7.14. 新管理コンソール¶
7.14.1. 導入¶
Webベースの管理コンソールを http://ShieldServerIPAddress:30181 で起動します。ホスト名/IPアドレス - これは、Shield Managementコンポーネントを実行しているマシンのアドレスです。
注意
管理コンソールの使用は Chrome ブラウザで行うことをお勧めします。
コンソールの初回起動時には、「connection is not private」(接続がプライベートではありません) というセキュリティアラートが表示されます。これは管理コンソールが HTTPS であり、適切な証明書が不足しているために発生します。これを処理するには、管理者にログインし、マシンのShieldServerIPAddressを使用して管理コンソールのFQDNを設定します。
- デフォルトのクレデンシャル:
- ユーザー名:admin
- パスワード:ericomshield
注意
セキュリティ上の理由から、誤った資格情報で数回試行した後、管理コンソールは数分間ロックされます。ユーザーは状況について通知され、しばらくしてから再試行できます
ユーザインターフェイス言語を選択する¶
パスワードを変更する¶
ログインパスワードを変更するには、画面右上の人のアイコンをクリックして、「パスワードの変更」を選択します。
現在のパスワードと新しいパスワード (2回) を入力し、保存を押します。新しいパスワードを使用して管理コンソールにログインします。この管理コンソールは、以下のパネルで構成されています。
7.14.2. ポリシー¶
Ericom Shield を使用することで、組織は事業活動を維持しながら外部の脅威から事業を適切に保護するさまざまなポリシーを定義できます。今日では、ほとんどすべての従業員が仕事を遂行するためにインターネットにアクセスする必要があります。Ericom Shield は、細かい設定なしでも一定レベルの保護を提供しますが、さらに踏み込んで、追加の保護を提供するポリシーを定義することもできます。
ポリシーテーブル¶
ポリシーは、特定のドメイン、IP アドレス、またはカテゴリごとに定義できます。さらに、システム全体に反映されるシステムデフォルトポリシーと上書きポリシーがあります。
システムには、ポリシーごとに事前定義されたデフォルトが含まれています。上書きポリシーは、管理者がシステム全体を完全に制御できるようにする非常に便利なツールです。システムデフォルトポリシーおよび上書きポリシーについては、下記を参照してください。
ポリシーは、特定のプロファイルごと、またはデフォルトの All プロファイルごとに定義できます。
ポリシーテーブルは2つのモードで表示できます: コンパクトと詳細
コンパクトモードではドメイン/カテゴリ、タイプ、プロファイル、アクセス、コメントのフィールドを参照できます。
詳細モードではすべてのテーブル列が含まれます。表示モードを切り替えるには「その他カラムを表示」を選択します。
参考
カテゴリは、一致するライセンスが存在し、システムでカテゴリが有効になっている場合にのみテーブルに表示されます。
参考
Shieldには、Chrome および Firefox を介して Shield でスムーズにブラウジングできるように、事前定義されたルールがいくつか付属しています。これらのポリシーはそのままにしておくことをお勧めします。
ナビゲーションモード¶
ポリシーの表示と編集には、いくつかのモードが用意されています。
| モード | 説明 |
| 編集モード | ポリシーをクリックすると編集モードで開きます。 |
| フィルターモード | 列の値をクリックすると、その値に一致するポリシーだけが表示されます。 |
| デフォルトの編集 | デフォルトのポリシーを表示し、編集モードで表示します。 |
| 上書きの編集 | 上書きポリシーを表示し、編集モードで表示します。 |
ポリシーの設定¶
- デフォルトポリシー
すべてのプロファイルにはデフォルトポリシーがあります(デフォルト - プロファイル名)。ビルトインプロファイルは デフォルト - 全て です。新しいプロファイルが作成されると、自動的に デフォルトポリシーがポリシーテーブルに追加されます。
デフォルト値を編集するには、特定の行を選択し、編集オプションを選択します。必要な値を変更し、操作を確定します。これは、このポリシーのデフォルト値を持つテーブル内のすべてのドメイン/カテゴリに影響します。事前に定義された値を持つドメイン/カテゴリは影響を受けません。
- 上書きポリシー
デフォルトで非表示になっている上書きポリシーがあります。このポリシーを編集するには、「タイプ 等しくない '上書き'」の横の "x" を押してフィルタをクリアします。
注意
上書きポリシーで設定された内容は、定義されたポリシー設定(デフォルト、ドメイン、カテゴリなど)を上書きします。
既存のポリシーを編集する¶
テーブル内の既存のエントリを編集するには、該当するポリシーをクリックします。 ドメインポリシー詳細画面が表示されますので、こちらからすべての値を更新できます。値の更新が完了したら、変更の保存を実行すると更新した値が検証され、コミットされます。
注意
このセクションで行われた各更新は、検証およびコミットが行われた後、適用されるまでに少し時間がかかる場合があります。また、これらの変更は新しいセッションのみに影響し、実行中のセッションには影響しません。これらの変更は、実行中のセッションには影響しません。
新しいポリシーを追加する¶
ポリシーテーブルに新しいドメイン/IP アドレス/カテゴリを追加するには、「ドメインポリシーの新規追加」アイコンを押します。
「新しいポリシーを追加」ダイアログが開きます。
このダイアログは、新しいドメインと IP アドレスを追加するために使用します。カテゴリを追加するには、上部の「カテゴリ」オプションを選択すると、ダイアログが変化します。詳細については、以下を参照してください。
ダイアログが開き、現在のシステムデフォルトオプションが(選択したプロファイルごとに)適用されます。「ドメインアドレス」フィールドにドメイン/IPアドレスを追加します。複数のアドレスを追加する場合には、改行して区切ります。ドメインは、例えば bbc.com や www.bbc.com のように指定できます。ポリシーはドメイン全体を参照するため、特定の URL(例:. Http://www.bbc.com/news/ など)はサポートされていいません。ドロップダウンリストの値を使用して、このポリシーに必要なオプションを定義します。完了したら、「追加」ボタンをクリックします。
追加されたドメイン/IP アドレスは、既存との重複がないか検証されます。これは、同一のドメイン/IP アドレスに対して複数のポリシーで異なるオプションが適用され、そのドメイン/IP アドレスへの接続でエラーが発生するのを防止するためです。同じドメイン/ IPアドレスが異なるプロファイルに表示される場合があります。これは重複とは見なされません。重複が存在する場合は、(特定のプロファイルに)ドメインがすでに存在することを示すメッセージが表示されます。ダイアログが開いたままになり、ユーザは入力した詳細を変更できます。
検証チェックが正常に完了すると、ダイアログが閉じ、新しいドメイン/IP アドレスがテーブルに表示されます。上書き値が設定されている場合を除き、各ドメインポリシーはシステムデフォルトポリシーよりも優先されます。
一般情報¶
- タイプ
ドメインを追加するには、「タイプ」を「ドメイン」に変更し、ポリシーを定義するドメインまたはドメインのリストを入力します。
注意
複数のドメインを定義する場合、定義されたポリシー設定を使用して一括作成されます。作成時に各ドメインに固有のポリシーが生成されます。ドメインのグループに対して一連の設定を定義するには、マルチドメインリストを作成します。
カテゴリーを追加するには、「タイプ」を「カテゴリ」に変更します。ポリシーを定義するカテゴリを選択します。
注意
あらかじめ定義されたカテゴリ(例:ショッピング)は、カテゴリのライセンスを取得している場合のみ、テーブルに表示されます。
- プロファイル
ポリシーに関連付けるプロファイルを選択します。
- アクセス
ドメインが次のいずれであるかを定義します。
- 分離
Shieldを介してWeb分離で開きます。
- 検査
- プロキシを使用して開きます。
- この設定はURLリダイレクトセッションには適用されません。
- この設定はSSLを検査するため、フィッシングや疑わしいURLの検出を向上させます。
- SSLインスペクション無しで許可
SSL検査なしでプロキシを使用して開きます。
- この設定はURLリダイレクトセッションには適用されません。
- 一部のウェブサイト(金融サービスなど)では、SSL検査がブロックされているため、この設定が必要です。
- 拒否
アクセスを拒否し、ブロックページを開きます。
- サブドメイン
ドメインのサブドメインが含まれるかどうかを定義します。例えば、example.comがドメインとして定義され、subdomains=含むの場合、west.example.comとeast.example.comの両方が含まれ、example.comに対して定義されたすべてのポリシー値の影響を受けます。明示的にドメインセクションに追加する必要はありません。
サブドメイン=含まないの場合、特定のドメインのみがマッチします。例えば、example.comがドメインとして定義され、subdomains=含まないの場合、www.example.com はポリシーによってマッチされません。
- コメント
ポリシーとその使用方法についてのコメントを入力します。
分離設定¶
- レンダリング
- 3つのオプションの中からコンテンツのレンダリング方法を定義します。
- フレーム - ブラウザのコンテンツはすべてフレーム(画像)として転送されます。DOM要素、CSS、内部ロジック、APIコールはクライアントから隠されます。
- ストリーム - すべてのメディア要素(Youtubeなど)が直接ストリーミングされます。その他の要素はフレームモードとして転送されます。
- クリスタル - ブラウザのコンテンツの一部はそのまま表示されます - DOM要素とCSS(これは安全だと考えられています)。潜在的に有害と考えられるその他の要素(内部ロジックとAPIコール)は、クライアントから分離されます。
- サスペンド
- ドメインがアイドル状態のとき、(特定のタイムアウトに従って)サスペンドするか、アクティブのまま維持するかを定義します。可能な値は以下のとおりです(タイムアウトの詳細については、「リソース」のセクションを参照してください)。
- 有効 - アイドル状態の場合、R/OおよびR/Wのタイムアウトに達するまでドメインは一時停止されます。
- 1時間/4時間/10時間の3つの中からタイムアウト時間が選択できます。
- 無効 - ドメインは、終了タイムアウトに達するまでアクティブのままになります。
ファイル操作¶
- ファイル(ダウンロード/アップロード)の検査
指定されたドメインからファイルをダウンロード/アップロードしてサニタイズできるかどうかを定義します。可能な値は以下のとおりです。
- 許可・検査なし - 保護されない状態でファイルがダウンロードされます。
- ブロック - ファイルのダウンロード、サニタイズ、プレビューはできません。
- プレビュー - ファイルは(専用のPDFビューアで)プレビューすることができますが、ダウンロードすることができません。
- ユーザが「ファイル&サニタイズ」で指定したポリシー - ファイルサニタイズ製品側で設定したポリシーに沿って動作します。
- (ダウンロード/アップロード)ファイルの種類を制限
[ポリシーオブジェクト] - [ファイルタイプ制限リスト]で定義された事前設定済みのファイルタイプポリシーオブジェクトを選択します。
これにより、ファイル (ダウンロード/アップロード) の検査の例外を作成できます。
- ページの検査(検査モードの場合のみ)
Webページに悪意のあるコンテンツがないか検査します。マルウェアが検出されると、ブロック ページが表示されます。検出されたインシデントは、[セッション] - [セッション リスク分析]レポートに記録されます。
ブラウザーコントロール¶
- 読み取り専用
- セッションを読み取り専用モードで開くかどうかを定義します。
- 対話式 - 読み取り専用は無効です。
- 読み取り専用 - リードオンリーモード - セッションへの入力が禁止されます。
- スマートリードオンリーモード - 特定のサイトでは、ログインと検索フィールドでの入力が許可されます。これにより、ウェブサイトでの生産性が向上しますが、他のエリアでの入力は無効になります。サポートされているウェブサイト:Facebook、LinkedIn、Twitter、Dropbox
- ログイン防止 - 認証情報の盗難を防ぐため、ログインフィールドでのみ読み取り専用を有効にします。
- 印刷
- ファイルを印刷できるかどうかを定義します。ファイルを印刷する場合、最初にダウンロードしてから印刷するため、ダウンロードポリシーは印刷ポリシーに影響します。設定可能な値は次のとおりです。
- 有効 - ダウンロード・ポリシーに関係なく、印刷は常に可能です。
- 保護 - 印刷が許可されるのは、ダウンロードが許可されている場合のみです(Enable/Sanitizeのいずれか)。ダウンロードが許可されていない場合は、印刷も無効になります。
- サニタイズ - 印刷は許可され、PDF出力はサニタイズされます。
- 無効 - 印刷は完全に無効になります。
- クリップボード
- クリップボードの使用を有効または無効にします。
- 有効 - クリップボードの使用が許可されます([設定] - [クリップボードオプション] - [クリップボードの有効化]で定義された文字数制限が使用されます)。
- 無効 - クリップボードの利用がブロックされます。
- 保護 - 隔離されたセッションとローカルシステム間のコピー/貼り付けをブロックしますが、このポリシーオプションを共有する隔離されたセッション間のコピー/貼り付けを有効にします ([設定] - [クリップボードオプション] - [クリップボードの有効化]で定義された文字数制限が使用されます)。
