[クラウドアクセスルール] 画面からクラウドアクセスルールを追加または編集すると、新しい画面が開き、ルールのオプションを設定できます。
項目 |
設定 |
---|---|
ルール名 |
クラウドアクセスルールの一意な名前を指定します。 |
説明 |
(オプション) クラウドアクセスルールを簡単に識別できる、わかりやすい説明です。 |
有効化 |
[オン] または [オフ] をクリックして、クラウドアクセスルールを有効化または無効化します。 不要になったクラウドアクセスルールは、[有効化] を [オフ] に設定するのではなく、削除してください。 |
オプションは次のとおりです。
すべて: 管理コンソールで作成されたか管理コンソールに同期されているすべてのユーザおよびグループ。
選択したユーザ/ユーザグループ: [ホストされているユーザ] 画面で設定した、組織のActive Directoryサーバと同期されているユーザとユーザグループの中から選択した特定のユーザまたはユーザグループ
次のユーザまたはユーザグループを除外します: (オプション) 選択したユーザまたはユーザグループのうち、ルールから除外するユーザまたはユーザグループ
ユーザグループは太字で表示されます。
選択したIPアドレスグループ: [IPアドレスグループ] 画面で設定したIPアドレスグループの中から選択した特定のIPアドレスグループ。
(オプション) [IPアドレスグループの追加] をクリックして、現在の画面で新規のIPアドレスグループを作成します。詳細については、IPアドレスグループを設定するを参照してください。
グループ内の各IPアドレスからのHTTP/HTTPSリクエストをTMWSaaS 「仮想ゲートウェイ」または「オンプレミスゲートウェイ」にルーティングします。
TMWSaaS仮想ゲートウェイを使用する場合は、グループ内の各IPアドレスからのHTTP/HTTPSリクエストに、最初の値としてIPアドレスを指定したX-Forwarded-For (XFF) ヘッダが含まれていることを確認します。
次のIPアドレスグループを除外する: (オプション) 選択したIPアドレスグループのうち、ルールから除外するIPアドレスグループ
オプションは次のとおりです。
すべて: ユーザがアクセスを要求したすべてのドメイン
選択した対象ドメイングループ: [対象ドメイングループ] 画面で設定した対象ドメイングループからの特定のドメイン。
(オプション) [対象ドメイングループの追加] をクリックして、現在の画面で新規の対象ドメイングループを作成します。詳細については、対象ドメイングループの設定を参照してください。
次の対象ドメイングループを除外する: (オプション) 選択した対象ドメイングループのうち、ルールから除外する対象ドメイングループ
オプションは次のとおりです。
すべて: トレンドマイクロが事前定義しているすべてのアプリケーションカテゴリ、URLカテゴリ、およびクラウドアプリケーション
選択したアプリケーションカテゴリとURLカテゴリ: トレンドマイクロの事前定義のカテゴリと管理者がカスタマイズしたカテゴリのリストから選択した特定のアプリケーションカテゴリとURLカテゴリ
事前定義のアプリケーションカテゴリとURLカテゴリの詳細については、アプリケーションカテゴリグループおよびURLフィルタカテゴリのグループを参照してください。
(オプション) トレンドマイクロの事前定義のカテゴリに含まれない新規のURLカテゴリを指定するには、[カスタマイズされたURLカテゴリの追加] をクリックします。詳細については、カスタマイズされたURLカテゴリを設定するを参照してください。
アプリケーションカテゴリとURLカテゴリを同時に選択した場合は、ユーザのトラフィックがそれらのカテゴリに1つでも該当すればクラウドアクセスルールが適用されます。
選択したクラウドアプリケーション: クラウドアプリケーションアクセスセットで事前設定されたクラウドアプリケーション
クラウドアプリケーションアクセスセットの詳細については、クラウドアプリケーションアクセスセットを参照してください。
(オプション) [クラウドアプリケーションアクセスセットの追加] をクリックして、クラウドアクセスルールに適用するクラウドアプリケーションの新しいセットをグループ化します。詳細については、クラウドアプリケーションアクセスセットを設定するを参照してください。
(オプション) 新しいクラウドサービスフィルタを指定して追加する場合は、[クラウドサービスフィルタの追加] をクリックします。詳細については、クラウドサービスフィルタを設定するを参照してください。
