 算 内 訳 書 の 作 成 (Excel 2007の 場 合 ) 13 積 算 内 訳 書 の 作 成 マニュアル 平 成 26 年 1 形 県 県 整 備 部 建 設 企 画 課 目 次 1. 積 算 内 訳 書 に 関 する 留 意 事 項 1 ページ 2. 積 算 内 訳 書 のダウンロード 3 ページ 3. 積 算 内 訳 書 の 作 成 (Excel 2003の 場 合 ) 6 ページ 4. 積 算 内 訳 書 の 作 成 (Excel 2007の 場 合 )

More information

CSV_Backup_Guide

CSV_Backup_Guide ActiveImage Protector による クラスター 共 有 ボリュームのバックアップ 運 用 ガイド 第 5 版 - 2015 年 4 月 20 日 Copyright NetJapan, Inc. All Rights Reserved. 無 断 複 写 転 載 を 禁 止 します 本 ソフトウェアと 付 属 ドキュメントは 株 式 会 社 ネットジャパンに 所 有 権 および 著 作

More information

メール 受 信 画 面 のレイアウトを 変 更 することができます ここでは 初 期 設 定 のレイアウトで 表 示 されているボタ ンやマークについて 解 説 します メール 一 覧 画 面 には 受 信 したメールが 一 覧 表 示 されます メール 受 信 タブをクリックすると 受 信 箱 フ

メール 受 信 画 面 のレイアウトを 変 更 することができます ここでは 初 期 設 定 のレイアウトで 表 示 されているボタ ンやマークについて 解 説 します メール 一 覧 画 面 には 受 信 したメールが 一 覧 表 示 されます メール 受 信 タブをクリックすると 受 信 箱 フ .3 1...3 メール 受 信 タブのサブメニューから 直 接 受 信 箱 以 外 のフォルダを 表 示 することもできます 共 有 メー ルボックスのフォルダは 指 定 できません 3. 35 メール 受 信 画 面 のレイアウトを 変 更 することができます ここでは 初 期 設 定 のレイアウトで 表 示 されているボタ ンやマークについて 解 説 します メール 一 覧 画 面 には 受

More information

2. F-Secure の 画 面 を 開 く (1)デスクトップのタスクトレイから F-Secure のアイコンをクリックします F-Secure の 状 態 によっては アイコンに [ ]マークが 表 示 されています タスクトレイにアイコンが 見 つからない 場 合 Windows7) スター

2. F-Secure の 画 面 を 開 く (1)デスクトップのタスクトレイから F-Secure のアイコンをクリックします F-Secure の 状 態 によっては アイコンに [ ]マークが 表 示 されています タスクトレイにアイコンが 見 つからない 場 合 Windows7) スター 利 用 手 引 き Windows 最 終 更 新 日 215.11.6 F-Secure の 入 手 インストール 方 法 はこちらをご 覧 下 さい( 学 内 限 定 ページ): http://www.mmm.muroran -it.ac.jp /guide /security/index.html 目 次 1. 利 用 上 の 注 意... 1 2. F-Secure の 画 面 を 開 く...

More information

スライド 1

スライド 1 ファイル 共 有 かんたんガイド NTTレゾナント( 株 ) ビジネスgoo 事 務 局 1 ファイル 共 有 かんたんガイドについて まず 初 めに アップロード ダウンロード ファイル フォルダの 公 開 / 共 有 の 操 作 方 法 をご 紹 介 します お 客 様 のアカウントでログインをしていただき 実 際 の 画 面 でも 操 作 をして いただけますと 幸 いです ファイル 共 有

More information

変 更 履 歴 変 更 履 歴 No. 日 付 ページ 対 象 箇 所 変 更 箇 所 変 更 前 変 更 後 1 2012/7/31 1 1.1 インターネッ トブラウザの 設 定 について 記 述 朝 日 外 為 WEB を 利 用 する にあたり インターネットブ ラウザに 設 定 作 業 が

変 更 履 歴 変 更 履 歴 No. 日 付 ページ 対 象 箇 所 変 更 箇 所 変 更 前 変 更 後 1 2012/7/31 1 1.1 インターネッ トブラウザの 設 定 について 記 述 朝 日 外 為 WEB を 利 用 する にあたり インターネットブ ラウザに 設 定 作 業 が 朝 日 外 為 WEB 操 作 マニュアル ブラウザ 設 定 編 最 終 更 新 日 :2013 年 1 月 31 日 変 更 履 歴 変 更 履 歴 No. 日 付 ページ 対 象 箇 所 変 更 箇 所 変 更 前 変 更 後 1 2012/7/31 1 1.1 インターネッ トブラウザの 設 定 について 記 述 朝 日 外 為 WEB を 利 用 する にあたり インターネットブ ラウザに

More information

目 次 機 能 概 要 -------------------------------------------------------------- 3 1. 配 信 管 理 1. メールの 配 信 履 歴 と 予 約 を 確 認 する -------------------------------

目 次 機 能 概 要 -------------------------------------------------------------- 3 1. 配 信 管 理 1. メールの 配 信 履 歴 と 予 約 を 確 認 する ------------------------------- 月 額 900 円 からはじめるメールマーケティング 一 斉 メール 配 信 サービス 機 能 ガイド 2015/6/1 更 新 目 次 機 能 概 要 -------------------------------------------------------------- 3 1. 配 信 管 理 1. メールの 配 信 履 歴 と 予 約 を 確 認 する ----------------------------------------------

More information

ネットワーク 出 力 設 定 の 横 には 後 に 入 力 して 利 用 する URL が 表 示 されています チェックボックスを 有 効 にすることで TriCaster はネットワーク 上 への 送 信 を 開 始 しているので VLC にそのデータを 受 け 取 るような 命 令 を 送 る

ネットワーク 出 力 設 定 の 横 には 後 に 入 力 して 利 用 する URL が 表 示 されています チェックボックスを 有 効 にすることで TriCaster はネットワーク 上 への 送 信 を 開 始 しているので VLC にそのデータを 受 け 取 るような 命 令 を 送 る VLC を 利 用 したリアルタイムエンコーディング TriCaster の 機 能 のひとつに ネットワーク 出 力 があります この 機 能 は TriCaster の 出 力 をネッ トワークを 通 じて MPEG-2 ビデオとして 送 出 するものです これにより 出 力 された 映 像 を 保 存 したり 外 部 コンピュータに 十 分 な 処 理 能 力 があれば リアルタイムにエンコードし

More information

目 次 必 ずお 読 みください...2 1. 接 続 方 法...2 1-1 WEB ブラウザ 操 作 方 法... 3 1-2 閲 覧 用 PC で 直 接 ZERO 本 体 と 接 続 する 場 合... 3 2. 各 ページについて...3 2-1 発 電 状 況 画 面 表 示... 3

目 次 必 ずお 読 みください...2 1. 接 続 方 法...2 1-1 WEB ブラウザ 操 作 方 法... 3 1-2 閲 覧 用 PC で 直 接 ZERO 本 体 と 接 続 する 場 合... 3 2. 各 ページについて...3 2-1 発 電 状 況 画 面 表 示... 3 Solar Link ZERO WEB アプリケーション 取 扱 説 明 書 Ver1.2 株 式 会 社 ラプラス システム 2010 年 10 月 4 日 目 次 必 ずお 読 みください...2 1. 接 続 方 法...2 1-1 WEB ブラウザ 操 作 方 法... 3 1-2 閲 覧 用 PC で 直 接 ZERO 本 体 と 接 続 する 場 合... 3 2. 各 ページについて...3