クリップボードポリシーはテキストと画像の両方に影響します。クリップボードを無効にすると、リモートブラウザとの間でテキストと画像のコピーと貼り付けができなくなります。
- クッキー
Cookieの使用を有効または無効にします(双方向)。多くのサイトがCookieを使って何らかの認証を行っているため、Cookieをグローバルにブロックするとこれらのサイトが使えなくなります。しかし、Cookieをブロックする主な理由は、不正広告やリターゲティング(過去の検索などに基づく広告の受信)につながるトラッキングCookieを防ぐことです。すべてのCookieをブロックすると、組織が必要とするいくつかのサイトで問題が発生する可能性があるため、必ずしも「デフォ ルト」レベルでCookieをブロックするのではなく、特定のサイトだけに対してCookieをブロックするドメインレ ベルのポリシーを作成することを検討してください。
- 動画再生を許可する
- 有効 - 動画再生が可能になります。
- 無効 - 動画再生が無効になり、動画再生画面でブロック通知が表示されます。
アドバンスド¶
- 証明書
HTTPS ドメインに信頼できる証明書があることを確認するか、証明書関連のエラーを無視するか(安全性が低下)、証明書エラーが見つかったらブロックするかを定義します。
- 無視する - 証明書関連のエラーを無視してセッションを継続します。
- 確認する - セッションを継続することをユーザに確認します。
- ブロック - 証明書エラーが検出された場合にブロックします。
証明書の有効性と行われた処置は、セッション履歴レポートに記録されます。
- 広告ブロック
ウェブサイト上の広告を有効または無効にします。広告はリソースを消費し、パフォーマンスを低下させる可能性があるため、ブロックすることを強くお勧めします(デフォルトで有効です)。
広告を無効にすると、一部のサイトが正しく機能しなくなる場合があります。これを解決するには、まず、それが本当に広告ブロックに関連しているかどうかを確認します。その場合は、そのようなサイトごとに特定のポリシーを追加して、そのサイトの広告を有効にします(広告ブロック=無効)。ユーザは、ブラウジング中に右クリックメニューの「広告ブロックの一時停止と再読み込み」オプションを使用して、ローカルで広告を無効にすることができます。この場合、現在のセッションにのみ影響します。
- オートフィル
ローカルブラウザから保存されたパスワードを使用するかどうかを設定します。
- クライアント証明書
構成された証明書を使用して、分離された Web サイトへの認証を行います(クライアント証明書認証をサポートしている場合)。証明書は、テナントの「設定」 - 「クライアント CA 証明書」の下にアップロードされます (詳細についてはツールチップを参照してください)。
- DLP
POSTデータのDLPインスペクションを有効にするかどうかを設定します。
- ホワイトCookieを継承
分離されたブラウザで、既存のネイティブ(ホワイト)Cookie(ローカルブラウザに存在する場合)のプロパティを継承します。この設定を使用するには、「クッキー」が有効になっている必要があります。
カテゴリー¶
Shieldプロキシは、カテゴリアドオンで有効にすることができます。 有効にすると、各カテゴリにポリシーを定義することができます。 これは、利用可能なすべてのカテゴリと内部 ID の表です。 IDは、ポリシーテーブルをエクスポートおよびインポートするときに使用されます。
| カテゴリー名 | カテゴリーID |
|---|---|
| アダルト/ポルノ | [C1] |
| 広告 | [C2] |
| 協会・団体 | [C3] |
| オートモーティブ | [C4] |
| ブログ/会報 | [C5] |
| 事業内容 | [C6] |
| キャリア/ジョブ | [C7] |
| デート | [C8] |
| 薬物 | [C19] |
| 教育 | [C9] |
| 過度 | [C10] |
| ファイナンス | [C11] |
| ギャンブル/宝くじ | [C12] |
| 政府/政治 | [C13] |
| ホッピー/エンタテインメント | [C14] |
| ITサービス | [C16] |
| 非合法 | [C15] |
| キッズ | [C17] |
| 生活・文化 | [C18] |
| メッセンジャー/メール | [C20] |
| その他 | [C21] |
| モバイル/テレフォニー | [C22] |
| ニュース | [C37] |
| ピア・ツー・ピア | [C36] |
| プライベートIPアドレス | [C35] |
| プロキシ/リモートコントロール | [C23] |
| 不動産 | [C24] |
| 宗教 | [C25] |
| サーチエンジン/ポータル | [C26] |
| ショッピング/オークション | [C28] |
| ソーシャルネットワーク | [C29] |
| スポーツ | [C30] |
| タバコ・アルコール | [C31] |
| 旅行 | [C32] |
| 各種 | [C33] |
| 武器 | [C34] |
| -ハイリスク | [C27] |
| -メディカルリスク | [C100] |
| -ローリスク | [C101] |
| -未分類- | [C-1] |
| -フィッシング | [C102] |
Shieldの高リスクカテゴリーは、以下のように定義されています。
| -ハイリスク | ハッキング/クラッキング |
|---|---|
| -ハイリスク | マルウェア |
| -ハイリスク | スパム |
| -ハイリスク | スパイウェア |
| -ハイリスク | ボットネット |
| -ハイリスク | 感染したサイト |
| -ハイリスク | キーロガー |
| -ハイリスク | モバイルマルウェア |
| -ハイリスク | BOTフォンホーム |
| -フィッシング | フィッシングサイト |
| -未分類- | 未分類サイト |
事前定義されたポリシー¶
Shield には、いくつかの事前定義されたドメイン/IP アドレスが最初から付属しています。さらに、カテゴリが有効になっている場合、それらがポリシ-テーブルに含まれます。これらの事前定義されたポリシーには以下のようなものがあります。
- detectportal.firefox.com - このサイトは、Firefoxがキャプティブポータルを使用しているかどうかを検出するときに使用されます。このサイトは一般的に使用されており、Shieldで期待通りに動作するはずであるため、デフォルトでホワイトリストに登録されています。
- Safebrowsing-cache.google.com - セーフブラウジングは、ブラウザでスパムサイトやフィッシングサイトをブロックすることでそれらに対抗するのに役立つ Google のサービスです。Shield が機能している場合、このサービスは予期しない動作を引き起こします。このサイトは一般的に使用されており、非常に有益であるため、デフォルトでホワイトリストに登録されています。
- IPアドレス 169.254.169.254 - このIPは、いくつかのクラウドコンピューティングプラットフォーム(Amazon EC2など)でメタデータをクラウドインスタンスに配布するために使用されます。Shieldのメタデータを部外者の到達から保護するために、デフォルトでブロックされています。
ポリシーを CSV ファイルにエクスポート/インポートする¶
注意
こちらの章は旧管理コンソールの内容となります。確認ができ次第、更新いたします。
ポリシーを CSV ファイル形式でエクスポートおよびインポートすることができます。これは、ポリシーをテーブルに追加または変更する簡単な方法です。最初にテーブルをエクスポートしてから、CSV ファイルを編集(新しいポリシーの追加や既存のポリシーの変更)を行った後、そのファイルを管理コンソールでインポートすることをお勧めします。
エクスポート/インポートのメカニズムは、ドメインと IP アドレスのみに関連します。カテゴリは現在サポートされていません。
「エクスポート」オプション(上部バーの右側)を選択します。CSV ファイルがローカルにダウンロードされます。このファイルには、管理コンソールのポリシーテーブルと同じ列とエントリが含まれています。ファイル内のすべての値(列名、ポリシー値)は英語表記されます。ドメイン名やコメントが他の言語(日本語など)の場合、CSVファイル形式で出力すると文字が変わる可能性があります。
- ファイルを正しく表示するには(後で正しくインポートするには)、以下の手順を実行します:
- Excel を開き、新しい空のスプレッドシートを作成します。
- 「データ」タブに移動し、「テキスト/CSV から」オプションを選択します。目的のファイルを選択し、「インポート」を選択します。元のファイルを Unicode(UTF-8)に変更して読み込みます。
- 「クエリの編集」に移動します(Alt+Q または検索ボックスを使用)。
- 「最初の行をヘッダとして使用する」を選択します。
- 閉じて読み込みます。
これで、CSV ファイルが正しく表示され、編集できるようになりました。必要な変更を加えて、CSV UTF-8(カンマ区切り)形式で保存します。
各ポリシーに有効な値を入力してください。値が正しくないとエラーになります。
CSVファイルの準備ができたら、「インポート」オプション(上部バー右側)を選択します。以下のようなダイアログが開きます:
CSV ファイルとポリシーテーブルが重複している場合に行うアクションを選択します。各エントリは、ドメイン名とプロファイルで構成されるキーによって定義されます。これらのキーは、重複を識別するために使用されます。使用できるオプションは以下のとおりです:
- 無視する - 重複するエントリが見つかった場合、その行を完全に無視して次のエントリに進みます。
- 上書き - 重複するエントリが見つかった場合、(データが有効な場合)それを検証し、テーブル内の既存エントリを上書きします
注意
CSV ファイルをインポートすると、テーブルに新しいエントリが追加される場合があります。 ポリシーの削除は、「削除」オプションを使用して、ポリシーテーブルから直接実行します。
ファイルを選択し、「インポート」を押します。インポートプロセスが開始され、CSV ファイルのすべてのエントリがチェックされ、そのデータが検証されます。
インポートが成功し、エラーが検出されなかった場合、緑色の通知が短時間表示されます。何らかの理由でインポートが失敗した場合(例: 値が無効、プロファイルが存在しない、上書きオプションを使用せずエントリが重複している)、以下のメッセージが表示されます:
ユーザは、レポートファイルをダウンロードして、インポートプロセスに失敗したポリシーを確認できます。このレポートは CSV ファイルで、失敗したエントリと失敗の理由が含まれています。このファイルを使用して、失敗したエントリを修正し、再度インポートを行います(このときは、上書きオプションを選択していることを確認してください)。
7.14.3. ポリシーオブジェクト¶
マルチドメイン定義¶
この機能により、(個々のドメイン/URLではなく)ドメインのグループに対して、1つの単位としてポリシーを割り当てることができます。
ドメインのグループにポリシーを割り当てるには、以下の手順に従います。
追加アイコンをクリックして、マルチドメイン定義を作成します。
グループの名前を入力し、ドメインのリスト(https://)を改行で区切って入力します。
[追加]をクリックして保存します。
管理コンソールのポリシーセクションを開きます。
新しいポリシーを追加する際、マルチドメインポリシーを作成するオプションが表示されます。
マルチドメイン定義のリストから選択します。
要件に応じたポリシーを設定します。
ファイルタイプ制限リスト¶
(+)をクリックして、新しいファイルタイプ制限リストを追加します。ファイルタイプ制限リストは、許可またはブロックすることができます。
| 許可 | リスト指定されたタイプ以外のすべてのファイルタイプをブロックします。 |
| ブロック | リスト指定されたタイプ以外の全てのファイルタイプを許可します。 |
改行、カンマ、セミコロン、スペースで区切られたファイルタイプをリストします。 ファイル タイプ制限リストとポリシーの関連付けをするためには次の手順に従います。
ポリシーを作成または編集するとき、ファイルダウンロードの設定するほかに、ダウンロードファイルの種類を制限を選択して関連付けることができるようになります。アップロードファイルの種類を制限も同様です。
参考
ダウンロードファイルの種類を制限は、ファイルのダウンロード/アップロードの「有効」および「プレビュー」モードにも対応しています。
7.14.4. 認証¶
Ericom Shieldは、お客様の環境で使用されている認証方法に従って、いくつかの認証方法(Basic、Kerberos、LDAP、およびSAML)をサポートしています。認証方法とそれに関連する設定は、ページの上部に定義されています。
LDAPがシステムに定義されている場合、Active DirectoryのグループをShield Profilesという形でサポートすることができます。これにより、特定のプロファイルごとに、ポリシーとアプリケーションのセクションで特定の定義が可能になります。詳細については、指定されたセクションを参照してください。プロファイルの作成と管理は、ページの一番下のセクションで行います。
認証連鎖¶
この認証方法は、ユーザーの詳細がShieldシステム外の別のコンポーネントによって以前に認証された場合に使用されます。この場合、追加の認証は必要ありません。
| 有効 | この認証方法を有効または無効にします。この方法を有効にすると、他の認証方法が自動的に無効になります(LDAPとの可能な組み合わせは別として)。 |
