インターネットアクセス制御ルールの作成

インターネットのアクセス制御ルールを設定して、企業ネットワークのオン/オフに関係なく、ユーザのインターネットアクセスを保護します。

注:

Trend Micro Vision One は、他のインターネットアクセスルールに一致しない場合に適用される初期設定のインターネットアクセスルールを自動的に作成します。初期設定のルールでは、インターネットへの無制限のアクセスが許可されます。

  1. Secure Access Rules画面で、インターネットアクセス制御タブをクリックし、ルールを作成をクリックします。

    Web アクセス制御 ルールテンプレートが選択された状態で、ルール設定画面が表示されます。

  2. ルールの一意の名前と説明を指定します。
  3. (オプション)ルールを有効または無効にするには、ステータスの横にある切り替えボタンをクリックします。
    ヒント:

    インターネットアクセス制御タブでルールを有効または無効にすることもできます。

  4. 次のルール要素を設定します。

    ルール要素

    説明

    オプション

    ソース

    ルールが適用されるユーザと場所

    ユーザ/グループ/プライベートIPグループ

    • ユーザ/グループ:IAMシステムのユーザとユーザグループを指定します。

      注:

      複数のIAMシステムを設定している場合は、SSOが有効なIAMシステムが適用されます。

    • プライベートIPグループ:組織内のプライベートIPアドレスグループを指定します。

      プライベートIPアドレスグループは、同じ出力IPアドレスを共有する内部企業ネットワーク上のIPアドレスまたはセグメントを参照します。プライベートIPアドレスグループを定義して、 企業ネットワークの場所内のサブ場所を指定できます。その後、これらのサブロケーションを使用して、どの内部ユーザがこれらの内部IPアドレスからアクセスしているかに関係なく、企業ネットワークのロケーションにさまざまなインターネットアクセスルールを実装できます。

      注:
      • 選択するプライベートIPアドレスグループは、少なくとも1つの企業ネットワークの場所のサブセットである必要があります。

      • 次のような状況では、インターネット アクセスSecure Access Moduleが X-Forwarded-For (XFF) アドレスを取得できないため、 アクセス ルールが適用されないことがあります。 .

      • 企業の内部ネットワークで1つ以上のプライベートIPアドレスを使用して新しいIPグループを定義するには、プライベートIPアドレスグループを追加をクリックします。

    デバイス

    ルールの適用から「準拠」デバイスを除外するデバイスポスチャプロファイルを選択します。

    注:

    このオプションは、 Secure Access Moduleによって保護されたインターネットアクセスにのみ適用されます。

    デバイスポスチャプロファイルを追加するには、カスタムデバイス構成プロファイルを追加をクリックします。

    場所

    企業ネットワークの場所、または指定したIPアドレスまたは地域のパブリック/ホームネットワークの場所を指定します。

    • 企業ネットワークの場所 は、企業の本社、支社、企業のVPNなど、既知の場所からのユーザトラフィックを識別します。企業のネットワーク拠点は、指定されたインターネットアクセスゲートウェイ経由でインターネットにアクセスします。

      ヒント:

      インターネットアクセスクラウドゲートウェイ上またはインターネットアクセスオンプレミスゲートウェイ経由で企業ネットワークの場所を定義するには、Secure Access Configuration > Internet Access Configurationで設定を構成します。ゲートウェイタブ。

    • 公共/ホームネットワークの場所 は、公共のWi-Fiネットワークに接続しているユーザや自宅で作業しているユーザなどのローミングユーザを識別します。パブリック/ホームネットワークの場所は、IPアドレスまたは地域によって定義されます。

      ヒント:

      1つ以上のIPアドレスを使用して新しいパブリック/ホームネットワークの場所を定義するには、パブリックIPアドレスグループの追加をクリックします。

    トラフィック

    ルールが適用されるインターネットコンテンツ

    URL/クラウドアプリ

    サポートされるクラウドアプリのURLカテゴリ、クラウドアプリカテゴリ、および特定の処理を指定します。

    • URLカテゴリを展開し、 トレンドマイクロ で事前定義されたURLカテゴリまたは管理者がカスタマイズしたURLカテゴリにルールを適用します。

      詳細については、「カスタムURLカテゴリ」を参照してください。

    • カスタムクラウドアプリカテゴリを展開し、 トレンドマイクロ によって事前定義された、または管理者によってカスタマイズされたクラウドアプリカテゴリにルールを適用します。

      詳細については、「カスタムクラウドアプリカテゴリ」を参照してください。

    • カスタムクラウドアプリの処理を展開し、アプリ内の処理にルールを適用します。たとえば、Facebookからのファイルのダウンロードをブロックできます。

    ファイルの種類

    メディアプロファイル、ファイル名、またはファイルプロファイルで定義されている実際のファイルタイプを指定します。

    詳細については、「ファイルプロファイル」を参照してください。

    予約

    ルールが適用される毎週の期間

    スケジュールの繰り返しを設定するには、指定した期間のみルールを適用を選択し、開始日と終了日を選択します。

    注:

    スケジュールでは、企業ネットワークの場所の定義済みタイムゾーンを使用するか、パブリック/ホームネットワークの場所にはUTC+0を使用します。

    操作

    ルールがトリガされたときに実行される処理

    アクセス制御

    指定したインターネットコンテンツへのアクセスを許可、ブロック、または監視します。

    注:

    URL/クラウドアプリへのアクセスを監視を選択して、インターネットアクセスを許可しますが、アクティビティはログに記録します。

    処理の詳細については、「ゼロトラスト処理」を参照してください。

    詳細なセキュリティ設定

    URL/クラウドアプリへのアクセスを許可またはURL/クラウドアプリへのアクセスを監視を選択した場合は、次の詳細設定を適用できます。

    • テナント制限を有効化テナント制限ルールで定義されたクラウドアプリへのアクセスを制限し

    • 脅威対策を有効化脅威対策ルールで定義されたインターネットコンテンツを検索してブロックする可能性があります。

    • 情報漏えい対策を有効化Data Loss Preventionルールで定義されている機密データを含むコンテンツについて、送信Webトラフィックを検索します。

  5. 保存をクリックします。

    ルールはインターネットアクセス制御タブで確認できます。