More information

・モニター広告運営事業仕様書

・モニター広告運営事業仕様書 秋 田 市 新 庁 舎 動 画 広 告 放 映 事 業 仕 様 書 1 目 的 多 く の 市 民 の 目 に 触 れ る 市 役 所 の 特 性 を 活 か し 映 像 や 音 声 を 活 用 し た モ ニ タ ー に よ る 動 画 広 告 を 新 庁 舎 内 に 導 入 し 新 庁 舎 の 主 要 機 能 の 一 つ で あ る 情 報 発 信 拠 点 と し て の 役 割 を 果 た す

More information

MetaMoJi ClassRoom/ゼミナール 授業実施ガイド

MetaMoJi ClassRoom/ゼミナール 授業実施ガイド 本 書 では 管 理 者 向 けに MetaMoJi ClassRoom/ゼミナールで 年 度 更 新 を 実 施 する 手 順 について 説 明 して います 管 理 者 ガイドと 合 わせてご 覧 ください Excelは 米 国 Microsoft Corporationの 米 国 およびその 他 の 国 における 登 録 商 標 または 商 標 です Apache OpenOffice Apache

More information

■コンテンツ

■コンテンツ Joruri CMS 1.3.2 基 本 マニュアル (2013.6.28) 2012.2.15 コンテンツ 記 事 コンテンツ 記 事 では 以 下 のような 機 能 特 徴 を 備 えた 記 事 ページの 作 成 を 行 うこと が 出 来 ます TinyMCE の 使 用 で HTML 等 の 複 雑 な 知 識 を 必 要 とせず WORD のような 感 覚 でページを 作 成 ページの 公

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 問 い 合 せフォームを 作 成 する Copyright Diverta inc. All right reserved. 1 目 次 1. 管 理 画 面 の 説 明 1-1 問 い 合 わせモジュールとは 1-2 機 能 概 要 1-3 基 本 設 定 1-3-1 基 本 設 定 - 管 理 画 面 のアクセス 制 限 - 1-3-2 基 本 設 定 -メール 設 定 - 2. 問 い 合 わせフォームを

More information

目 次 1. Internet Explorer の 設 定 3 2. NetISMS ナビゲータへのログイン 15 3. ActiveX コントロールのインストール 17 4. Internet Explorer 以 外 の 設 定 18 1

目 次 1. Internet Explorer の 設 定 3 2. NetISMS ナビゲータへのログイン 15 3. ActiveX コントロールのインストール 17 4. Internet Explorer 以 外 の 設 定 18 1 NetISMS システム 端 末 設 定 ガイド 注 意 事 項 各 社 各 部 門 等 でのセキュリティ 上 の 規 定 と 相 反 する 場 合 があります 必 ずご 自 身 の 使 用 する PC 端 末 のセキュリティ 管 理 者 等 にご 確 認 願 います 第 4.0 版 2016 年 7 月 1 日 目 次 1. Internet Explorer の 設 定 3 2. NetISMS

More information

<4D6963726F736F667420576F7264202D20819B93FC97CD835683588365838082CC91808DEC95FB964081693230313589FC92F994C5816A>

<4D6963726F736F667420576F7264202D20819B93FC97CD835683588365838082CC91808DEC95FB964081693230313589FC92F994C5816A> 岡 山 大 学 情 報 データベースシステムの 操 作 方 法 1 インターネットブラウザの 設 定 まず ご 利 用 のブラウザ 環 境 に 応 じて 以 下 URL に 記 載 されている 設 定 を 行 ってください この 設 定 をしていない 場 合 岡 山 大 学 情 報 データベースシステムを 利 用 できない 場 合 があります Windows の Internet Explorer7.0

More information

WEBメールシステム 操作手順書

WEBメールシステム 操作手順書 ひ む か ネ ッ ト WEB メールシステム 操 作 手 順 書 目 次 認 証 画 面 を 表 示 する 認 証 画 面 を 表 示 する 3 ID パスワードの 入 力 3 パスワードを 忘 れてしまった 場 合 の 認 証 方 法 4 メール 送 受 信 メールを 受 信 する 5 メールを 送 信 する 5 メールを 確 認 する メールを 全 選 択 する 7 メールを 削 除 する 7

More information

Copyright 2009 Hewlett-Packard Development Company, L.P. Windows は 米 国 Microsoft Corporation の 米 国 およびその 他 の 国 における 登 録 商 標 です HP 製 品 およびサービスに 関 する 保

Copyright 2009 Hewlett-Packard Development Company, L.P. Windows は 米 国 Microsoft Corporation の 米 国 およびその 他 の 国 における 登 録 商 標 です HP 製 品 およびサービスに 関 する 保 バックアップおよび 復 元 ユーザー ガイド Copyright 2009 Hewlett-Packard Development Company, L.P. Windows は 米 国 Microsoft Corporation の 米 国 およびその 他 の 国 における 登 録 商 標 です HP 製 品 およびサービスに 関 する 保 証 は 当 該 製 品 およびサービスに 付 属 の 保

More information

参 考 1 無 線 局 情 報 入 力 支 援 ( 基 地 局 と 固 定 局 の 事 項 書 のみに 対 応 ) 無 線 局 情 報 入 力 支 援 機 能 とは 過 去 に 申 請 したデータをダウンロードし 無 線 局 インターネット 申 請 アプリケーション で 利 用 できる 便 利 な

参 考 1 無 線 局 情 報 入 力 支 援 ( 基 地 局 と 固 定 局 の 事 項 書 のみに 対 応 ) 無 線 局 情 報 入 力 支 援 機 能 とは 過 去 に 申 請 したデータをダウンロードし 無 線 局 インターネット 申 請 アプリケーション で 利 用 できる 便 利 な 3-2. 申 請 の 新 規 作 成 3 内 容 確 認 A-4. 申 請 手 数 料 画 面 (もしくは A-6. 申 請 手 数 料 の 前 納 の 申 出 事 項 その2 画 面 ) において 入 力 完 了 ボタンをクリックすると 送 信 画 面 が 表 示 されます ここで 内 容 確 認 ボタンをクリックし 入 力 内 容 を 確 認 します 上 書 き 保 存 しておくことをお 勧 め

More information

目 次 目 次... 本 書 の 見 かた... 2 商 標 について... 2 オープンソースライセンス 公 開... 2 はじめに... 3 概 要... 3 使 用 環 境 について... 4 対 応 している OS およびアプリケーション... 4 ネットワーク 設 定... 4 Googl

目 次 目 次... 本 書 の 見 かた... 2 商 標 について... 2 オープンソースライセンス 公 開... 2 はじめに... 3 概 要... 3 使 用 環 境 について... 4 対 応 している OS およびアプリケーション... 4 ネットワーク 設 定... 4 Googl Google ク ラ ウ ド プ リ ン ト ガイ ド 目 次 目 次... 本 書 の 見 かた... 2 商 標 について... 2 オープンソースライセンス 公 開... 2 はじめに... 3 概 要... 3 使 用 環 境 について... 4 対 応 している OS およびアプリケーション... 4 ネットワーク 設 定... 4 Google クラウド プリントの 設 定... 5 手