| 信頼するIPアドレス | ユーザーの詳細をShieldに送信するために信頼される送信元IPアドレスを定義します。ユーザーの詳細は、X-Authenticated-Userヘッダーを介して受信されます。この場合、他の認証は実行されません。次の構文を使用してください。
IPアドレス - 例: 126.0.2.50
サブネット - 例: 126.01.1.1/16
範囲-例: 126.0.0.0-126.255.255.255
ノート:0.0.0.0/0.0.0.0 に設定すると、どのアドレスからでも接続できるようになります
|
Basic認証¶
Basic認証には、ユーザーがプロキシにログインするための認証情報を設定します。 Basic認証はProxyモードでのみ利用可能で、Proxyless(URLリダイレクト)モードでは利用できません。
| 有効 | この認証方法を有効または無効にします。この方法を有効にすると、他の認証方法は自動的に無効になります。 |
| ユーザー名 / パスワード | プロキシ認証の基本的な資格情報(ユーザー名とパスワード)。 |
| メッセージ | 新しいタブを開いているときにユーザーに表示するカスタマイズ可能なプロンプトメッセージ。 |
エンドユーザーがログインすると、プロンプトが表示されますので、ユーザー名とパスワードを入力してログインしてください。
Active Directory 認証設定¶
Active Directoryの認証方法には、KerberosとLDAPが含まれます。両方の方法に関連する共通の設定と、各認証方法に固有の設定があります。
最大2つのActiveDirectory(AD)(プライマリとセカンダリ)を定義できます。プライマリADが完全に定義されると、セカンダリADを定義できます。 ユーザーは、UPN形式(例:username@domain.com)とSamAccountName形式(例:domain.comusername)の両方でShieldに接続することができます。これは、すべてのアクティブディレクトリ(プライマリおよびセカンダリ)上で可能です。
- プライマリActiveDirectory設定
KerberosとLDAPの両方に共通する次の設定をグループ化します。
| ドメイン | 接続するActiveDirectoryドメイン名。 |
| DC アドレス: | 接続するドメインコントローラーのIPアドレス。複数の値をコンマ「、」で区切って定義できます。 |
| セキュアなドメインコントローラとの通信 | ドメインコントローラーとの通信をSSLで保護するかどうか(LDAP / LDAPS)を選択します。 |
| ベースDN | カンマで区切られたドメインコントローラーのルート(例:DC = COMPANY、DC = LOCAL)
参考:Active DirectoryをShieldに接続するには、指定されたユーザーを作成する必要があります。このユーザー資格情報は、以下で説明する一致するフィールドに入力する必要があります。
|
| ドメインユーザー名 | ActiveDirectoryで指定されたShieldユーザーのユーザー名を入力します。ユーザー名のみ(「shieldUser」など)、ドメインなし、サフィックスなし。 |
| パスワード | ActiveDirectoryに指定されたShieldユーザーのパスワードを入力します。 |
| 代替UPNサフィックス | ドメインコントローラーの代替UPNサフィックス。複数の値をコンマ「、」で区切って定義できます。
注: ドメイン名がdomain.comで、定義されたサフィックスが次の場合。ドメイン、ABCの場合、georgeというユーザーは、george @ domain、ABC george、domain.com georgeなどの方法でシステムに接続できます。
|
| セカンダリActiveDirectoryを追加 | このオプションを選択して(プライマリADが完全に定義された後でのみ)、セカンダリActiveDirectoryを定義します。このオプションを選択すると、[セカンダリActive Directory設定]という名前の新しいサブセクションが表示されます。このサブセクションには、プライマリActiveDirectoryと同じ設定が含まれています。
セカンダリActiveDirectoryが定義されていて、削除する必要がある場合は、[セカンダリActiveDirectoryの削除]オプションを選択します。確認ダイアログが表示され、確認されるとセカンダリActiveDirectoryが削除されます。
注: このセクションで行われる他のすべての変更は、セカンダリActiveDirectoryの削除操作によってコミットされます。
|
Kerberos¶
Kerberos設定には、次の設定が含まれます。
| 有効 | この認証方法を有効または無効にします。この方法はLDAPでのみ有効にできます。それ以外の場合は、他の認証方法は自動的に無効になります。 |
| サービス・プロバイダ名(Service Provider Name) | サービスインスタンスの一意の識別子。接続しているブラウザが認証に使用します。プロキシホスト名とドメイン名(Active Directoryドメイン名、常に大文字)から構築されます。ホスト名はDNSで認識されている必要があります。特定のIP(nslookup [IP])に関連付けられているホスト名が1つしかないことを確認することは重要です。正しい構文は次のとおりです。HTTP / <ホスト名> @ <ドメイン>
(例:HTTP / Shieldnode.company.local @ COMPANY.LOCAL)
|
| キータブ | 希望するオプションを選択します。次のコマンドでポップアップが開きます。 |
ktpass -outshield.keytab -mapUser squid -mapOp set DumpSalt -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL -princ HTTP / user.example.local @ EXAMPLE.LOCAL --pass *
このコマンドをコピーし、それを使用してKeytabファイルを作成します。完了したら、Keytabファイルを選択して管理者にアップロードします。Keytabファイルがすでに存在する場合は、アップロードします。Keytabファイルがサービスプリンシパル名で指定された同じマシンと一致することが重要です。
| NTLMへのフォールバック | Kerberos認証中にエラーが発生した場合のフォールバックメカニズムとしてNTLMを使用するかどうかを選択します。 |
ドメインがCAPSで入力されていない場合、以下のようなエラーが表示されます
これを解決するには、sample.comをSAMPLE.COMに置き換えてください。
LDAP¶
LDAP設定には、次の設定が含まれます。
| 有効 | この認証方式を有効または無効にします。この認証方式は、Active Directory、Kerberos、またはChaining認証方式で有効にすることができます。 |
| プロキシメッセージ | プロキシにログインするために、新しいタブを開いているときにユーザーに表示するカスタマイズ可能なプロンプトメッセージ。
注: このメッセージは、ASCII文字コードのみをサポートします。
|
| 管理者ログインにActiveDirectoryプロファイルを使用する | この設定は、LDAPが有効になっている場合にのみ表示されます。LDAPプロファイルを使用して管理コンソールにログインするかどうかを定義します(この場合はデフォルトのユーザーを使用します)。[はい]に設定されている場合は、管理コンソールにログインできるユーザーのActiveDirectoryグループを定義します。このオプションは、LDAPが適切に定義され、関連するすべての設定が保存されている場合にのみ使用できます。これ以前は、LDAPグループを取得できませんでした。
注: この設定が[はい]に設定されると、管理コンソールへのログインはADプロファイルのみを使用して行われます。このシナリオでLDAPを有効にすることが重要です。
|
| ActiveDirectory管理者ユーザグループ | (LDAPグループのリストから)管理コンソールにログインできるユーザーのActiveDirectoryグループを選択します。前の設定が[はい]に設定されている場合、この設定には値が必要です。グループのリストを取得するには、目的のグループの名前の入力を開始します。リストが取得されたら、管理コンソールへのログインを許可されているユーザーのグループを1つ選択します。
注: LDAPグループのリストは、LDAPが適切に定義され、関連するすべての設定が保存されている場合にのみ表示されます。
|
LDAPまたはKerberos認証が有効になっている場合、基本認証は自動的に無効になります。両方の認証方法(Kerberos / LDAP)を同時に有効にすることができます。
注意
Kerberosを使用する場合、プロキシサーバーは(IPアドレスではなく)名前で参照する必要があります。ユーザーがプロキシに接続するときは、サーバー名のみで接続する必要があります。さらに、特定のIP(nslookup [IP])に関連付けられているホスト名が1つしかないことを確認することは重要です。つまり、Kerberos認証が正しく機能するには、LinuxマシンをDNSに登録する必要があります。
Shieldでは、Kerberosプロトコルを使用したドメインユーザーの認証とLDAPグループ検索を実行するための専用ユーザーアカウントが必要です。
有効になっている認証方法が多いほど(Kerberos / LDAP)、資格情報の入力を求められる頻度が低くなります。これは、ブラウザが認証に最適な方法を簡単に選択し、その方法が失敗した場合にのみユーザーに認証を求めることができるためです。たとえば、ドメインに参加しているマシンのプロキシにアクセスしているユーザーの場合、ブラウザは最初にKerberosを介して認証を試みます。成功すると、認証を求めるプロンプトを表示しなくてもページが表示されます。
すべての設定を入力して保存すると、プロファイルを作成し、各プロファイルに関連するポリシーを定義できます。詳細については、以下を参照してください。
エンドユーザーがログインすると、プロンプトが表示されますので、ユーザー名とパスワードを入力してログインしてください。
既存の設定を更新する¶
[認証設定]セクションの既存の情報(ドメイン/ベースDNフィールドなど)を更新する場合-このアクションにより、定義されたすべてのプロファイルが削除され、関連するポリシーもすべて削除されます。一度削除すると、これらのアイテムは復元できません。再入力する必要があります。重要な構成が失われないように、更新を慎重に適用することが重要です。他のフィールドは、プロファイルやポリシーに影響を与えることなく、必要に応じて更新できます。更新によってこれらのアイテムが削除される場合は、次のメッセージが表示されます。
妥当性確認チェックは、有効な認証方法に対してのみ実行されます。更新された情報が有効でないか正しくない場合は、エラーメッセージが表示されます。
LDAPのトラブルシューティング¶
設定にエラーがある場合は、画面の上部に通知が表示されます。
入力された設定が正しいかどうかを確認します。 よくある問題は、Base DNとユーザー名/パスワードの値が正しく入力されていないことです。
SAML認証¶
Ericom Shieldは、認証および承認プロバイダーとしてSAMLをサポートしています。
ユーザは SAML に基づいて識別でき、セッションプロファイルは SAML プロバイダからの情報に基づいて割り当てることができます。
Shield にアクセスすると、エンドユーザは ID プロバイダ(IdP)にログインするよう求められます。エンドユーザがすでに IdP から適切な SAML アサーションを受信している場合は、再度ログインする必要はありません。
対応するSAML IdPは、Okta、Azure、ADFS(これは少し違いますが、Shield的には他のIdPと同じ扱いです)です。
ShieldがIdPで適切に定義されたら、SAML認証を使用するために、以下に詳述する一致する設定を入力します。
注意
SAMLが選択された認証方法である場合、他の方法を定義することはできません(他のすべての方法を無効にする必要があります)。
SAMLセクションには、次の設定が含まれています。
| 有効 | SAML 認証を有効または無効にします |
| IdP ログイン URL | IdP がリモートログイン用に提供する URL |
| IdP ログアウト URL | IdP がシングルログアウト用に提供するURL |
| IdP 署名証明書 | SAML 応答署名を検証するために IdP から提供される証明書 |
| IdP 復号化鍵 | 暗号化されている SAML 応答を復号するために IdP から提供される秘密鍵。オプション - IdP が SAML 応答を暗号化する場合のみに必要です |
| Idp Audience | IdP で Shield を識別します (エンティティ ID とも呼ばれます)。通常は URL ですが、技術的には IdP と Shield の両方で構成されている任意の文字列にすることができます。システムのデフォルトを使用するには、空のままにします。 |
アドバンスド¶
| セッションタイムアウト(秒) | Shield SAML のセッションタイムアウト。セッションが期限切れになると、ユーザは IdP で再認証されます(単位: 秒) |
| テナント ID 属性 | IdP が Shield テナント ID の値を見つけるために使用するユーザ属性の名前。オプション。マルチテナントシステムに関連します。 |
| グループ属性 | IdP が Shield グループの値を見つけるために使用するユーザ属性の名前。オプション。プロファイルを Shield で定義する場合に関連します。グループが IdP で適切に定義されていない場合、それらはプロファイルテーブルで定義できません (以下を参照)。 |
