Kaspersky Endpoint Security 10 SP1 MR2 ウェブコントロール設定ガイド 2016/06/18 株式会社カスペルスキーコーポレートビジネス本部セールスエンジニアリング部 Ver. 2.0 1
目次 1. ウェブコントロールの概要... 3 1.1. コンテンツによる制限... 3 1.2. ウェブコントロールを設定するには... 4 1.3. ルールの優先順位... 6 1.4. 警告とブロック... 6 2. 設定例... 9 2.1. バナー広告をブロックする... 9 2.2. 勤務時間中はソーシャルネットワークへのアクセスをブロックする...11 2.3. 一部のユーザーにのみアクセス許可を与える...14 2.4. ホワイトリスト ( 許可リスト ) を設定する...17 2.5. ブロックを一時的に無効にする...20 2
1. ウェブコントロールの概要 ウェブコントロール機能は Kaspersky Endpoint Security for Business Select の エンドポイントコントロー ル に含まれる機能で ウェブアクセスをコンテンツごとに制御することができます 組織の社内ポリシーに従って インタ ーネットアクセスをフィルタリングことで 生産性を高めつつ ウェブベースのマルウェアや攻撃を効率的に防ぎます フィルタリングはカテゴリごと あるいはデータの種別ごとに行います このとき ホワイトリストを用いて 特定のカテゴ リやデータ種別をブロックした上で 特定のサイトは常に許可するという運用が可能です また 時間帯やログインユ ーザーごとに制限することも可能です す なお 制限は Web ブラウザに依存しません ブロックしたコンテンツにはどのソフトウェアからもアクセスできなくなりま 1.1. コンテンツによる制限 ウェブコントロールでは コンテンツのカテゴリに基づいた制限と データの種別による制限が可能です コンテンツカ テゴリは Kaspersky が定義したもので 常に更新されています 使用できるカテゴリと種別は以下の通りです 両者は組み合わせて指定できます コンテンツカテゴリ アダルトソフトウェア 音楽 映像アルコール タバコ 麻薬暴力過激な表現 わいせつな表現武器 爆発物 花火ギャンブル 宝くじ 懸賞インターネットコミュニケーション電子商取引求人情報 HTTP クエリのリダイレクトコンピューターゲーム宗教ニュースバナー データ種別 ビデオサウンド Office のファイル実行ファイル圧縮ファイルグラフィックファイル 1 つのサイトが複数のカテゴリに登録されていることがあります 参考 : Kaspersky Endpoint Security 10 for Windows Workstations のウェブコントロールカテゴリ http://support.kaspersky.co.jp/11971 3
1.2. ウェブコントロールを設定するには ウェブコントロールはデフォルトで有効になっており 基本的にはすべての Web サイトにアクセスできるように設定されています 設定の内容を確認 変更するには 管理サーバーの設定で エンドポイントコントロール を表示する必要があります 1 管理サーバー を選択して 監視 タブを開き 管理サーバー グループにある ユーザーインターフェイスに表示する機能の設定 をクリックします 2 インターフェイスの設定 画面が開くので エンドコ ントロール設定の表示 を有効にして OK をクリック します 4
3 確認メッセージが表示されるので OK をクリックしま す 表示の設定は 管理コンソールを再起動すると有効になります < 設定前 > < 設定後 ( エンドポイントコントロールを表示 )> 5
1.3. ルールの優先順位 ウェブコントロールでは複数のアクセスルールを登録することができます バナー広告はブロックする ただし自社のサイトだけは許可する という場合 自社サイトは許可 が バナーブロ ック の上位になるように設定します < 設定例 > 自社のサイトは常に許可 1 バナー広告はブロック 2 広報担当者はソーシャルネットワークへのアクセスを許可 3 勤務時間中はソーシャルネットワークへのアクセス不可 4 3と4のルールによって 広報担当者以外は勤務時間中にはソーシャルネットワークにアクセスできなくなるなお システムをインストールすると 管理対象コンピューター グループ用に スクリプトとスタイルシート および 既定のルール というアクセスルールが自動で作成されます スクリプトとスタイルシート では CSS や JavaScript などのファイルへのアクセスが許可されるよう設定されています 既定のルール では すべてのサイトがアクセス可能となるように設定されています 既定のルールは一番下 ( 優先順位 = 低 ) に固定されており 設定を変更ことはできません 1.4. 