More information

POWER EGG V2.01 ユーザーズマニュアル ファイル管理編

POWER EGG V2.01 ユーザーズマニュアル ファイル管理編 POWER EGG V2.0 ユーザーズマニュアル ファイル 管 理 編 Copyright 2009 D-CIRCLE,INC. All Rights Reserved 2009.4 はじめに 本 書 では POWER EGG 利 用 者 向 けに 以 下 の POWER EGG のファイル 管 理 機 能 に 関 する 操 作 を 説 明 しま す なお 当 マニュアルでは ファイル 管 理 機

More information

Microsoft Word - MC_v4.1.1_Release_Notes_Japanese.doc

Microsoft Word - MC_v4.1.1_Release_Notes_Japanese.doc MANUSCRIPT CENTRAL v4.1.1 リリース ノート 2008 年 8 月 26 日 にリリースされる Manuscript Central v4.1.1 で 予 定 されている 機 能 の 更 新 内 容 は 以 下 のとおりです この 文 書 では 各 機 能 のデフォルト 設 定 値 と 機 能 の 設 定 に 必 要 な 時 間 を 説 明 しています 質 問 がある 場 合

More information

企業におけるマイナンバーのセキュリティに関する実態調査

企業におけるマイナンバーのセキュリティに関する実態調査 企 業 における マイナンバーのセキュリティに 関 する 実 態 調 査 2015 年 9 月 17 日 デジタルアーツ 株 式 会 社 調 査 概 要 調 査 内 容 調 査 目 的 調 査 方 法 エリア 調 査 対 象 回 答 数 実 施 期 間 調 査 企 画 調 査 機 関 企 業 におけるマイナンバーのセキュリティに 関 する 実 態 調 査 2016 年 1 月 より 施 行 されるマイナンバー

More information

エンドポイントにおける Web コントロール 概要ガイド

エンドポイントにおける Web コントロール 概要ガイド エンドポイントにおける Web コントロール 概 要 ガイド Sophos Web Appliance Sophos UTM (バージョン 9.2 以 降 ) Sophos Enterprise Console Sophos Endpoint Security and Control ドキュメント 作 成 日 : 2013 年 12 月 目 次 1 エンドポイントにおける Web コントロール...3

More information

端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス /32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス /

端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス /32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス / CTU 端 末 型 接 続 設 定 例 H19 年 10 月 端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス 172.25.1.1/32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス 172.25.1.2/32 172.25.1.1 172.25.1.2 192.168.24.1

More information

Microsoft PowerPoint - 04_H26material_practice_No3-3.pptx

Microsoft PowerPoint - 04_H26material_practice_No3-3.pptx 参 考 : 届 書 作 成 プログラムによる 届 出 データの 作 成 方 法 (1) 事 前 準 備 1 被 保 険 者 データの 入 手 (ターンアラウンドCDを 利 用 する 場 合 ) 当 プログラムでは 提 出 先 の 年 金 事 務 所 が 保 有 している 被 保 険 者 のデータを 利 用 して 電 子 申 請 用 データを 作 成 することができます(これを ターンアラウンドCD

More information

Thunderbird のメール/設定を別PCへ移行する方法(「MozBackup」を使って)

Thunderbird のメール/設定を別PCへ移行する方法(「MozBackup」を使って) Thunderbird 15 のメールをバックアップする 方 法 2012.8.31 計 算 機 室 メールホスティングでは サーバ 上 に 保 存 できるメールの 容 量 に 400MB の 制 限 がありま す 容 量 制 限 を 越 えると 新 しいメールを 受 信 できなくなるため サーバ 上 の 不 要 なメール を 削 除 するか メールを 自 分 の PC へ 移 動 する 必 要 があります

More information

目 次. WEB メールへのログイン.... メール 送 信 手 順.... メール 受 信 手 順... 6. アドレス 帳 の 操 作 手 順... 8 5. フォルダーの 操 作 手 順... 8 6. メール 発 信 者 登 録 署 名 登 録 手 順... 0 7. 基 本 的 な 設 定

目 次. WEB メールへのログイン.... メール 送 信 手 順.... メール 受 信 手 順... 6. アドレス 帳 の 操 作 手 順... 8 5. フォルダーの 操 作 手 順... 8 6. メール 発 信 者 登 録 署 名 登 録 手 順... 0 7. 基 本 的 な 設 定 Web メール 手 順 書 目 次. WEB メールへのログイン.... メール 送 信 手 順.... メール 受 信 手 順... 6. アドレス 帳 の 操 作 手 順... 8 5. フォルダーの 操 作 手 順... 8 6. メール 発 信 者 登 録 署 名 登 録 手 順... 0 7. 基 本 的 な 設 定... 8. 参 考 情 報... 9 . WEB メールへのログイン 概

More information

- INDEX - 1 ご 利 用 時 間 1 2 メニュー 1 3 ご 利 用 になる 前 に 行 っていただきたいこと 3 (1) 所 在 地 沿 線 設 定 3 (2) 会 員 情 報 の 管 理 ( 自 社 情 報 の 設 定 ) 5 4 物 件 情 報 の 登 録 8 (1) 操 作 概

- INDEX - 1 ご 利 用 時 間 1 2 メニュー 1 3 ご 利 用 になる 前 に 行 っていただきたいこと 3 (1) 所 在 地 沿 線 設 定 3 (2) 会 員 情 報 の 管 理 ( 自 社 情 報 の 設 定 ) 5 4 物 件 情 報 の 登 録 8 (1) 操 作 概 ハトマークサイト 会 員 用 利 用 マニュアル 社 団 法 人 愛 知 県 宅 地 建 物 取 引 業 協 会 第 6 版 2010 年 10 月 - INDEX - 1 ご 利 用 時 間 1 2 メニュー 1 3 ご 利 用 になる 前 に 行 っていただきたいこと 3 (1) 所 在 地 沿 線 設 定 3 (2) 会 員 情 報 の 管 理 ( 自 社 情 報 の 設 定 ) 5 4 物

More information

改 訂 履 歴 版 概 要 区 分 更 新 日 1.0 新 規 作 成 新 規 2014/06/26 2

改 訂 履 歴 版 概 要 区 分 更 新 日 1.0 新 規 作 成 新 規 2014/06/26 2 Android 版 操 作 ガイド (ver1.0) 2014 年 6 月 26 日 改 訂 履 歴 版 概 要 区 分 更 新 日 1.0 新 規 作 成 新 規 2014/06/26 2 目 次 1. sactto!ファイリングご 利 用 について... 4 2. Android 版 アプリケーションについて... 5 2.1. 概 要... 5 2.2. アプリケーションの 導 入... 5

More information

目 次 アカウント 取 得... 1 Blogger にログイン... 3 Blogger の 基 本 ページ... 4 新 規 ブログの 作 成... 5 ブログの 管 理 画 面... 5 ブログの 投 稿... 6 挿 入 画 像 の 設 定... 7 ページの 作 成... 8 レイアウトの