| プロファイル属性 | IdP が Shield プロファイルの値を見つけるために使用するユーザ属性の名前 |
管理¶
管理 セクションでは管理ポータル用に追加のユーザを作成できます。
新しいユーザを作成するには、管理者の新規追加 を選択します。
新しいユーザの詳細を入力します。
| フィールド | 設定の説明 |
|---|---|
| タイプ | 管理者ユーザのタイプを選択します。 資格情報タイプがサポートされています。 |
| 名前 | 新しいユーザのユーザ名を入力します |
| パスワード | 新しいユーザのパスワードを入力します |
| 役割 | 管理者 - テナントの完全な管理者
ユーザ - テナントの読み取り専用およびレポートアクセス
|
| ユーザのメールアドレス |
変更の保存を選択して構成を完了します。
ユーザを削除するには、選択した管理者の削除 を選択します。
7.14.5. 設定¶
このセクションにはいくつかのサブセクションがあり、主題に応じてさまざまな設定が編成されています。各サブセクションは、ヘッダーをクリックして折りたたむことができます。利用可能なサブセクションは次のとおりです。
一般設定¶
| システム名 | システム全体(マルチマシンまたはシングルマシン)に意味のある名前を定義します。主に表示目的でさまざまな場所で使用されます(アラートでも使用されます)。 |
| 音声の有効化 | システムレベルでオーディオを有効または無効にします。オーディオが無効になっている場合、オーディオはリモートブラウジングセッションでサポートされません。オーディオが有効になっている場合、オーディオはシステム全体で利用できます。 |
| 直接IPアドレスを許可する | IPアドレスへの移動は通常のユーザーには一般的ではないと考えられているため、IPアドレスはデフォルトでブロックされています。この設定は、Shieldシステムでの直接IPアドレスアクセスの使用を制御します。IPアドレスが許可されている場合、それらはデフォルトのアクセスポリシーに従って処理されます(たとえば、デフォルト値がShieldの場合、そのIPアドレスを介してアクセスされるすべてのサイトもShieldされます)。 |
| プロキシキャッシュの有効化 | Webキャッシュを有効または無効にします。キャッシュを有効にすると、ファイル、画像、Webページなどのコンテンツがプロキシに保存されるため、パフォーマンスとユーザーエクスペリエンスが向上します。デフォルトで有効になっています。 |
| テクニカルプレビュー機能を有効にする | Shieldには、Tech-Previewモードで定義されているいくつかの機能が含まれています。これらの機能は、Shieldのバージョン間で変更される可能性があります。管理コンソールで技術プレビュー機能を有効にするには、[はい]に設定します。 |
| 低速ネットワークのメッセージ間隔(ミリ秒) | ネットワークが遅く、サイトの読み込みに時間がかかる場合、ユーザーには一致するメッセージが表示されます。Slow Networkメッセージをユーザーに表示する時間間隔を定義します(ミリ秒単位)。この間隔に達し、サイトがロードされなかった場合、メッセージが表示されます。このメッセージの表示を無効にするには、値を0に更新します。 |
国際化¶
| 管理コンソールの言語を選択 | 管理コンソールの言語を日本語と英語から選択します。 |
| エンドユーザー言語の選択 | Shieldブラウザ上の右クリックメニューの言語を日本語と英語から選択します。 |
SSL¶
| FQDN | 完全修飾ドメイン名。管理コンソールのSSL証明書を作成するために必須です。このフィールドに入力して情報を保存すると、一致する証明書がバックグラウンドで作成されます。
注: この証明書は、デフォルトのShield証明書またはカスタムCA証明書(ユーザーによってアップロードされた場合)のいずれかに基づいています。
|
| カスタム認証局のパスワード | カスタム認証局のパスワードを設定します(必要な場合)。 |
| カスタムCA公開鍵 | カスタム認証局の公開鍵をアップロードします。秘密鍵とともに使用されます。両方のキーは、システム内のすべてのSSL証明書に署名するために使用されます。 |
| カスタムCA秘密鍵 | カスタム認証局の秘密鍵をアップロードします。公開鍵とともに使用されます。両方のキーは、システム内のすべてのSSL証明書に署名するために使用されます。 |
| カスタム信頼された証明書 | カスタムの信頼できる証明書をアップロードします。この証明書は検証されてから、証明機関の証明書に追加されます。
注: 単一の証明書と証明書チェーンの両方がサポートされています。
|
| Shieldのデフォルト証明書をリストアする | このオプションを選択すると、既存のすべての証明書が削除され、Shieldのデフォルトの証明書が復元されます。 |
ログ¶
| リモートブラウザーのログレベル | ブラウザコンポーネントのログレベルを定義します。 |
| ICAPのログレベル | ICAPコンポーネントのログレベルを定義します。 |
| CDR Dispatcherのログレベル | CDRディスパッチャコンポーネントのログレベルを定義します。 |
| CDR Controllerのログレベル | CDRコントローラコンポーネントのログレベルを定義します。 |
| ファイルプレビューログレベル | ファイルプレビューコンポーネントのログレベルを定義します。 |
| Collectorのログレベル | Collectorコンポーネントのログレベルを定義します。 |
| ダイナミックノードファームスケーラーのログレベル | Dynamic Nodes FarmScalerコンポーネントのログレベルを定義します。 |
| IDPログレベル | IDPコンポーネントのログレベルを定義します。 |
| Certificate Managerのログレベル | Certificate Managerコンポーネントのログレベルを定義します。 |
カテゴリ¶
| NetSTARの有効化 | 悪質なURLの検出を含むNetSTARのカテゴリを有効または無効にします。 |
| Google Web Riskの有効化 | Google Web Riskによる、悪意のあるURLの検出を有効または無効にします。 |
| ZTEdgeの有効化 | ZTEdgeの悪意のあるURLの検出を有効または無効にします。 |
| PhishTankの有効化 | PhishTankによるフィッシングURLの検出を有効または無効にします。 |
| 内部キャッシュ 期間(時間) | カテゴリはキャッシュされ、この定義された期間、Shieldに保存されます。パフォーマンスを改善し、ドメインの読み込み時間を短縮するために使用されます。 |
ファイル & サニタイズ¶
これらの設定は、CDR サービスが Ericom Shield を介してファイルを処理する方法を制御します。
| プレビューファイルサイズの上限 (MB) | プレビューできる最大ファイルサイズを定義します。 |
| ダウンロードファイルサイズ制限 (MB) | ダウンロードできる最大ファイルサイズを定義します。 |
| アップロードファイルサイズ制限 (MB) | アップロードできる最大ファイルサイズを定義します。 |
| サニタイズファイルサイズ制限 (MB) | アップロードできる最大ファイルサイズを定義します。 |
| アンチウイルスファイルのサイズ制限(MB) | ウイルス対策ファイルスキャンのサイズ制限を定義します。 |
| サニタイズファイルサイズ超過代替ポリシー | ファイルがサニタイズ制限を超えた場合に使用する代替えダウンロードポリシーを定義します。
アンチウイルス、許可、ダウンロードから選択します。
|
| 管理者用サニタイズ・バイパス・パスワード | エンドユーザがファイル保護をバイパスするために入力するパスワードを指定します。
パスワードを指定すると、Shieldセッション上で右クリックすると「管理者用ダウンロードモード」というメニューが表示されます。
無効にする場合は、入力したパスワードを削除して保存します。
|
| ファイルのサニタイズベンダー | 使用するCDRプロバイダーをなし、Votiro、Sasa Gate Scanner、Opswat Metadefenderから選択します。 |
プロバイダーを選択すると、新しいサブセクションが表示され、関連するプロバイダーの設定を表示および更新するために展開できます。
Votiro(デフォルト)¶
| ファイルのサニタイズURL | このCDRソリューションに使用するURLを設定します。オンプレミスにCDRソリューションをインストールし、インストール手順で説明されているようにURLを更新します。複数のURLがサポートされています。これは、高可用性を目的としたオプションです。URLをコンマ( "," )で区切って入力します。 |
このサブセクションには、Shieldのデフォルトの内部デフォルトVotiroサニタイズポリシーを定義するすべての設定が含まれています。これらの設定は次のとおりです。
| Officeファイルのサニタイズ | すべてのMSOfficeファイルを検査し、脅威をサニタイズするかどうかを定義します。この設定は、パスワードで保護されたOfficeファイルを参照しません。このような場合は、パスワードで保護されたOfficeファイルのブロック設定を参照してください。 |
| PDFファイルのサニタイズ | すべてのPDFファイルを検査し、脅威をサニタイズするかどうかを定義します。この設定は、パスワードで保護されたPDFファイルを参照しません。このような場合は、パスワードで保護されたPDFファイルのブロック設定を参照してください。 |
| イメージファイルのサニタイズ | すべての画像ファイルを検査し、脅威をサニタイズするかどうかを定義します。 |
| CADファイルのサニタイズ | すべてのCADファイルを検査し、脅威をサニタイズするかどうかを定義します。 |
| Emailファイルのサニタイズ | 電子メールとその添付ファイルを抽出してサニタイズする必要があるかどうかを定義します。 |
| 圧縮ファイルのサニタイズ | アーカイブされたファイル(zip、7zなど)を抽出、検査、およびサニタイズする必要があるかどうかを設定します。 |
| ウイルススキャン | マルチスキャンアンチウイルスエンジンでファイルを検査およびスキャンする必要があるかどうかを設定します。 |
| パスワードで保護されたOfficeファイルのブロック | パスワードで保護されたMS Officeファイルのサニタイズはまだサポートされていません。ダウンロードを無効にするか、またはサニタイズしないでダウンロードするかを設定します。 |
| パスワードで保護されたPDFファイルのブロック | パスワードで保護されたPDFファイルのファイルのサニタイズはまだサポートされていません。ダウンロードを無効にするか、またはサニタイズしないでダウンロードするかを設定します。 |
| 未サポートファイルのブロック | サポートされていないファイルの種類をブロックするかどうかを設定します(その結果、サニタイズせずにダウンロードします) |
| 不明ファイルのブロック | 不明なファイルをブロックするかどうかを設定します(その結果、サニタイズせずにダウンロードします)。 |
| バイナリファイルのブロック | バイナリファイルをブロックするかどうかを設定します(その結果、サニタイズせずにダウンロードします)。 |
| スクリプトファイルのブロック | スクリプトファイルをブロックするかどうかを設定します(その結果、サニタイズせずにダウンロードします)。 |
| 保護ファイルのブロック | 偽装ファイルをブロックするかどうかを設定します(その結果、サニタイズせずにダウンロードします)。 |
| OLEオブジェクトのブロック | OLEオブジェクトをブロックするかどうかを設定します(その結果、サニタイズせずにダウンロードします)。 |
注意
パスワードで保護されたファイルはデフォルトでブロックされています(ダウンロードは無効になっています)。ただし、パスワードで保護されたファイル(OfficeおよびPDF)が許可されている場合、これらのファイルは現在サニタイズできないため、サニタイズせずにダウンロードされます。
注意
これらのVotiro関連の設定の1つが管理コンソールで更新された場合は、PasswordPolicy.xml(CDRサーバーのC:Program FilesVotiroSDS Web ServicePolicy の下にあります)でも手動で更新する必要があります。たとえば、偽のファイルを許可する場合は、PasswordPolicy.xmlを次のように変更する必要があります。偽のファイルルールを検索してコメントを付けます-htmlコメントを使用します<!–..。–>このルールに関連する行ごとに)
・Votiro Namedポリシー¶
オンプレミスでVotiroを使用する場合、名前付きポリシーが(Shieldの外部で)定義されている場合、これらの名前付きポリシーをShieldにマップし、後でサニタイズプロセス中に(ポリシーテーブルを介して)使用するポリシーを選択できます。
このサブセクションには、Shield内の名前付きポリシーを定義するためのテーブルが含まれています。このテーブルには、1つの初期エントリ(Shield(Def))が含まれています。
Sasa Gate Scanner¶
| ファイルサニタイズURL | このCDRソリューションに使用するURLを設定します。複数のURLをコンマ( "," )で区切って定義できます。これは、高可用性を目的としたオプションです。
本番環境では、https://CDRServerIPAddress/scanner.svc/v2を指すようにURLを更新します
|
| アクティベーションキー | このプロバイダーは、CDRクラウドベースのソリューションに接続して使用するためにアクティベーションキーを必要とします。このCDRソリューションを使用するには、Sasaから提供されたキーを入力してください。 |
Sasa Namedポリシー¶