警告とブロック ウェブコントロールによる制限には ブロック と 警告 の 2 種類があります ブロック の場合 要求された Web ページを表示できません というメッセージが表示され 該当するサイトを表示することはできなくなります 警告 となっている場合 制限されているサイトにアクセスしようとすると 要求された Web ページは安全でないか 社内のポリシーによってブロックされている可能性があります というメッセージが表示されますが メッセージ内のリンクからサイトを開くことが可能です なお これらのメッセージは https:// から始まるサイトの場合は表示されません この場合 警告 となっている 場合でも該当するサイトにはアクセスできなくなります 6
< ブロックされている場合 > < 警告となっている場合 > それぞれのメッセージは ウェブコントロール の テンプレート で変更できます 1 グループ ( ここでは 管理対象コンピューター ) を選択して ポリシー タブで KES のポリシーをダブルクリックしてプロパティを開きます 7
2 ウェブコントロール セ クションにある テンプレ ート をクリックします 3 メッセージのテンプレート が表示されるので メ ッセージを変更します 4 OK をクリックして設定を反映させます 端末に該当サイトのキャッシュが残っている場合 新しい設定に基づくメッセージが表示されないことがあります 8
2. 設定例 2.1. バナー広告をブロックする ウェブコントロールのカテゴリブロック機能を使用することで Web ページのバナー広告をブロックすることができます バナーからウイルスに感染するケースもあるので有効化しておくことをおすすめします 1 グループ ( ここでは 管理対象コンピューター ) を選択して ポリシー タブで KES のポリシーをダブルクリックしてプロパティを開きます 2 ウェブコントロール セクションで ウェブコントロール設定 の 追加 をクリックします 9
3 Web リソースへのアクセスルール 画面が開くので 名前 でわかりやすい名前を付けて コンテンツのフィルタリング を コンテンツカテゴリ に変更します ( 画面の表示内容が4に変わります ) 例 ) バナーブロック 4 以下を設定します コンテンツカテゴリ で バナー にチェックを入れ る 処理 を ブロック に設定する 設定したら OK をクリックしてプロパティ画面に戻り ます 5 ウェブコントロール設定 に バナーブロック が登録されているので 選択して 上へ をクリックし 最上位に設定します 6 OK をクリックして設定を反映させます 10
2.2. 勤務時間中はソーシャルネットワークへのアクセスをブロックする 勤務時間中はソーシャルネットワークにアクセスできないようにブロックするには 以下のように設定します 1 グループ ( ここでは 管理対象コンピューター ) を選択して ポリシー タブで KES のポリシーをダブルクリックしてプロパティを開きます 2 ウェブコントロール セクションで ウェブコントロール設定 の 追加 をクリックします 3 Web リソースへのアクセスルール 画面が開くので 名前 でわかりやすい名前を付けて コンテンツのフィルタリング を コンテンツカテゴリ に変更します ( 画面の表示内容が4に変わります ) 例 ) ソーシャルネットワーク 11
4 以下を設定します コンテンツカテゴリ で インターネットコミュニケー ション にチェックを入れる 処理 を ブロック に設定する 設定したら OK をクリックしてプロパティ画面に戻り ます 5 ルールスケジュールの 設定 をクリックします 6 ルールスケジュール 画面が開くので マウ スで ルールが適用される時間帯 と ルー ルが適用されない時間帯 を設定します ルールが適用される時間帯 ルールが適用されない時間帯 ( 範囲選択またはクリックで変更 ) ここでは 9 時から 18 時のみ ルールが適用 される時間帯 としています 12
7 時間帯を設定したら 名前を付けて保存 をクリックします 8 ルールスケジュール名 に名前を付けて OK で反映させます 例 ) 勤務時間 9 ウェブコントロール設定 に ソーシャルネットワーク が登録されているので 選択して 上へ をクリックし 最上位に設定します 10 OK をクリックして設定を反映させます 13