目 次 アカウント 取 得... 1 Blogger にログイン... 3 Blogger の 基 本 ページ... 4 新 規 ブログの 作 成... 5 ブログの 管 理 画 面... 5 ブログの 投 稿... 6 挿 入 画 像 の 設 定... 7 ページの 作 成... 8 レイアウトの Google Blogger 入 門 目 次 アカウント 取 得... 1 Blogger にログイン... 3 Blogger の 基 本 ページ... 4 新 規 ブログの 作 成... 5 ブログの 管 理 画 面... 5 ブログの 投 稿... 6 挿 入 画 像 の 設 定... 7 ページの 作 成... 8 レイアウトの 編 集... 9 テンプレートの 設 定... 10 ブログの

More information

ネットde記帳 平成24年度の申告について

ネットde記帳 平成24年度の申告について ネットde 記 帳 平 成 24 年 度 の 申 告 について 従 来 版 のネットde 記 帳 から 申 告 を 行 う 場 合 1 青 色 申 告 決 算 書 までは 従 来 と 変 わらない 手 順 で 出 力 します 従 来 版 のネットde 記 帳 からの 決 算 申 告 フロー 所 得 税 / 消 費 税 申 告 書 作 成 機 能 を 実 行 すると ネットde 記 帳 申 告 モ ジュール

More information

WEB版「新・相続対策マスター」(ご利用の手引き)

WEB版「新・相続対策マスター」(ご利用の手引き) WEB 版 新 相 続 対 策 マスター ご 利 用 の 手 引 き 株 式 会 社 シャフト MG-16-0412 はじめに WEB 版 新 相 続 対 策 マスター( 以 下 本 シミュレーション)をご 利 用 にあたり 下 記 についてあらかじめ 承 諾 をいただいた 上 で 本 シミュレーションを 利 用 いただくものとします 本 シミュレーションの 計 算 結 果 はあくまでも 概 算 です

More information

NeoMail(Webメールのご利用方法)

NeoMail(Webメールのご利用方法) ULTINA On Demand Platform シェアード ホスティング ユーザ-マニュアル Ver.1.6 2015/7/1 ソフトバンク 株 式 会 社 目 次 1. メールソフトの 設 定 (WindowsLiveMail)... 2 2. horde(web メールのご 利 用 方 法 : 電 子 メールの 設 定 )... 12 3. ユーザーコントロールパネル... 18 4. パスワード

More information

1. アクセスする 2. 簡 易 検 索 画 面 (fig. 1) アクセスすると 最 初 に 出 る 画 面 です 検 索 語 入 力 ボックスにキーワードを 入 力 して 論 文 検 索 ボタンをクリックし ます 3. ボックス 下 部 のチェック 項

1. アクセスする  2. 簡 易 検 索 画 面 (fig. 1) アクセスすると 最 初 に 出 る 画 面 です 検 索 語 入 力 ボックスにキーワードを 入 力 して 論 文 検 索 ボタンをクリックし ます 3. ボックス 下 部 のチェック 項 CiNii Articles を 使 う 2013 芳 野 明 / 京 都 嵯 峨 芸 術 大 学 西 洋 美 術 史 博 物 館 学 研 究 室 1. アクセスする http://ci.nii.ac.jp/ 2. 簡 易 検 索 画 面 (fig. 1) アクセスすると 最 初 に 出 る 画 面 です 検 索 語 入 力 ボックスにキーワードを 入 力 して 論 文 検 索 ボタンをクリックし

More information

電子証明書の更新

電子証明書の更新 < 電 子 証 明 書 更 新 マニュアル > 電 子 証 明 書 の 更 新 は 有 効 期 限 の 前 後 で 手 順 が 異 なります 下 図 をご 確 認 いただき 更 新 をお 願 いします 30 日 前 有 効 期 限 終 了 日 90 日 ログイン 後 電 子 証 明 書 更 新 ボタン から 更 新 します 電 子 証 明 書 取 得 ボタン から 更 新 します 再 発 行 の 申

More information

<4D6963726F736F667420576F7264202D209841834A838C8368838997989770837D836A83858341838B5F766572312E646F63>

<4D6963726F736F667420576F7264202D209841834A838C8368838997989770837D836A83858341838B5F766572312E646F63> Google Apps for Education ( 連 絡 先 カレンダー ドライブ) 利 用 について -2015.9.1( 第 0 版 )- 東 北 学 院 大 学 情 報 処 理 センター i 目 次 0. Googl Apps for Education について... 1 1. 連 絡 先... 1 1.1. 連 絡 先 とは... 1 1.2. 連 絡 先 へのアクセス 方 法...

More information

スマートフォン版 ログイン画面

スマートフォン版 ログイン画面 1. ログイン 画 面 (P2) 2. ホーム 画 面 (P3) 3. ネオツイ 機 能 (P4) 4. スケジュール 機 能 (P5~P7) 5. 設 備 予 約 機 能 (P8~P9) 6. ウェブメール 機 能 (P10~P12) 7. 伝 言 所 在 機 能 (P13~P14) 8.インフォメーション 機 能 (P15) 9. 回 覧 レポート 機 能 (P16~P17) 10.ワークフロー

More information

<4D6963726F736F667420576F7264202D20819C486F70658F6F93588ED297708AC7979D89E696CA837D836A83858341838B8169342E33566572816A2E646F63>

<4D6963726F736F667420576F7264202D20819C486F70658F6F93588ED297708AC7979D89E696CA837D836A83858341838B8169342E33566572816A2E646F63> 商 品 管 理 商 品 管 理 を 行 うためのメニューです 4.1 商 品 管 理 のサイドメニュー 商 品 管 理 には 以 下 のサイドメニューがあります 商 品 一 覧 登 録 済 みの 商 品 の 一 覧 を 表 示 します 既 に 登 録 済 みの 商 品 の 検 索 検 索 した 商 品 を 編 集 する 際 に 使 用 します 新 規 作 成 商 品 を 新 規 登 録 する 画 面

More information

3. [ 送 信 ]をクリックすると パスワード 作 成 画 面 が 表 示 されます 4. [パスワードを 作 成 ]フィールドにパスワードを 入 力 します パスワードを 入 力 すると プライベートなファイルが 保 護 されます パスワードの 強 度 は 選 択 した 基 準 によ って 決

3. [ 送 信 ]をクリックすると パスワード 作 成 画 面 が 表 示 されます 4. [パスワードを 作 成 ]フィールドにパスワードを 入 力 します パスワードを 入 力 すると プライベートなファイルが 保 護 されます パスワードの 強 度 は 選 択 した 基 準 によ って 決 EncryptStick Lite セキュリティソフトウェア 用 Lexar クイックスタートガイド EncryptStick Lite スタートアップガイド 1. Lexar フラッシュドライブを PC または Mac コンピューターに 挿 入 します [EncryptStick Lite 登 録 ]ページが 表 示 されます EncryptStick が 自 動 的 に 起 動 します 自 動

More information

同 期 を 開 始 する( 初 期 設 定 ) 2 1 Remote Link PC Sync を 起 動 する 2 1 接 続 機 器 の [PIN コード ] [ ユーザー 名 ] [ パスワード ] を 入 力 する [PIN コード ] などの 情 報 は 接 続 機 器 の 設 定 画 面