Sasa Gate Scannerを使用する場合、名前付きポリシーをShieldにマップし、後でサニタイズプロセス中に(ポリシーテーブルを介して)使用するポリシーを選択することができます。 このサブセクションには、Shield内の名前付きポリシーを定義するためのテーブルが含まれています。このテーブルにはデフォルトのポリシーが付属しており、Sasa GateScannerのデフォルトの名前付きポリシーにマップされています。
参考
Sasa Gate Scannerの名前付きポリシーは、数値IDで識別されます。Shieldで名前付きポリシーをマッピングする場合、プロバイダーの名前付きポリシーは(ポリシー名ではなく)数値IDにマッピングする必要があります。
OPSWAT MetaDefender¶
| ファイルサニタイズURL | このCDRソリューションに使用するURLを設定します。複数のURLをコンマ( "、" )で区切って定義できます。これは、高可用性を目的としたオプションです。
本番環境では、https://CDRServerIPAddress:8008を指すようにURLを更新します
|
| APIキー(オプション) | これはオプションのフィールドであり、そのようなキーが存在する場合はAPIキーを含める必要があります。
Opswat APIキーは、オプションの承認メカニズムであり、特定のOpswatユーザーに割り当てられている役割と、「スキャン結果の可視性」を介してこれらの役割を使用しているポリシーに基づいて、特定のOpswatユーザーへのOpswatファイルスキャンサービスへのアクセスを制限できます。および「次の役割へのアクセスを制限する」構成設定。Shieldが使用するすべてのOpswatポリシーが次のいずれかである場合、Shieldで使用できます。
1.「すべての認証済み」組み込みロールに制限または
2. 同じユーザーにすべて割り当てられている他のロールに割り当てられている(APIキー)
|
Opswat Namedポリシー¶
Opswat MetaDefenderを使用する場合、名前付きポリシーをShieldにマップし、後でサニタイズプロセス中に(ポリシーテーブルを介して)使用するポリシーを選択することができます。 このサブセクションには、Shield内の名前付きポリシーを定義するためのテーブルが含まれています。このテーブルにはデフォルトのポリシーが付属しており、OpswatMetaDefenderのデフォルトの名前付きポリシーにマップされています。
注意
Opswatサーバ側でプロバイダNamedポリシーでアンダーバー(_)を利用したポリシーを作成している場合、新管理コンソールから登録をすることができません。Opswatサーバ側でアンダーバーが付かないポリシー名に変更をしていただくか、旧管理コンソール(https://x.x.x.x:30187)にログインをして追加をしてください。
DNS¶
| プライマリ内部DNSアドレス | Shieldインフラストラクチャ(AD、認証など)に使用されるプライマリ内部DNSサーバーアドレスを定義します。 |
| セカンダリ内部DNSアドレス | Shieldインフラストラクチャ(AD、認証など)に使用されるセカンダリ内部DNSサーバーアドレスを定義します。 |
| プライマリ外部DNSアドレス | BrowsersFarmで使用されるプライマリ外部DNSサーバーアドレスを定義します。これは、展開スキームに応じて、内部サーバーと同じサーバーになる可能性があります。 |
| セカンダリ外部DNSアドレス | BrowsersFarmで使用されるセカンダリ外部DNSサーバーアドレスを定義します。これは、展開スキームに応じて、内部サーバーと同じサーバーになる可能性があります。 |
注意
マルチマシンシステムでは、内部DNSアドレスが管理ノード(Shieldインフラストラクチャが配置されている場所)を指し、外部DNSアドレスがブラウザファームノードを指していることを確認してください。
コンテンツの分離¶
| リソースを許可する | リソース(HTMLページではない)として識別されたリクエストを、Shield(ホワイトリスト)を介さずに開くことを許可します。リソース要求をブロックするには-[いいえ]に設定します(この場合、ページにリソースが含まれていると、それらは表示されません)。 |
| Getリクエストではないものを許可する | 非HTTPGetリクエストを許可します(ホワイトリストに登録されています)。HTTP以外のGetリクエストをブロックするには-Noに設定します。 |
| FTPを許可する | ファイル転送プロトコル(FTP)として識別される要求を、Shield(ホワイトリスト)経由ではなく開くことを許可します。この場合、ファイルはサニタイズされません。FTP要求をブロックするには、[いいえ]に設定します。 |
| 許可されたドメイン内の外部オブジェクト | ホワイトリストに登録されたドメインを参照する場合、一部の外部オブジェクトが参照セッションに沿って開始される場合があります。 iframe、埋め込みオブジェクト、特定のページリソースなど。既存のポリシーまたは元のドメインのいずれかによって、これらの外部オブジェクトを処理する方法を定義します。使用できる値は以下のとおりです:
ポリシーベース - 外部オブジェクトドメインのポリシーテーブルに一致するポリシーがある場合、このポリシーが使用されます。それ以外の場合–デフォルトポリシーを使用します。
デフォルト許可 - 外部オブジェクトドメインのポリシーテーブルに一致するポリシーがある場合–このポリシーが使用されます。それ以外の場合–外部オブジェクトはホワイトリストに登録されます(元のドメインと同じ)。
絶対ホワイト - すべての外部オブジェクトがホワイトリストに登録されます(関連するポリシーが存在するかどうかに関係なく)
|
定常的な正常性チェック¶
| 定期的な正常性チェックを有効にする | 定期的なテストを有効または無効にします。有効にすると、Shieldは定期的に内部テストを実行して、システムの問題のある領域を特定します。これらは、インストール前のチェックの部分的なセットをテストし、バックグラウンドプロセスとして実行されます。定期的なテストは、定義された頻度に従って実行されます(以下を参照)。 |
| 定常的な正常性チェックの頻度(分) | 定期的なテストを実行する頻度を分単位で定義します。 |
| カスタマイズURLを利用する | 選択した構成可能なURLの使用を有効にして、ヘルスチェック内で実行される接続テストで使用されるデフォルトのURLを置き換えます。有効にすると、システムは次の設定で定義されたURLを使用します)。 |
| カスタマイズURLリスト | 接続性テストに使用するURLを定義します。最大5つのURLまで、セミコロン( ";" )で区切って複数のURLを入力できます。入力したURLが有効であり、HTTPURLとHTTPSURLの両方が含まれていることを確認してください。 |
ダイナミックノード¶
| ダイナミックノードを有効にする | システムで動的ノードの使用を有効にします。[はい]に設定すると、以下に詳述するURLを介して接続が行われます。 |
| ダイナミックノードファームURLs | 動的ノードWebサーバーのURLを定義します。[動的ノードを有効にする]が[はい]に設定されている場合は、入力する必要があります。複数のURLをコンマ( "、" )で区切って定義できます。 |
アドバンスド¶
| ShieldリソースURL | Shieldの内部通信で利用するURLです。こちらの値は変更しないようお願いいたします。 |
| Websocket URL | Shieldの内部通信で利用するURLです。こちらの値は変更しないようお願いいたします。 |
エンドユーザオプション¶
| エンドユーザShieldインジケータ | Shieldブラウザの使用時に視覚的なインジケータを表示するかどうかを定義します。[はい]に設定すると、ドメイン名の前のタブ名にデフォルトの文字列/アイコンが表示されます。クリスタルレンダリングの場合は[CR]であり、他のレンダリングモードの場合は☆です。 |
| インジケーターフレームの種類 | Shield を使用中であるかどうかを示すフレームをブラウザの縁に表示するかブラウザの上部に表示するかどうかを定義します。 |
| インジゲーターフレームの色 | インジゲーターフレームの種類でフレームかTopを選択指定した場合に設定ができます。Shieldを使用中であるかどうかを示すフレームの色を変更します。既定値はR224G11B21です。 |
| インジゲーターフレームの幅(ピクセル) | インジゲーターフレームの幅を定義します。 |
| デベロッパーツールを有効にする | デフォルト設定は「No」です。 ブラウザの開発者ツールのデータを表示するには、「Yes」に設定します。 これは主にトラブルシューティングの目的で使用されます。 |
| 疑わしいサイトの警告 | 有効にすると、疑わしい Web サイトを閲覧したときにユーザに通知が表示されます。 |
| Googleサイトのジオロケーションを上書き | 有効にすると、エンドユーザのIPアドレスを利用してGoogleサイトのジオロケーションを上書きします。 |
| コンテキストメニューからレンダリングモードを変更できるようにする | 有効にすると、Shieldを使用中に右クリックメニューからレンダリングモードを変更できるようになります。 |
| エンドユーザーがフィードバックを送信できるようにする | エンドユーザーが特定のWebサイトに関するフィードバックを送信できるようにします。[はい]に設定します-右クリックメニューに[フィードバックの送信]オプションが含まれます。関連するすべてのフィードバック設定(チャネルなど)は、[アラート]セクションで定義されています。 |
| エンドユーザーによるシールドの一時停止の許可 | エンドユーザーがShieldを一時停止できるようにして、ドメインを一時的にホワイトリストに登録します。[はい]に設定します-右クリックメニューには、[Shieldの一時停止と再読み込み]オプションが含まれます。期間の設定に従って有効です(以下を参照)。ユーザーがこのオプションを選択すると、ページが再読み込みされます。今回はホワイトモードです。本番環境の場合-[いいえ](より安全)に設定します。 |
| Shieldセッション一時停止時間(分) | エンドユーザーがShieldを一時停止してリロードすることを選択したときにドメインをホワイトリストに登録しておく期間(特定のドメインにのみ関連)。 |
クリップボードオプション¶
クリップボードの有効化¶
| コピー制限 | クリップボードが有効なShield上でコピー可能最大文字数 |
| ペースト制限 | クリップボードが有効なShield上でペースト可能最大文字数 |
| イメージのコピー許可 | クリップボードが有効なShield上でイメージのコピーを許可するかどうかを定義します。 |
| イメージのペースト許可 | クリップボードが有効なShield上でイメージのペーストを許可するかどうかを定義します。 |
保護されたクリップボード¶
| コピー制限 | クリップボードが保護されたShield上でコピー可能最大文字数 |
| ペースト制限 | クリップボードが保護されたShield上でペースト可能最大文字数 |
| TTL | クリップボードが保護されたShield上でクリップボードデータを保存する時間(秒) |
| イメージのコピー/ペースト許可 | クリップボードが保護されたShield上でイメージのペーストを許可するかどうかを定義します。 |
プロキシ&インテグレーション¶
| リダイレクトモードを有効にする | リダイレクトモードで Shield が機能するようにします。リダイレクトモードは、それぞれのシステム展開に関連します。このモードを有効にすると、リクエストは組み込みの Shield プロキシを経由せずに、ゲートウェイから Shield にリダイレクトされます。このシナリオでは、ゲートウェイを介したアクセス制御(ドメイン/カテゴリのホワイトリスト/ブラックリスト)が推奨されています。これは、Shield への冗長なトラフィックを回避し、Shield リソースの消費を削減するためのベストプラクティスです。その上で、ブロック/Shield として定義したドメイン/カテゴリは期待通りに適用されます。ホワイトとして定義したドメイン/カテゴリには Shield が機能します(ホワイトポリシーは、Shield を介したリダイレクトモードでは適用できません)。[はい]に設定すると、[リダイレクトモードの構成]サブセクションが開きます。 |
| セキュアなリダイレクトモードのみを許可 | 有効にすると、エンドユーザがターゲット URL を手動で変更できないようになります。有効になっている場合 - URL はエンコード(base64)されて渡される必要があります。 |
| Shieldセッションを継続する | リダイレクトモードのとき、Shieldのリダイレクトされたリンクも同様に保護するかどうかを定義します。有効にすると既存のプロキシ定義に関係なくShieldから開かれた全てのリンクがShieldセッションとして開かれます。 |
ヘッダ¶
| X-Client-IPヘッダアクション | 発信元のクライアントIPアドレスをヘッダーに含めるかどうかを定義します。一部の外部プロキシおよびドメインには、この情報が必要です。 |
| X-Forward-Forヘッダアクション | XFFをヘッダーに含めるかどうかを定義します。XFF(X-Forward-For)は、発信元のクライアントIPアドレスを識別する別の方法です。一部の外部プロキシおよびドメインには、この情報が必要です。 |
参考
google reCAPTCHAなどの一部のセキュリティサービスは、クライアントIPとXFFがヘッダに設定されていない限り機能しません。
| X-Authenticated-Userヘッダアクション | 認証されたユーザー名をヘッダーに含めるかどうかを定義します。一部の外部プロキシおよびドメインには、この情報が必要です。Setに設定すると、次の(元々非表示になっていた)2つの設定が開きます。 |