2.3. 一部のユーザーにのみアクセス許可を与える Active Directory による管理をしている場合 ユーザーやユーザーグループによるアクセス制限を設定することができます たとえば 勤務時間中はソーシャルネットワークへのアクセスをブロックする (P.11) とした場合も 広報担当者に関してはその制限を外す というような運用が可能になります この場合 ブロックしているものと同じコンテンツカテゴリを指定して ユーザーを選択し 処理で 許可 を設定します 1 グループ ( ここでは 管理対象コンピューター ) を選択して ポリシー タブで KES のポリシーをダブルクリックしてプロパティを開きます 2 ウェブコントロール セクションで ウェブコントロール設定 の 追加 をクリックします 14
3 Web リソースへのアクセスルール 画面が開くので 名前 でわかりやすい名前を付けて コンテンツのフィルタリング を コンテンツカテゴリ に変更します ( 画面の表示内容が4に変わります ) 例 ) ソーシャルネットワーク ( 許可 ) 4 以下を設定します コンテンツカテゴリ で インターネットコミュニケーション ( 全員に対しブロック設定しているコンテンツ ) にチェックを入れる 処理 を 許可 に設定する 設定したら OK をクリックしてプロパティ画面に戻り ます 5 ユーザーまたはグループの選択 にチェックマークを 入れて 設定 をクリックします 15
6 ユーザーまたはグループの選択 画面が開くので 許可を与えたいユーザーやグループを選択し OK をクリックして反映させます Active Directory を使用していない場合 KSC を動かしているコンピューターのユーザーとグループからの選択となります ユーザー構成が違う端末には適用されないのでご注意ください 7 OK をクリックすると ウェブコントロール設定 に ソーシャルネットワーク ( 許可 ) が登録されるので 上へ をクリックして ブロック設定しているアクセスルールより上位になるように移動します 8 OK をクリックして設定を反映させます 16
2.4. ホワイトリスト ( 許可リスト ) を設定する アドレスによる制限を使って 常に許可する URL を登録しておくことができます この場合 他の設定よりも優先さ せるために アクセスルールの最上位に配置します 自社サイトは常に許可 のような運用ができます 1 グループ ( ここでは 管理対象コンピューター ) を選択して ポリシー タブで KES のポリシーをダブルクリックしてプロパティを開きます 2 ウェブコントロール セクションで ウェブコントロール設定 の 追加 をクリックします 3 Web リソースへのアクセスルール 画面が開くので 名前 でわかりやすい名前を付けて コンテンツのフィルタリング を 個別のアドレス に変更します ( 画面の表示内容が4に変わります ) 例 ) ホワイトリスト 17
4 追加 アドレスの追加 をクリックします 5 アドレス / アドレスマスク 画面が開くので アドレスを入力し OK をクリックして反映させます 入力規則 以下のマスクを使用できます * 任意の 字列? 任意の単 字例えば *.kaspserky.co.jp/* と入力すると 以下の URL も含めて除外となります support.kaspersky.co.jp/ URL に *? \ 空白が含まれている場合は それぞれの 字の前に 字 を付ける必要があります 例えば www.test.jp/dl.php?fl= は www.test.jp/dl.php\?fl= と入力します 18
6 OK をクリックすると ウェブコントロール設定 に ホワイトリスト が登録されるので 上へ をクリックして最上位へ移動します 7 OK をクリックして設定を反映させます 19
2.5. ブロックを一時的に無効にする 設定済のアクセスルールを一時的に無効にすることができます 1 グループ ( ここでは 管理対象コンピューター ) を選択して ポリシー タブで KES のポリシーをダブルクリックしてプロパティを開きます 2 ウェブコントロール セクションの ウェブコントロール設定 で 一時的に無効にしたいアクセスルールの状態をクリックし 有効/ 無効 を切り替えます 3 OK をクリックして設定を反映させます 20
株式会社カスペルスキー 101-0021 東京都千代田区外神田 3-12-8 住友不動産秋葉原ビル 7F www.kaspersky.co.jp kasperskylabs.jp/biz 2016 Kaspersky Labs Japan. Kaspersky Anti-Virus および Kaspersky Security は Kaspersky Lab の登録商標です その他記載された会社名または製品名などは 各社の登録商標または商標です なお 本文中では TM マークは明記していません 記載内容は 2016 年 6 月現在のものです 記載された内容は 改良の為に予告なく変更されることがあります 21