同 期 を 開 始 する( 初 期 設 定 ) 2 1 Remote Link PC Sync を 起 動 する 2 1 接 続 機 器 の [PIN コード ] [ ユーザー 名 ] [ パスワード ] を 入 力 する [PIN コード ] などの 情 報 は 接 続 機 器 の 設 定 画 面 画 面 で 見 る マ ニ ュ ア ル Remote Link 3 対 応 自 動 同 期 アプリ Remote Link PC Sync Remote Link PC Sync は 接 続 機 器 とパソコンとの 間 でファイルの 自 動 同 期 をするアプリです 本 アプリサイトの 対 応 製 品 型 番 に 記 載 された 機 器 動 作 環 境 機 種 OS Windows 8.1(32/64

More information

Microsoft Word - FBE3A91F.doc

Microsoft Word - FBE3A91F.doc 広 島 大 学 ウェブマネジメントシステム 共 通 事 項 (Ver:2009.04.16) 本 システムに 関 する 問 い 合 わせ 本 システムに 関 する 問 い 合 わせは 下 記 までご 連 絡 ください 社 会 連 携 情 報 政 策 室 広 報 グループ 内 線 :5017 5017 6131 E-mail mail:koho@office.hiroshima koho@office.hiroshima-u.ac.jp

More information

目 次 はじめに...4 1.キャンパスメールを 利 用 するには... 5 1.1.キャンパスメール 利 用 申 請 を 行 う... 5 1.2.アカウント 有 効 化 (アクティベーション)を 行 う... 9 2.メールの 利 用... 10 2-1. WEB ブラウザからメールを 利 用

目 次 はじめに...4 1.キャンパスメールを 利 用 するには... 5 1.1.キャンパスメール 利 用 申 請 を 行 う... 5 1.2.アカウント 有 効 化 (アクティベーション)を 行 う... 9 2.メールの 利 用... 10 2-1. WEB ブラウザからメールを 利 用 大 阪 大 学 キャンパスメール ユーザーマニュアル 目 次 はじめに...4 1.キャンパスメールを 利 用 するには... 5 1.1.キャンパスメール 利 用 申 請 を 行 う... 5 1.2.アカウント 有 効 化 (アクティベーション)を 行 う... 9 2.メールの 利 用... 10 2-1. WEB ブラウザからメールを 利 用 する... 10 2-1-1. Web メール

More information

目 次 はじめに... 3 間 接 接 続 環 境 かどうかの 判 断... 3 前 提 となる 回 線 構 成... 4 1.PC-A1 の 仮 想 ハブ 設 定... 4 2.PC-A1 の 仮 想 ネットワークアダプタを 仮 想 ハブに 接 続 する... 5 3.ブロードバンドルータの 静

目 次 はじめに... 3 間 接 接 続 環 境 かどうかの 判 断... 3 前 提 となる 回 線 構 成... 4 1.PC-A1 の 仮 想 ハブ 設 定... 4 2.PC-A1 の 仮 想 ネットワークアダプタを 仮 想 ハブに 接 続 する... 5 3.ブロードバンドルータの 静 PU-M200-000 TinyVPN による PC 対 PC の 接 続 方 法 ( 間 接 接 続 環 境 編 ) Version 1. シモウサ システムズ (C)2004-200 Shimousa Systems Corporation. All rights reserved. Page 1 of 9 目 次 はじめに... 3 間 接 接 続 環 境 かどうかの 判 断... 3 前 提

More information

Microsoft Word - 新ユーザー専用ページ機能詳細・マニュアル.doc

Microsoft Word - 新ユーザー専用ページ機能詳細・マニュアル.doc 新 ユーザー 専 用 ページ 機 能 詳 細 マニュアル 平 成 25 年 2 月 6 日 ( 木 ) 以 降 にご 確 認 ください 1/24 目 次 ユーザー 専 用 ページ... 3 メールサービス... 4 メールサービス 画 面 構 成... 5 アカウント 詳 細 / 設 定... 5 高 機 能 フィルター... 6 ユーザーフィルター 設 定... 7 新 規 フィルターの 追 加...

More information

<4D6963726F736F667420576F7264202D20323031343037313896C098668381815B838B91CE8DF491808DEC837D836A83858341838B76312E342E646F63>

<4D6963726F736F667420576F7264202D20323031343037313896C098668381815B838B91CE8DF491808DEC837D836A83858341838B76312E342E646F63> 迷 惑 メール 対 策 システム 操 作 マニュアル 第 1.4 版 平 成 26 年 7 月 18 日 総 合 情 報 システム 部 (KUDOS) 制 定 改 訂 履 歴 版 数 制 改 訂 年 月 日 改 訂 内 容 1.0 2013 年 10 月 10 日 初 版 作 成 1.1 2013 年 10 月 24 日 メールの 破 棄 に 関 する 記 載 を 追 記 1.2 2014 年 7

More information

<4D6963726F736F667420506F776572506F696E74202D20837483408343838B8351815B83678E9197BF2E7070745B93C782DD8EE682E890EA97705D>

<4D6963726F736F667420506F776572506F696E74202D20837483408343838B8351815B83678E9197BF2E7070745B93C782DD8EE682E890EA97705D> ファイルゲート で ファイル 管 理 ソリューションのご 提 案 ~ 電 子 データの 安 全 な 取 扱 について~ 株 式 会 社 アドソフト ファイルゲート とは 1 コンセプト 企 業 における 経 営 資 源 は 人 物 金 情 報 といわれていますが とりわけ 情 報 についてはその 質 およ び 量 について 大 変 重 要 度 を 増 してきております 個 人 情 報 の 保 護 情

More information

(表紙)

(表紙) 2. 操 作 説 明 2.1 ログイン (A)ログインする 本 システムにログインして 研 究 者 向 けメニュー 画 面 を 表 示 するまでの 操 作 について 説 明 しま す (1)Webブラウザで http://www.e-rad.go.jp/ ( 府 省 共 通 研 究 開 発 管 理 システム ポータ ルサイト)にアクセスし トップページ 上 部 にある 研 究 者 ログイン ボタンをクリッ

More information

治 験 実 施 管 理 システム NMGCP 向 け Excel 形 式 プロトコール 作 成 手 順 書 V4.0.3 対 応 版 第 1 版 株 式 会 社 富 士 通 アドバンストエンジニアリング All Rights Reserved,Copyright 株 式 会 社 富 士 通 アドバン

治 験 実 施 管 理 システム NMGCP 向 け Excel 形 式 プロトコール 作 成 手 順 書 V4.0.3 対 応 版 第 1 版 株 式 会 社 富 士 通 アドバンストエンジニアリング All Rights Reserved,Copyright 株 式 会 社 富 士 通 アドバン 2014 年 1 月 7 日 治 験 依 頼 者 各 位 新 潟 市 民 病 院 治 験 管 理 室 Excel 形 式 の 電 子 プロトコール 提 出 の 御 依 頼 当 院 では 効 率 的 で 正 確 な 治 験 の 実 施 のため 電 子 カルテ 内 に 専 用 の Excel 形 式 による 電 子 プロトコールを 導 入 しております つきましては 治 験 依 頼 の 際 に 下 記

More information

電子申告直前研修会(所得税編)