| Set-X-Authenticated-User Header Format | X-Authenticated-Userヘッダー値の形式を定義します。デフォルト値はWinNT://<DOMAIN>/<USER>です。Shieldは、<USER>を実際のユーザー名に置き換え、<DOMAIN>を実際のドメイン(存在する場合)に置き換えます。 |
| X-Authenticated-Userヘッダのエンコード | X-Authenticated-Userヘッダー値をエンコード(Base64)するか、そのまま渡すかを定義します。 |
| X-Authenticated-Groupsヘッダアクション | 認証されたユーザーグループをヘッダーに含めるかどうかを定義します。一部のアップストリームプロキシおよびドメインでは、この情報が必要です。 |
参考
上記の設定には、次の3つの可能な値が含まれます。セット、フォワード、削除。セット-この値が選択されている場合、特定の入力(クライアントIP/XFF/ユーザー名)がヘッダに含まれます。フォワード - ヘッダーをそのまま、変更せずに転送します。削除 - ヘッダーにクライアントIP/XFF/ユーザー名が含まれている場合、ヘッダーは明示的に削除されます。
| Proxy-Authorizationヘッダアクション | プロキシ認証情報(認証タイプ、およびエンコードされたユーザー名とパスワード)をヘッダーで転送するかどうかを定義します。一部のアップストリームプロキシおよびドメインでは、この情報が必要です。 |
リダイレクトモード設定¶
| リダイレクトアドレス | 使用するリダイレクトアドレスを指定します。これは、farm-services名前空間が実行されているノードである必要があります。 |
| リダイレクションアドレス(MTLS) | クライアント側の証明書が必要な場合のリダイレクションのアドレスを定義します。 |
外部上位プロキシの構成¶
| 外部上位プロキシを利用する | このフィールドに、接続するアップストリームプロキシアドレスを入力します。外部アップストリームプロキシが有効になっている場合、このフィールドは必須です。 |
| 上位プロキシのアドレス | このフィールドに、接続する上位プロキシアドレスを入力します。外部上位プロキシが有効になっている場合、このフィールドは必須です。 |
| 上位プロキシのポート | このフィールドに、接続する上位プロキシポートを入力します。設定されていない場合、デフォルトのポート3128が使用されます。 |
| 上位プロキシのユーザ名 | 上位プロキシに資格情報が必要な場合は、このフィールドにユーザー名を入力します。パスワードフィールドを必ず更新してください |
| 上位プロキシのパスワード | 上位プロキシに資格情報が必要な場合は、このフィールドにパスワードを入力します。ユーザー名フィールドを必ず更新してください |
| 定義された機能において上位プロキシをバイパスする | システムで上位プロキシを使用している場合、上位プロキシ経由で接続しようとすると、一部の内部機能が誤動作する可能性があります。それ以外の場合は、単に冗長であり、システムのオーバーヘッドを引き起こす可能性があります。機能は、ファイルサニタイズ、電子メールアラート、および投稿アラートです。[はい]に設定すると、Shieldは上位プロキシ経由ではなく、関連するサーバー(ファイルサニタイズサーバー、電子メールなど)に直接接続します。 |
| 外部上位プロキシ バイパスホスト | プロキシから除外するホスト名のリストを指定します。複数ある場合は改行で指定します。サブドメインも除外したい場合は、。ホスト名の前に’.’を追加します。 |
注意
外部アップストリームプロキシがShieldで定義されている場合は、必ずプロキシの証明書をアプロードしてください。[設定]のSSL | [カスタム信頼された証明書のアップロード]フィールド
内部上位プロキシの構成¶
| 内部上位プロキシを利用する | このフィールドに、接続する上位プロキシアドレスを入力します。内部上位プロキシが有効になっている場合、このフィールドは必須です |
| 上位プロキシのアドレス | このフィールドに、接続する上位プロキシポートを入力します。設定されていない場合、デフォルトのポート3128が使用されます。 |
| 上位プロキシのユーザ名 | 上位プロキシに資格情報が必要な場合は、このフィールドにユーザー名を入力します。パスワードフィールドも必ず更新してください。 |
| 上位プロキシのパスワード | 上位プロキシに資格情報が必要な場合は、このフィールドにパスワードを入力します。ユーザー名フィールドも必ず更新してください。 |
ホワイトラベル¶
| アプリケーションアイコン | Shield管理コンソールのファビコンを変更します。幅32-64px、高さ32-64pxのpngファイルである必要があります。 |
| 製品ロゴ | Shield管理コンソールの右上のロゴを変更します。幅32-350px、高さ32-150pxのpngファイルである必要があります。 |
ログ取得¶
Shieldには、システムログを外部のログ処理サービスまたは場所にエクスポートする機能があります。これらのログには、ブラウジングセッション、ファイル転送、および管理者監査ログに関する情報が含まれます。
匿名化の方法¶
この設定は、アクティビティがレポートにログ記録されるかどうかを設定します。
| スタンダード | ログデータが元の形式で送信されます。 |
| ハッシュ | ログデータがSHA256方方向ハッシュを使用して暗号化されます。ユーザー情報および/またはドメイン情報の匿名化を選択できます。 |
| 暗号化 | ユーザー名とドメイン/URLフィールドは、インポートされた公開鍵を使用して暗号化されます。ユーザーデータおよび/またはドメインデータの匿名化を選択できます。
公開鍵のキーは1024bitである必要があります。
|
| 無効 | データのロギングが無効になります - ユーザのアクティビティはレポートに記録されません。 |
注意
無効の設定は、ログ配送先ホストの種類の設定には影響しません。
ログ配送先ホストの種類¶
Shieldには、アクティビティログを外部のSIEMにエクスポートする機能があります。これらのログには、閲覧セッション、ファイル転送、管理者監査ログに関する情報が含まれます。
利用可能なログエクスポート先のリストから選択し、サービスの適切な詳細を入力します。
クライアントCA証明書のアップロード¶
ロギング用クライアントCA証明書をアップロードします。
ロギングのトラフィックを暗号化するために使用する自己署名証明書を入力します。トラフィックを暗号化するために Ericom Shieldとロギング先サーバー間のロギングトラフィックを暗号化するために使用する自己署名証明書を指定します。
注意
信頼できるCAをアップロードせずに証明書を使用する場合は、「SSLエラーを無視する」を有効にします。
ElasticSearch¶
ログ配送先ホストの種類で「ElasticSearch」を選択します。
ElasticSearch設定で以下の情報を入力します。
| URL | ElasticSearchサーバのURLを入力します。 |
| インデックス | イベントを書き込むインデックス名を入力します。 これは、%{foo} 構文を使用して動的にすることができます。 デフォルトでは、インデックスが日次で分割されるため、古いデータをより簡単に削除したり、特定の日付範囲のみを検索したりできます。インデックスに大文字を含めることはできません。 週次インデックスの場合、ISO8601 形式が推奨されます。 例: logstash-%{xxxx-ww}。Logstash は、イベントのタイムスタンプからのインデックスパターンに Joda 形式を使用します。 |
HTTP¶
ログ配送先ホストの種類で 「HTTP」を選択します。以下の情報を入力します。
| URL | HTTP 宛先の URL アドレスを入力します(例: http://test.zerotrustedge.com:5098) |
S3バケット¶
AWS S3バケットを作成します。詳細な手順はこちらをご覧ください。
https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html
AWS の手順を使用して S3 バケットを作成することをお勧めします。以下に簡単な手順も含まれています。
AWS CLI をインストールします
環境変数を使用して AWS を設定するか、awsconfigure を使用します
export AWS_ACCESS_KEY_ID= export AWS_SECRET_ACCESS_KEY= export AWS_DEFAULT_REGION=us-east-2
AWS が正しく設定されていることを確認するために、コマンドを実行し、以下のようにIAMユーザーアカウントが返されることを確認してください。
aws sts get-caller-identity
AWS で正しく認証されたことの確認が完了すると、次のコマンドでバケット内のファイルを一覧表示できるようになります。。
aws s3api list-objects –bucket <bucket-name> –query 'Contents[].{Key: Key, Size: Size}'
次のコマンドを使用して、ダウンロードとアップロードの許可を確認します
aws s3 cp s3://bucket-name/<ファイル名> ./ aws s3 cp ./<ファイル名> s3://bucket-name/<ファイル名>
ログ配送先ホストの種類で 「S3」を選択します。以下の S3 の設定を完了します。
| アクセスキーID | 必要な S3 バケットのこのアクセスキーのアクセスキー ID を入力します |
| シークレットアクセスキー | この ID のアクセスキーを入力します。このキーはリクエストに署名するために使用されます |
| リージョン | S3 バケットが配置されている AWS リージョンを入力します。例: 「eu-west-1」 |
| バケット名 | S3バケットに使用する名前を入力します |
| ファイルローテーションモード | S3バケットで新規ファイルを開く基準を設定します。 |
| ファイルサイズの制限 (MB) | 各ログファイルに必要な最大ファイルサイズ(1〜20 MB)を入力します。 size、新しいファイルが作成されます。 注: それぞれの新しいエクスポートは、常に新しいファイルを作成することから始まります。 |
| ファイルのタイムリミット (分) | ファイルの制限時間を設定します(1〜720分)。 この制限は、ログが S3 バケットにエクスポートされる頻度です。 たとえば、720 分に設定すると、ログは 12 時間ごとにのみエクスポートされます。 これはつまり、SIEM に表示されるデータが常に 12 時間遅れることを意味します。 |
同じ S3 バケットからログをプルするように SIEM を設定し、プルされたらファイルを削除します。
Splunk にエクスポートするための手順¶
注意
これらの手順はSplunk Cloudでテストしたものですが、手順はSplunk Enterpriseでも同様です。
Splunkで 、HTTP イベントコレクター (HEC) を作成します。
名前を付けて、デフォルト設定を使用します。
Ericom Shield の設定で使用するトークンを、ウィザードの最後にコピーします。
ログ配送先ホストの種類で 「Splunk」を選択します。
以下のSplunkの設定を完了します。
URL には Splunk HEC URL を入力します。
Splunk クラウドトライアルを使用している場合、ポートは通常 8080 です。本稼働環境の場合は 443 です
URLの最後に「/raw」を追加します
「トークン」フィールドに HEC トークンを入力します。
カスタマイズされたランディングページ¶
| ランディングページ | ランディングページを有効にして、Shieldを介したブラウジングであることをエンドユーザに知らせます。 |
| ランディングページの頻度 | ランディングページを表示する頻度を定義します(単位: 分) |
カスタマイズされたブロックページ¶
| ブロッキングページ | ポリシーでブロックされた時に表示されるページを指定します。 |
リストア¶
| 復元ファイルをアップロード | Shieldシステムの復元に使用するファイルをアップロードします。ファイルがアップロードされたら、[Shieldの復元]オプションを選択して復元プロセスを開始します。
注: このプロセスは元に戻せません。既存のシステム設定はすべて上書きされ、選択したファイルを使用してシステムが復元されます。
ポップアップが表示されます。続行する前に、アップロードされたファイルが正しいことを確認し、ポップアップを確認する前にこのプロセスを十分に検討してください
|
7.14.6. プロファイル¶
プロファイルテーブル¶
このテーブルには、システムで定義されているプロファイルが表示されます。プロファイルを使用すると、管理者は特定のグループメンバーシップに基づいて異なるユーザに個別のポリシーを適用できます。使用可能なアクションは次のとおりです:
プロファイルの新規追加
選択したプロファイルの削除
テーブルデータの更新
テーブルには、全てという名前のデフォルトプロファイルが含まれています。特定のプロファイルに関連しないすべてのドメインポリシー(ポリシーテーブルで定義)は、デフォルトで 「全て」プロファイルに関連しています。
新しいプロファイルを作成するには、プロファイルの新規追加を選択します。プロファイル名を入力し、それを1つ以上のActiveDirectoryグループに関連付けます。コメントフィールドはオプションです。
注意
このオプションは、[LDAP有効]設定が[はい]に設定されている場合にのみ使用できます。それ以外の場合は、オプションが無効になっています。
プロファイルを作成すると、ポリシーを定義して、このプロファイルにポリシーを割り当てることが可能になります。プロファイルのポリシーの設定については、「ポリシー」を参照してください。