TMWSaaSは、現在のクラウドアクセスルールおよびそのルールに設定された脅威対策テンプレートと情報漏えい対策プロファイルでWebトラフィックがブロックされなかった場合にのみ、選択したクラウドサービスフィルタに設定された処理 (HTTPリクエストメッセージのヘッダ変更) を一致するWebトラフィックに対して実行します。
HTTPヘッダを変更するとユーザのHTTPリクエストが正しく表示されないことがあるため、クラウドサービスフィルタは十分に注意して設定してください。
セキュリティ、監視、またはパフォーマンスのために、コンテンツやファイルのタイプを指定してブロックすることができます。ブロックされたコンテンツやファイルはリクエスト元のクライアントで受信されずに処理され、ブロックされたファイルタイプを取得するリクエストは実行されません。Microsoft Office文書、画像、実行可能ファイル、オーディオ/ビデオファイル、Javaアプレット、アーカイブなどのファイルタイプを指定してブロックできます。オプションは次のとおりです。
MIMEコンテンツタイプ: 特定のMIMEコンテンツタイプのファイルを検索します。
ファイル名: 設定した1つまたは複数の文字列をファイル名に含むファイルを検索します。
[ファイル名] ではワイルドカードがサポートされます。
実際のファイルタイプ: ファイル名ではなくファイルヘッダから実際のファイルタイプを特定します。これにより、ファイル拡張子の変更など、何らかのファイル操作によって検索エンジンから回避されるのを防ぐことができます。
[MIMEコンテンツタイプ]、[ファイル名]、および [実際のファイルタイプ] を同時に設定した場合は、ユーザのトラフィックがそれらのタイプに1つでも該当すればクラウドアクセスルールが適用されます。
クラウドアクセスルールでの [トラフィックの種類] と [コンテンツタイプ] の設定の例を3つ示します。
例1: Webメール関連のコンテンツをすべてブロックする場合は、[トラフィックの種類] > [選択したアプリケーションカテゴリとURLカテゴリ] > [アプリケーションカテゴリ] で [Webメール] を選択し、[コンテンツタイプ] で [すべて] を選択します。
例2: BingでGIF形式の画像をブロックする場合は、[トラフィックの種類] > [選択したアプリケーションカテゴリとURLカテゴリ] > [アプリケーションカテゴリ] > [Web] で [Bing] を選択し、[コンテンツタイプ] > [実際のファイルタイプ] > [画像] で [GIF] を選択します。
例3: クラウドアプリケーションアクセスセットで設定されたクラウドアプリケーションでPDF形式の文書をブロックする場合は、[トラフィックの種類] > [選択したクラウドアプリケーション] でセットを選択し、[コンテンツタイプ] > [実際のファイルタイプ] > [文書] で [PDF] を選択します。
オプションは次のとおりです。
許可: クラウドアクセスルールに一致するコンテンツにアクセスしようとすると、セキュリティテンプレートによる検証に進み、その設定に基づいてアクセスできるかどうかが決まります。
ブロック:
他の処理を実行せずにブロック: クラウドアクセスルールに一致するコンテンツへのアクセスがブロックされます。
警告を有効化: クラウドアクセスルールに一致するコンテンツにアクセスしようとすると、警告ページが表示されます。続行すると、セキュリティテンプレートによる検証に進み、その設定に基づいてアクセスできるかどうかが決まります。
パスワードのオーバーライドを有効化: クラウドアクセスルールに一致するコンテンツにアクセスしようとすると、パスワードの入力を求められ、正しいパスワードを入力するとセキュリティテンプレートによる検証に進みます。
[パスワード] テキストボックスにパスワードを入力します。入力したパスワードに間違いがないかを確認するには、[パスワードの表示] チェックボックスをオンにします。
ユーザにパスワードを通知します。クラウドアクセスルールに一致するコンテンツにアクセスしようとすると、TMWSaaSからパスワードの入力を求めるページが表示されます。
コンテンツにアクセスできるかどうかは、選択したセキュリティテンプレートで設定されている処理に応じて決まります。
このセクションは、[処理] セクションで [他の処理を実行せずにブロック] を選択した場合は表示されません。この場合、クラウドアクセスルールに一致するデータトラフィックが直接ブロックされるため、セキュリティテンプレートを適用する必要はありません。