電子申告直前研修会(所得税編) 電 子 申 告 直 前 研 修 会 ( 所 得 税 編 ) 2011 年 1 月 17 日 : 名 古 屋 2011 年 1 月 18 日 : 東 京 2011 年 1 月 19 日 : 大 阪 2011 年 1 月 20 日 : 福 岡 本 日 の 研 修 内 容 項 目 細 目 1. 所 得 税 電 子 申 告 の 事 前 準 備 1) 顧 問 先 管 理 でのデータ 整 備 2)e-Tax 暗

More information

ESET Smart Security 8 リリースノート

ESET Smart Security 8 リリースノート ================================================================== ESET Smart Security 8 リリースノート キヤノンITソリューションズ 株 式 会 社 ================================================================== はじめに キヤノンITソリューションズ

More information

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 等 に 基 づく 公 安 委 員 会 による 援 助 等 の 措 置 に 関 する 訓 令 平 成 12 年 7 月 1 日 警 察 本 部 訓 令 第 25 号 改 正 平 成 14 年 11 月 22 日 本 部 訓 令 第 29 号 平 成 16 年 3 月 25 日 本 部 訓 令 第 6 号 平 成 24 年 5 月 1 日

More information

HTG-35U ブルーバック表示の手順書 (2014年12月改定)

HTG-35U ブルーバック表示の手順書 (2014年12月改定) HTG-35U ブルーバック 表 示 の 手 順 書 概 要 本 書 は HTG-35U にてブルーバックの 画 面 を 出 力 するための 手 順 書 です HTG-35U のビットマップ 出 力 機 能 及 び 固 定 文 字 表 示 機 能 を 使 用 してブルーバックの 表 示 を 設 定 します また ブルーバックの 表 示 / 非 表 示 をタイマーで 自 動 に 切 り 替 えを 行

More information

HOME-BOX と 連 携 するには 本 製 品 の 共 有 フォルダーと キヤノンマーケティングジャパン 株 式 会 社 が 運 営 するイン ターネット 用 の 有 償 ストレージサービス HOME-BOX ストレージサービス の 共 有 フォ ルダーを 同 期 することができます 本 機 能

HOME-BOX と 連 携 するには 本 製 品 の 共 有 フォルダーと キヤノンマーケティングジャパン 株 式 会 社 が 運 営 するイン ターネット 用 の 有 償 ストレージサービス HOME-BOX ストレージサービス の 共 有 フォ ルダーを 同 期 することができます 本 機 能 HOME-BOX 連 携 機 能 を 使 う ネットワーク 接 続 ハードディスク HDL-H シリーズ ご 注 意 事 前 に 本 パッケージの 追 加 をおこなってください パッケージの 追 加 方 法 は 画 面 で 見 るマニュアル をご 覧 くだ さい INDEX HOME-BOX と 連 携 するには...2 HOME-BOX との 同 期 を 有 効 にする...3 更 新 状 態 を

More information

XTM ログ&レポート設定ガイド

XTM ログ&レポート設定ガイド WatchGuard XTM ログ&レポート 設 定 ガイド Ver. 11.7 11.9 ウォッチガード テクノロジー ジャパン 株 式 会 社 2014 年 8 月 Rev-01 目 次 ログサーバーおよびレポートサーバーについて... 3 ログサーバー... 3 レポートサーバー... 3 注 意 点... 3 ログサーバーおよびレポートサーバーのインストール... 4 ログサーバーの 構 成...

More information

050 LGWAN-05月.indd

050 LGWAN-05月.indd (1) 調 査 の 概 要 行 政 情 報 化 調 査 は 以 下 のとおり 実 施 されたもの です 実 施 主 体 総 務 省 自 治 行 政 局 地 域 政 策 課 地 域 情 報 政 策 室 調 査 対 象 都 道 府 県 47 団 体 市 区 町 村 1,742 団 体 基 準 日 平 成 24 年 4 月 1 日 公 表 日 平 成 25 年 2 月 27 日 また この 調 査 結 果

More information

目 次 目 次... 1 本 書 の 見 かた... 2 商 標 について... 2 オープンソースライセンス 公 開... 2 はじめに... 3 概 要... 3 使 用 環 境 について... 4 対 応 している OS およびアプリケーション... 4 ネットワーク 設 定... 4 Goo

目 次 目 次... 1 本 書 の 見 かた... 2 商 標 について... 2 オープンソースライセンス 公 開... 2 はじめに... 3 概 要... 3 使 用 環 境 について... 4 対 応 している OS およびアプリケーション... 4 ネットワーク 設 定... 4 Goo Google ク ラ ウ ド プ リ ン ト ガイ ド Version B JPN 目 次 目 次... 1 本 書 の 見 かた... 2 商 標 について... 2 オープンソースライセンス 公 開... 2 はじめに... 3 概 要... 3 使 用 環 境 について... 4 対 応 している OS およびアプリケーション... 4 ネットワーク 設 定... 4 Google クラウド

More information

目 次 1. Web メールのご 利 用 について... 2 2. Web メール 画 面 のフロー 図... 3 3. Web メールへのアクセス... 4 4. ログイン 画 面... 5 5. ログイン 後 (メール 一 覧 画 面 )... 6 6. 画 面 共 通 項 目... 7 7.

目 次 1. Web メールのご 利 用 について... 2 2. Web メール 画 面 のフロー 図... 3 3. Web メールへのアクセス... 4 4. ログイン 画 面... 5 5. ログイン 後 (メール 一 覧 画 面 )... 6 6. 画 面 共 通 項 目... 7 7. Web メール 操 作 説 明 書 京 都 与 謝 野 町 有 線 テレビ 0 目 次 1. Web メールのご 利 用 について... 2 2. Web メール 画 面 のフロー 図... 3 3. Web メールへのアクセス... 4 4. ログイン 画 面... 5 5. ログイン 後 (メール 一 覧 画 面 )... 6 6. 画 面 共 通 項 目... 7 7. メール 一 覧 画 面...

More information

目 次 1 ログインする 1 2 研 修 情 報 を 登 録 する 2 step1 登 録 フォームに 入 力 する 2 step2 プレビューで 入 力 内 容 を 確 認 する 18 step3 下 書 き 保 存 する 20 step4 登 録 する 21 step5 管 理 者 による 承

目 次 1 ログインする 1 2 研 修 情 報 を 登 録 する 2 step1 登 録 フォームに 入 力 する 2 step2 プレビューで 入 力 内 容 を 確 認 する 18 step3 下 書 き 保 存 する 20 step4 登 録 する 21 step5 管 理 者 による 承 京 都 市 社 会 福 祉 研 修 情 報 システム 京 福 祉 の 研 修 情 報 ネット 操 作 マニュアル - 主 催 者 編 - 第 1.3 版 2016 年 5 月 16 日 目 次 1 ログインする 1 2 研 修 情 報 を 登 録 する 2 step1 登 録 フォームに 入 力 する 2 step2 プレビューで 入 力 内 容 を 確 認 する 18 step3 下 書 き 保

More information

スライド 1

スライド 1 Android 版 目 視 録 運 用 操 作 マニュアル 作 成 2012/03/22 更 新 2014/09/26 目 視 録 とは 携 帯 またはパソコンで 施 工 写 真 を 登 録 確 認 できるシステムです ご 利 用 の 為 にはIDとパスワードが 必 要 です TEG ログインID ( ) パスワード ( ) https://teg.mokusiroku.com/