既存のプロファイルを編集するには、テーブル内の特定のエントリを選択すると、プロファイルの詳細を示すダイアログが表示されます。必要に応じてフィールドを変更します。コメントを除くすべてのフィールドに値が必要です。
プロファイルを削除すると、関連するポリシー、カテゴリー、アプリケーションもすべて削除されます。このアクションは元に戻すことができないため、アクションを実行する必要があることを確認するメッセージが表示されます。
関連するポリシーの削除を回避するには、最初にポリシーセクションでポリシーを表示し、引き続き必要なポリシーを再度割り当てます。
注意
各ユーザを単一の Shield プロファイルのみに関連付けることを強くお勧めします。ユーザが複数のグループに関連付けられている場合、複数の Shield プロファイルにつながる可能性があり、Shield ポリシーの適用に一貫性がなくなる可能性があります。 この場合、ダッシュボードに警告メッセージが表示され、目前の問題を説明します。
SAML認証を使用する場合、IdPでShieldアプリケーションに必要なグループを割り当て、グループ属性を適切に定義してください。その後、プロファイルテーブルで新しいプロファイルを作成し、一致するIdPグループにマッピングしてください。これらの手順を行わないと、エラーが発生する可能性があります。
7.14.7. ネイティブアプリケーション¶
ネイティブアプリケーションセクションでは、ネイティブデスクトップアプリケーションをShieldプロキシでどのように処理するかを定義します。ネイティブアプリケーションとは、Microsoft Windows上のMicrosoft Teamsのように、オペレーティングシステムにインストールされているアプリケーションのことです。アプリケーションは、特定のプロファイルまたはデフォルトのAllプロファイルごとに定義できます。プロファイルフィルタで目的のプロファイルを選択すると、そのプロファイルのアプリケーションが表示されます。利用可能なオプションは、システムで定義されたプロファイルに従っています。アプリケーションを特定のプロファイルに割り当てるには、新しいアプリケーションを追加するか、既存のアプリケーションを変更します。
参考
Shieldには、よく使われるアプリケーションのルールがあらかじめ設定されています。これらのルールはそのままでも、また必要に応じて編集することもできます。
ファンクションツールバー¶
アプリケーションポリシーテーブルの上には、これらのアクションを示すファンクションバーがあります。「編集」「フィルタ」「デフォルトの編集」「上書きの編集」「フィルタ」「更新」「追加」「削除」、「情報」「エクスポート」「インポート」です。
さらに、中央には検索/フィルターボックスがあり、特定の項目を検索したり、特定の値でフィルターをかけたりすることができます。 検索/フィルター機能は、表の内容に対して行われます。
編集ボタン¶
「デフォルトの編集」ボタンは、デフォルトのアプリケーション設定を制御します。カスタムで定義されたポリシーがない場合、アプリケーションはここで定義された設定を使用します。
「上書き編集] ボタンは、カスタム定義された設定を上書きするアプリケーション設定を定義します。
アプリケーションを識別する方法¶
アプリケーションとして識別されるアプリケーションは簡単に認識され、システムのデフォルト値(デフォルト設定で定義)で処理されます。アプリケーションの中には、通常とは異なる識別子を使用したり、ブラウザとして(誤って)分類されたりするものがあります。このようなアプリケーションをシールドで許可するには、システムによって適切に認識され、アプリケーションポリシーとして定義する必要があります。
アプリケーションは、3つのパラメータで識別することができます。ドメイン名、ユーザーエージェント、ヘッダーです。アプリケーションを正しく認識するために、2つのパラメータの組み合わせが必要な場合もあります。アプリケーションの識別に成功するまで、管理者が手動で試行錯誤を行うこともあります。
アプリケーションを識別してShieldに追加するには、以下の手順で行うことをお勧めします。
目的のアプリケーションを起動します。
アプリケーションが機能しない場合 (まだ認識されていないため、エラーが表示されることがありますが、必ずしもそうではありません)、Shield管理コンソールを開き、「レポート」 - 「アプリケーション」 - 「すべて」の順に選択します。
最新の結果で、[結果]が[App Denied]になっているエントリを検索します。
そのエントリのドメインが目的のアプリケーションに関連していることを確認してください(名前は関連性を示すはずです)。
注意
一部のアプリケーションはブラウザとして認識され、レポート上で異なる結果が表示される場合があります(「App Denied」以外)。この場合、ドメインで検索します。これは、名前でアプリケーションを指すことになります。
- ドメインを識別子として(「新しいアプリケーションの追加」ダイアログを使用して)アプリケーションをテーブルに追加します。詳細については、以下を参照してください。
- アプリケーションを起動します。失敗が続く場合は、まだ認識されていないことが考えられるため、別の識別子を追加する必要があります (ユーザエージェントなど)。
- テーブル内の関連するエントリを編集し、専用の列でユーザエージェントの詳細の一部を使用します。
注意
ユーザエージェント全体を使用しないでください。それはアプリケーションごとに十分に一意の識別子ではないため、許可されるアプリケーションが多くなりすぎる可能性があります。
- Shield が Kerberos または LDAP 認証で動作するように構成されている場合、一部のアプリケーションでは(Shield Proxyに渡される)ユーザ資格情報が必要になる場合があります。一部のアプリケーションはプロキシ認証をサポートしていない場合があります。Shield が Kerberos または LDAP 認証で動作するように構成されている場合、これらのアプリケーションは失敗する可能性があります。これらのアプリケーションを機能させるには、「認証をスキップ」(Skip Authentication)オプションを有効にする必要があります。ドメインとユーザエージェントのフィールドを使用してアプリケーションを追加しても接続に失敗する場合は、「認証をスキップ」を「はい」に設定して、再試行してください。
アプリケーションとしてマスクされたブラウザ¶
特定のWebプロキシは、HTTPリクエストがプロキシシステムを通過する際に、クライアントシステムによって生成される元のユーザーエージェント文字列を変更することがあります。例:BlueCoat Proxyは、すべてのユーザーエージェント文字列をMozilla/4.0に書き換えています。これにより、HTTP リクエストが誤ってアプリケーションとして認識され、ホワイトリストに登録される場合があります (前述のとおり、これは推奨されるデフォルトの Action=Allowed です)。このようなシナリオを解決するには、アプリケーションテーブルで、ユーザーエージェントをマスクしたルールを定義し、それをブラウザ (Action=Browser) として定義することが可能です。
ブラウザとしてマスクされたアプリケーション¶
アプリケーションがブラウザとして認識されると(例:office365、skype for business)、ブラウザとして扱われ、正常な動作に支障をきたすことがあります。このような場合、アプリケーションは[Is Browser]が[yes]に設定された状態で[アプリケーション]レポートに表示されますが、正しく開くことはできません。これを処理するには、[アプリケーション]テーブルに、特定のドメインとUser-Agentを/.*/に設定したルールを追加する必要があります
新しいアプリケーションを追加する¶
「新しいアプリケーションの追加」オプションを使用して、アプリケーションをテーブルに追加します。
各アプリケーションには、以下のフィールドの少なくとも 1つに文字列値が含まれている必要があります: ドメイン、ヘッダ、またはユーザエージェント。これらのフィールドの複数に値が含まれている場合、これらの値は、より具体的な識別を可能にするために共に使用されます。これらのフィールドには、単純な文字列または正規表現を使用できます。
関連する AD プロファイルを定義し、それを許可するか、ブロックするか、ブラウザとして定義するかを定義します。必要に応じて、コメントを追加します。
既存のアプリケーションを変更する¶
参考
変更が適用されるまでに少し時間がかかる場合があります。
単一または複数のアプリケーションを削除することも可能です。左側の関連するチェックボックスをオンにして、「削除」オプションを選択します。
トラブルシューティング¶
- 上記の説明に従ってアプリケーションを定義した後でも、アプリケーションが正しく機能しない場合は、以下の手順を試してください。
- キャッシュをクリアします。
- 特定のアプリケーションごとに、再度「レポート | アプリケーション | すべて」をチェックします。
- 一部のアプリケーションでは、アプリケーション内で Shield プロキシを手動で定義する必要があります。以下の手順を実行します。
- キャッシュをクリアします。
- 特定のアプリケーションごとに、再度「レポート | アプリケーション | すべて」をチェックします。
- 一部のアプリケーションでは、アプリケーション内で Shield プロキシを手動で定義する必要があります。以下の手順を実行します。
- アプリケーションを開きます。
- 「設定」に移動します。
- Shield プロキシの詳細を更新します: IP アドレス、ポート、および資格情報(アプリケーションにより必要な場合)
- アプリケーションを再起動します。これで、アプリケーションが期待どおりに機能するはずです。
7.14.8. リソース¶
Ericom Shieldには、スマートリソース管理が含まれています。システムリソースを最適化するために、Ericom Shieldはユーザーアクティビティを検出し、リソースを解放します。リソース設定は、次のサブセクションに配置されています。
セッション管理¶
| リモートブラウザの最小待機セッション数(ファーム毎) | システム内のスタンバイリモートブラウザの最小数を表します。CPUとメモリは、システム全体で常に監視されています。これらの入力に従って、スタンバイブラウザの数が計算されます(最大容量のしきい値に従って)。管理者ユーザがこのフィールドに手動で入力することを選択した場合、システムの最大容量に関係なく、Shieldシステムは必要な数のスタンバイブラウザを使用できるようになります。これによりシステムが過負荷になる可能性があるため、慎重に検討する必要があります。システム定義の値に戻すには、フィールドを削除して設定を保存します。システム定義の値が再計算されて表示されます。 |
| リモートブラウザ待機閾値(ファーム毎) | 待機リモートブラウザ数の閾値を設定します。待機中のブラウザがこの閾値を下回ると、システムは直ちに新しい待機ブラウザのスケールアップを開始します。 |
| ダイナミックス待機リモートブラウザセッション数(%) (ファーム毎) | この設定は、システムが動的モードの場合にのみ使用できます。スタンバイリモートブラウザセッションの必要な割合を定義します。現在アクティブなブラウザの数に基づいて動的に計算され、ブラウザの可用性を常に確保します。2つの設定(これと最小スタンバイリモートブラウザセッション)の高い方の値が使用されます。たとえば、システムに100台のアクティブなブラウザがあり、最小スタンバイリモートブラウザセッション = 10、ダイナミックスタンバイリモートブラウザセッション(%)= 15、システムには15のスタンバイ利用可能なブラウザがあります。 |
| 標準のアイドルタイムアウト(分) | ユーザーアクティビティが検出されない場合にブラウジングセッションが存続する時間を定義します(分単位)。[タブの一時停止のタイムアウト(R / OまたはR / W)]が0に設定されている場合、または[タブの一時停止]が[なし]に設定されている場合に有効になります。このタイムアウトに達すると、セッションは終了します。これがフォアグラウンドタブの場合、ユーザーは一致するメッセージを受け取り、ページを更新して再読み込みする必要があります。これがバックグラウンドタブの場合、再度開くと、タブが更新されます。 |
| 最大リモートブラウザセッション(分) | 各ブラウザセッションの絶対セッションタイムアウトを設定します(分単位)。このタイムアウトに達すると、アクティビティに関係なく、セッションが終了してリソースが解放されます。これがフォアグラウンドタブの場合、ユーザーは一致するメッセージを受け取り、ページを更新して再読み込みする必要があります。これがバックグラウンドタブの場合、再度開くと、タブが更新されます。 |
資源保護¶
| ユーザーあたりの最大アクティブリモートセッション数 | ユーザーが持つことができるアクティブなリモートセッション(タブ/アプリケーション)の最大数を定義します。この数には、中断されたタブは含まれていません。DDOS攻撃を防ぎ、システムリソースを最大化するために使用されます。この数に達して、ユーザーが新しいタブを開きたい場合は、開いているタブの1つを最初に閉じる必要があります。
注: ユーザーは、ユーザー認証、IPアドレス、またはXFFを使用して定義されます。
|
| 接続レートリミッタを除外されたIPアドレス | Shieldには、DDOS攻撃から保護するために、接続レートリミッタが含まれています。特定のIPアドレスに対してこのリミッタを無効にするには、除外するアドレスを定義します(コンマ「、」で区切って複数の値を定義できます)。値はIPアドレスまたはサブネットにすることができます。例えば。単一のIPアドレスの場合は126.0.2.50、サブネットの場合は126.0.1.1/16。
注: 0.0.0.0/0.0.0.0に設定すると、レートリミッタが完全に無効になります(安全ではありません)。