More information

Copyright 2008 Hewlett-Packard Development Company, L.P. Windows および Windows Vista は 米 国 Microsoft Corporation の 米 国 およびその 他 の 国 における 商 標 または 登 録 商 標

Copyright 2008 Hewlett-Packard Development Company, L.P. Windows および Windows Vista は 米 国 Microsoft Corporation の 米 国 およびその 他 の 国 における 商 標 または 登 録 商 標 バックアップおよび 復 元 ユーザ ガイド Copyright 2008 Hewlett-Packard Development Company, L.P. Windows および Windows Vista は 米 国 Microsoft Corporation の 米 国 およびその 他 の 国 における 商 標 または 登 録 商 標 です 製 品 についての 注 意 事 項 このユーザ ガイドでは

More information

ログイン ブラウザから TDPOST へアクセス ログイン GC-(お 客 様 名 )フォルダを 選 択 各 作 業 へ ブラウザを 起 動 します (Internet Explorer Safari Firefox など) 下 記 アドレスをブラウザのアドレス 入 力 欄 に 入 力 します ht

ログイン ブラウザから TDPOST へアクセス ログイン GC-(お 客 様 名 )フォルダを 選 択 各 作 業 へ ブラウザを 起 動 します (Internet Explorer Safari Firefox など) 下 記 アドレスをブラウザのアドレス 入 力 欄 に 入 力 します ht サーバが 新 しくなりました 現 在 ご 利 用 をいただいている 弊 社 FTP サーバがセキュリティ 強 化 のため 新 しくなります 恐 れ 入 りますが 切 り 替 えをお 願 い 致 します 東 海 電 子 印 刷 オンラインストレージサーバ 事 前 登 録 お 客 様 用 こちらの 説 明 書 は TDPOST に 事 前 登 録 をされたお 客 様 専 用 の 説 明 書 です ログイン

More information

IBM SPSS Statistics for Linux のインストール手順 (ネットワーク ライセンス)

IBM SPSS Statistics for Linux のインストール手順 (ネットワーク ライセンス) IBM SPSS Statistics for Linux のイ ンストール 手 順 (ネットワーク ライ センス) 以 下 に 示 すのは ネットワーク ライセンス を 使 用 したIBM SPSS Statistics バー ジョン 21 のインストール 手 順 です この 文 書 は デスクトップ コンピュータに SPSS Statistics をインストールするエンド ユーザーが 対 象 です

More information

IBM SPSS Statistics for Mac OS のインストール手順 (シングル ユーザー)

IBM SPSS Statistics for Mac OS のインストール手順 (シングル ユーザー) IBMSPSSStatisticsforMacOSの インストール 手 順 (シングル ユー ザー) 以 下 に 示 すのは シングル ユーザー ライセンス を 使 用 した IBM SPSS Statistics バージョン 20 のインストール 手 順 です シングルユーザー ライセンス を 使 用 すると 最 大 2 台 のコンピュータに SPSS Statistics をインストールできま

More information

スライド 1

スライド 1 2014.10 版 Ver.5.04 遠 藤 照 明 設 計 支 援 ツール:Jobサポート 2 次 元 照 度 計 算 ソフト Luxsheet マニュアル ルクスシート 1 P 3 型 番 入 力 による 検 索 P 4 P 5 P 7 P 9 P10 P11 P12 P13 P14 P16 P17 P18 P19 P21 2 平 均 照 度 計 算 を 一 覧 表 で 簡 単 に 作 成 できます

More information

2007 Microsoft Corporation. All rights reserved. 本 書 に 記 載 した 情 報 は 本 書 各 項 目 に 関 する 発 行 日 現 在 の Microsoft の 見 解 を 表 明 するものです Microsoft は 絶 えず 変 化 する

2007 Microsoft Corporation. All rights reserved. 本 書 に 記 載 した 情 報 は 本 書 各 項 目 に 関 する 発 行 日 現 在 の Microsoft の 見 解 を 表 明 するものです Microsoft は 絶 えず 変 化 する Microsoft Office Visio 2007 自 習 書 データリンク 2007 Microsoft Corporation. All rights reserved. 本 書 に 記 載 した 情 報 は 本 書 各 項 目 に 関 する 発 行 日 現 在 の Microsoft の 見 解 を 表 明 するものです Microsoft は 絶 えず 変 化 する 市 場 に 対 応

More information

目 次 1. ログイン ログアウト... 4 1.1 ログイン... 4 1.2 ログアウト... 6 1.3 セッション 切 れ... 7 2. マイページ... 8 2.1 マイページの 見 方... 8 2.2 最 近 の 更 新... 9 3. マイキャビ... 11 3.1 マイキャビの

目 次 1. ログイン ログアウト... 4 1.1 ログイン... 4 1.2 ログアウト... 6 1.3 セッション 切 れ... 7 2. マイページ... 8 2.1 マイページの 見 方... 8 2.2 最 近 の 更 新... 9 3. マイキャビ... 11 3.1 マイキャビの マイキャビ Powered By SmartDocs TM web 版 ユーザーマニュアル 2012/12/12 ニフティ 株 式 会 社 1 / 36 目 次 1. ログイン ログアウト... 4 1.1 ログイン... 4 1.2 ログアウト... 6 1.3 セッション 切 れ... 7 2. マイページ... 8 2.1 マイページの 見 方... 8 2.2 最 近 の 更 新... 9

More information

KINGSOFT Office 2016 動 作 環 境 対 応 日 本 語 版 版 共 通 利 用 上 記 動 作 以 上 以 上 空 容 量 以 上 他 接 続 環 境 推 奨 必 要 2

KINGSOFT Office 2016 動 作 環 境 対 応 日 本 語 版 版 共 通 利 用 上 記 動 作 以 上 以 上 空 容 量 以 上 他 接 続 環 境 推 奨 必 要 2 目 次 動 作 環 境 特 長 方 法 方 法 起 動 終 了 方 法 方 法 操 作 方 法 使 方 使 方 使 方 詳 細 設 定 使 方 KINGSOFT Office 2016 動 作 環 境 対 応 日 本 語 版 版 共 通 利 用 上 記 動 作 以 上 以 上 空 容 量 以 上 他 接 続 環 境 推 奨 必 要 2 KINGSOFT Office 2016 特 長 主 特 長 以

More information

参加表明書・企画提案書様式

参加表明書・企画提案書様式 秋 田 市 道 路 除 排 雪 車 両 運 行 管 理 システム( 仮 称 ) 導 入 業 務 委 託 公 募 型 プロポーザル 参 加 表 明 書 企 画 提 案 書 様 式 平 成 25 年 7 月 秋 田 市 建 設 部 道 路 維 持 課 ( 様 式 1) 参 加 表 明 書 業 務 の 名 称 秋 田 市 除 排 雪 車 両 運 行 管 理 システム( 仮 称 ) 導 入 業 務 委 託

More information

の と す る (1) 防 犯 カ メ ラ を 購 入 し 設 置 ( 新 設 又 は 増 設 に 限 る ) す る こ と (2) 設 置 す る 防 犯 カ メ ラ は 新 設 又 は 既 設 の 録 画 機 と 接 続 す る こ と た だ し 録 画 機 能 付 防 犯 カ メ ラ は

の と す る (1) 防 犯 カ メ ラ を 購 入 し 設 置 ( 新 設 又 は 増 設 に 限 る ) す る こ と (2) 設 置 す る 防 犯 カ メ ラ は 新 設 又 は 既 設 の 録 画 機 と 接 続 す る こ と た だ し 録 画 機 能 付 防 犯 カ メ ラ は 小 牧 市 地 域 防 犯 カ メ ラ 等 設 置 補 助 金 交 付 要 綱 平 成 2 8 年 3 月 2 2 日 2 7 小 市 安 第 7 5 7 号 ( 通 則 ) 第 1 条 小 牧 市 地 域 防 犯 カ メ ラ 等 設 置 補 助 金 ( 以 下 補 助 金 と い う )の 交 付 に つ い て は 市 費 補 助 金 等 の 予 算 執 行 に 関 す る 規 則 ( 昭 和

More information

給料らくだ7.5・かるがるできる給料5.5 追加マニュアル

給料らくだ7.5・かるがるできる給料5.5 追加マニュアル 追 加 マニュアル 給 料 らくだ 7.5 (Rev.5.10) かるがるできる 給 料 5.5 (Rev.5.10) MNL151201N-K マイナンバーモードについて 本 製 品 は マイナンバー 事 務 のうち 保 管 利 用 廃 棄 安 全 管 理 措 置 について 支 援 する 機 能 を 搭 載 しています マイナンバー 事 務 に 関 する 支 援 機 能 を 利 用 できる 状 態

More information

目 次 1. 大 学 情 報 データベースシステムの 使 用 方 法 について... 1 1.1.EXCEL 一 括 登 録... 1 1.2.EXCEL ダウンロード... 2 1.2.1. 検 索 条 件 の 指 定 プレビュー... 3 1.2.2.EXCEL ダウンロード(データ 抽 出 あ

目 次 1. 大 学 情 報 データベースシステムの 使 用 方 法 について... 1 1.1.EXCEL 一 括 登 録... 1 1.2.EXCEL ダウンロード... 2 1.2.1. 検 索 条 件 の 指 定 プレビュー... 3 1.2.2.EXCEL ダウンロード(データ 抽 出 あ 大 学 情 報 データベースシステム EXCEL 一 括 登 録 マニュアル 目 次 1. 大 学 情 報 データベースシステムの 使 用 方 法 について... 1 1.1.EXCEL 一 括 登 録... 1 1.2.EXCEL ダウンロード... 2 1.2.1. 検 索 条 件 の 指 定 プレビュー... 3 1.2.2.EXCEL ダウンロード(データ 抽 出 あり)... 5 1.2.3.EXCEL

More information

目 次 1 はじめに 本 マニュアルの 目 的 注 意 事 項 ご 利 用 のイメージ の 設 定 フロー 概 略 5 3 スマートフォン (Android 6.0) の 設 定 例 接 続 設 定 例 (Sony XPERI

目 次 1 はじめに 本 マニュアルの 目 的 注 意 事 項 ご 利 用 のイメージ の 設 定 フロー 概 略 5 3 スマートフォン (Android 6.0) の 設 定 例 接 続 設 定 例 (Sony XPERI リモートアクセス Smart Device VPN [マネージドイントラネット Smart Device VPN 利 用 者 さま 向 け] 2016 年 6 月 20 日 Version 1.7 bit- drive 1/83 目 次 1 はじめに 3 1-1 本 マニュアルの 目 的... 3 1-2 注 意 事 項... 3 1-3 ご 利 用 のイメージ... 4 2 の 設 定 フロー 概

More information

Gmail 利用者ガイド

Gmail 利用者ガイド Gmail 利 用 者 ガイド 目 次 1. はじめに... 1 2. Gmail を 利 用 する 前 に... 2 3. 初 めてのログイン... 4 3.1. ログイン... 4 3.2. CAPTCHA の 入 力... 5 4. メールボックスの 説 明... 8 5. メールの 受 信... 9 6. メールの 送 信 返 信... 10 6.1. メールの 新 規 作 成... 10

More information

Office 10 パッケージ版「リンク集」

Office 10 パッケージ版「リンク集」 Office 10 パッケージ 版 リンク 集 バージョン 10.3 Copyright (C) 2013-2015 Cybozu リンク 集 リンク 集 は よく 利 用 するWebサイトのURLを 登 録 するアプリケーションです リンク 集 には 次 の2 種 類 のリンクを 管 理 できます 共 有 リンク: すべてのユーザーが 共 有 して 使 用 できるリンクです システム 管 理 者

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 楽 天 市 場 Yahooショッピング! 商 品 複 製 マニュアル 1 在 庫 連 携 を 行 うためには 事 前 に 各 モールのコード 合 わせの 作 業 が 必 要 です 詳 しくは 各 モールとの 在 庫 連 携 に 必 要 なコード 連 携 マニュアルをご 覧 ください 2 楽 天 Yahooショッピング!の 仕 様 は 変 更 になっている 場 合 があります 各 モールの 仕 様 も

More information

サイボウズ リモートサービス ユーザーマニュアル

サイボウズ リモートサービス ユーザーマニュアル ユーザーマニュアル Copyright (C) 2011 Cybozu, Inc. 目 次 パソコンからのアクセス クライアント 証 明 書 の 登 録... 2 クライアント 証 明 書 を 登 録 する... 2 Internet Explorer 6.0/7.0/8.0(Windows)の 場 合... 2 Mozilla Firefox 3.5/3.6(Windows/Macintosh)の

More information

1.セッション3では 流 出 した 際 の 損 害 を 最 小 限 に 抑 える 対 応 仕 組 み 1

1.セッション3では 流 出 した 際 の 損 害 を 最 小 限 に 抑 える 対 応 仕 組 み 1 セッション3 デモで 実 感! 情 報 漏 えいによる 損 害 を 最 小 限 に 抑 える 簡 単 マイナンバー 情 報 漏 えい 対 策 ネットエージェント 株 式 会 社 営 業 部 田 端 あやの 2015 年 11 月 10 日 1.セッション3では 流 出 した 際 の 損 害 を 最 小 限 に 抑 える 対 応 仕 組 み 1 流 出 した 際 の 損 害 とは 漏 えいしたデータの

More information

Microsoft Word - Start Up Guide1 .docx

Microsoft Word - Start Up Guide1 .docx 日 報 共 有 ツール スタートアップガイド 1.ログインをしてみましょう 2.ユーザ 名 の 登 録 ( 変 更 )/プロフィール 写 真 を 登 録 3.グループを 作 成 してみましょう 4.グループへメンバーを 招 待 してみましょう 5.アカウントへ 新 規 ユーザを 招 待 してみましょう 6. 日 報 を 提 出 してみましょう 7. 今 日 の 予 定 をGoogleカレンダーから

More information

POWER EGG V2.01 ユーザーズマニュアル グループウェア編

POWER EGG V2.01 ユーザーズマニュアル グループウェア編 POWER EGG V2.0 ユーザーズマニュアル グループウェア 編 Copyright 2009 D-CIRCLE,INC. All Rights Reserved 2009.4 はじめに 本 書 では POWER EGG 利 用 者 向 けに POWER EGG のグループウェア 機 能 に 関 する 操 作 を します 当 マニュアルでは グループウェア 機 能 に 関 する のみ 行 います

More information