|
| リソースセーバーのタイムアウト(分) | フォアグラウンドアイドルタブが完全にアクティブなままになる時間を定義します。このタイムアウトに達すると、消費されるリソースが大幅に削減されます。 |
| アイドルタブのサスペンド | アイドルタブの一時停止ポリシーを定義します。使用できる値: フォアグラウンド、バックグラウンド、なし、両方。他のオプションはシステムリソースを消費し、追加のハードウェアが必要になる可能性があるため、推奨事項(およびデフォルト値)は両方です。アイドル状態のタブ(フォアグラウンド、バックグラウンド、またはその両方)は、関連する[タブの一時停止のタイムアウト](読み取り専用か読み取り/書き込みか)に従って一時停止されます。
注: [なし]が選択されている場合、[タイムアウトの終了]が満たされるまでタブは有効なままになります。
|
| 読み取り専用タブのサスペンドタイムアウト(分) | 読み取り専用タブ(フォアグラウンド、バックグラウンド、またはその両方)がアイドル状態のときに存続する時間を定義します(分単位)。読み取り専用タブは、読み取り専用に使用されているタブです。このタイムアウトに達すると、タブは一時停止され、ハードウェアリソースが解放されます。タブが再度アクティブになると、最新のコンテンツを表示するために(手動/自動で)更新されます。これを0に設定すると、機能が無効になり、標準アイドルタイムアウトに達するまでアイドルタブが有効になります。デフォルトは5分です。 |
| 読み書き可能なタブのサスペンドタイムアウト(分) | 読み取り/書き込みタブ(フォアグラウンド、バックグラウンド、またはその両方)がアイドル状態のときに存続する時間を定義します(分単位)。読み取り/書き込みタブは、ユーザーがそのタブに書き込んだ(たとえば、フォームに入力した)タブです。このタイムアウトに達すると、タブは一時停止され、ハードウェアリソースが解放されます。タブが再度アクティブになると、最新のコンテンツを表示するために(手動/自動で)更新されます。書き込まれた入力は、特定のドメインの動作に従って取得されます(一部のサイトは入力を自動保存し、他のサイトは入力を自動保存しません。この場合、入力は失われます)。これを0に設定すると、機能が無効になり、標準アイドルタイムアウトに達するまでアイドルタブが有効になります。デフォルトは30分です。ノート:書き込まれた入力が失われるのを防ぐために、このタイムアウトはR / Oタイムアウトよりも大きくすることをお勧めします。 |
負荷管理¶
| 最大容量閾値(%)(ファーム毎) | 最大容量のしきい値を%で定義します。リソース使用量(CPUまたはメモリ)がこのしきい値に達すると、容量のしきい値が下がるまで、追加のリモートブラウザーは割り当てられません。セキュリティとリソース使用率を向上させるために、Shieldはアイドル状態のセッションを切断します。システムがロードされていない場合、アイドルタイムアウトは標準のタイムアウト値(つまり、デフォルトの8時間)に設定され、システムがロードされている場合、アイドルタイムアウトはロードアイドルタイムアウトに設定されます。 |
| 最大負荷しきい値(%)(ファーム毎) | 「使用中」のブラウザの最大負荷しきい値を%で定義します。この値に達すると、過負荷と見なされ、ロードアイドルタイムアウトが使用されます。これにより、未使用のブラウザセッションがより頻繁に解放され、システムリソースが最適な状態に維持されます。 |
| 最小負荷しきい値(%)(ファーム毎) | 「使用中」のブラウザの最小容量しきい値を%で定義しました。この値に達すると、[標準アイドルタイムアウト]が使用されるか、定義されている場合は[バックグラウンド]タブの[タイムアウト]フィールドが使用されます。 |
| 負荷終了セッションタイムアウト(分) | システムの過負荷時にユーザーアクティビティが検出されない場合にブラウジングセッションが存続する時間を定義します(分単位)。[タブの一時停止のタイムアウト(R / OまたはR / W)]が0に設定されている場合、または[タブの一時停止]が[なし]に設定されている場合に有効になります。システムが過負荷であると見なされる場合にのみ関連します。このタイムアウトに達すると、セッションは終了します。これがフォアグラウンドタブの場合、ユーザーは一致するメッセージを受け取り、ページを更新して再読み込みする必要があります。これがバックグラウンドタブの場合、再度開くと、タブが更新されます。 |
バーストイベント¶
このサブセクションは、動的モードにのみ関連します。システムでバーストイベントを定義できます。特定の日時に、事前定義された数のリモートブラウザを使用できるようになります。これにより、これらの事前定義された期間に、システムで十分な数のリモートブラウザが準備され、すぐに使用できるようになります。
| バーストイベントの有効化(ファーム毎) | バーストイベントを有効または無効にします。[いいえ]に設定すると、システムで定義されたイベントはすべて無視され、ブラウザはシステムで定期的に管理されます(ピーク時間は無視されます)。 |
| バーストイベントテーブル | バーストイベントを追加、編集、または削除します。バーストイベントは、システムのピーク時間の使用量と一致するように計画する必要があります。[バーストイベントの追加]ダイアログを使用して、新しいイベントを作成します。平日、週末、および1日のいくつかのピークに合わせて、さまざまなイベントを作成できます。アイドル状態のブラウザーに使用する時刻、曜日、必要なブラウザーの数、およびタイムアウト(分単位)を入力します。特定の時刻ごとにイベントが作成されると、その同じ時間に新しいイベントを定義することはできなくなります。このエントリをテーブルで直接編集することができます。行を選択し、必要に応じて各セルを変更して、テーブルのエントリを編集します。時間の値が一意であることを確認してください。重複の場合-メッセージが表示され、ユーザーが変更を編集できるようになります。さらに、システムのロードを回避するために、アイドル状態のブラウザのタイムアウトを設定することが重要です。タイムアウトが定義されていない場合は、標準のセッション終了タイムアウトが使用されます。注: これらのイベントでは、システムが過負荷に近いか、実際に過負荷になる可能性があります。イベントの定義は、システム容量、予想される使用法、およびユーザーのニーズを慎重に検討した後で行う必要があります。 |
帯域消費¶
このサブセクションには、公正使用ポリシーの管理に役立つ帯域幅消費に関連する設定が含まれています。各セッションの帯域幅サイズには制限があり、この帯域幅が消費されると、セッションは終了します。警告レベルとエラーレベルを定義して、現在の帯域幅使用量についてエンドユーザーを更新し、セッション終了前に作業を保存できるようにすることができます。
| 最大帯域幅(GB) | 許可される最大帯域幅を定義します(セッションごと)。 |
| 警告レベル(%) | ユーザーに警告を発行するために使用される帯域幅のレベルを定義します。満たされると、ユーザーは現在の帯域幅使用量について通知されます。 |
| エラーレベル(%) | ユーザーにエラーを発行するために使用される帯域幅のレベルを定義します。会うと、ユーザーは現在の帯域幅の使用状況について通知され、セッションの終了が差し迫っていることについて警告されます。その後すぐに、許可された帯域幅が消費されたため、セッションが終了します。 |
表示設定¶
このサブセクションには、表示品質に関連する設定が含まれています。設定には、リソース消費を維持しながら最高の表示を提供するために計算された、推奨されるシステムデフォルト値があります。これらの設定を変更することはお勧めしません。これらの設定が更新された場合、これらの更新はシステムリソースと帯域幅の消費に深刻な影響を与える可能性があります。これらの設定を変更する前に、Ericom Shield ProfessionalServicesにご相談ください。
参考
システムのデフォルトに戻すには、更新された値を削除して保存するだけです。システムのデフォルト値が復元されます。以下のすべての設定に関連します。サブセクション設定全体を復元するには、下部にある[システム定義値の復元]オプションを使用します。
| 初期FPS制限 | ページを開いたときの最大FPSレート制限を定義します。 |
| メディアFPS制限 | メディア要素(非FMS)がページで再生されているときの最大FPSレート制限を定義します。 |
| 非メディアFPS制限 | ページに非メディア要素のみが含まれる場合(またはメディア要素が停止する場合)の最大FPSレート制限を定義します。 |
| スクロールFPS制限 | スクロール時の最大FPSレート制限を定義します。 |
| メディア要素の圧縮品質 | 混合ページ(メディア要素と非メディア要素を含む)のメディア要素の品質圧縮率を定義します。 |
| 非メディア要素の圧縮品質 | 混合ページ(メディア要素と非メディア要素を含む)の非メディア要素の品質圧縮率を定義します。 |
| 非メディア要素の高品質を有効にする | メディア以外の要素で高品質のテキスト表示を有効にします。有効にすると、メディア以外の要素でのテキスト表示が自動的に改善され、さらにテキスト表示の品質が有効になります。 |
| テキスト表示の品質 | テキスト表示の品質圧縮率。値が高いほど、テキスト表示は暗く太字になります。[非メディア要素の高品質を有効にする]が[はい]に設定されている場合にのみ有効です。 |
| アイドル時の圧縮品質 | ページで更新が受信されない場合の品質圧縮率を定義します(アイドル状態)。変更は、スクロール、メディアの再生、内部サイトの更新などが原因である可能性があります。 |
| スクロール時の圧縮品質 | スクロール時の品質圧縮率を定義します。 |
| 高FPSレートでの圧縮品質 | 実際のFPSが高い場合の品質圧縮率を定義します(メディア以外にのみ関連)。 |
| 低FPSレートでの圧縮品質 | 実際のFPSが低い場合の品質圧縮率を定義します(非メディアのみに関連)。 |
7.14.9. データロス防止¶
このセクションではデータロス防止(DLP)に関する設定が含まれています。
| DLPモード | Shield が動作するモードを選択します。システムのネットワークにDLPソリューションがある場合は、この設定を外部にします。外部にすると、ShieldのすべてのPOSTアクティビティがDLPによって検査されます。 |
| DLPアクション | ブロックを選択した場合、DLPルールが一致したコンテンツがセッションに入るのをブロックします。レポートを選択した場合は、DLPルールに一致したイベントをログに記録します。 |
7.14.10. アラート¶
Ericom Shieldには、アラート/通知メカニズムが含まれています。これらの通知は、ダッシュボードの専用レポートに表示され、次のような複数のチャネルを介して管理者ユーザーに送信することもできます。Slack、メール、POSTリクエスト。同じチャネルを使用して、システム統計とエンドユーザーフィードバックを送信することもできます。
参考
アラートとエンドユーザーのフィードバックは、発行されると同時に送信されます。システム統計は24時間に1回送信されます。
匿名のフィードバックを送信する¶
匿名でEricomにフィードバックと統計情報を送信するかどうかを定義します。この情報は現在の問題を調査し、潜在的な困難を検出し、システムのユーザビリティを向上させるのに役立ちます。
エンドユーザのフィードバックを送信する¶
エンドユーザからのフィードバックをEricomに送信するかどうかを定義します。この設定が有効になっているかつ、エンドユーザオプションの「エンドユーザーがフィードバックを送信できるようになる」が有効になっている場合、エンドユーザのフィードバックは全てEricomに直接送信され、調査及び処理に使用されます。
テストアラートの送信¶
必要なすべてのアラートチャネルが正しく定義されていることを確認するには、詳細を入力して[テストアラートの送信]を選択します。テストアラートが(定義されたすべてのチャネルに)送信されます。このアラートが正しく受信されなかった場合は、設定が正しくないことが原因です。設定を更新して、再試行してください。
次のセクションでは、各チャネルに必要な設定を定義します。複数の方法を定義することができ、アラート、統計、およびユーザーフィードバックがすべてのチャネルに同時に送信されます。
Slack¶
アラート、統計、ユーザーフィードバックはSlackを使って送信することができます。必要な設定は次のとおりです。
- Webhook URL - アラート、統計、エンドユーザーフィードバックのためのWebhookをサポートしています。Shield からこの情報の受信を開始するには、一致する Webhook URL を定義します。すべてのオプションに同じ URL を使用することも、必要に応じてオプションごとに異なる URL を使用することもできます。
- チャネル名 - 各オプションの特定のチャネル名を定義します(アラート/統計/フィードバック)
Email (Eメール)¶
アラート、統計、およびフィードバックを送信するSMTPサーバーを定義します。必要な設定は次のとおりです。ホスト、ポート、セキュアSMTP、およびクレデンシャル。
参考
SMTPサーバーは、2要素認証との接続をサポートしていません。
アラート/統計/フィードバックを送信するアカウント名と、アラートを受信するためのメールアカウントを定義します。オプションごとに個別の電子メールアドレスを使用できます。Alerts E-Mail Address Toがデフォルトのアドレスです(他のアドレスが空の場合)。各宛先アドレスでは、セミコロン( ";" )で区切って複数の電子メールアドレスを定義できます。
オプション(アラート/統計/フィードバック)ごとに特定の件名テキストを定義します。これにより、受信したすべての電子メールのフィルタリングが容易になります(時間の経過とともに蓄積される可能性があるため)。
POST¶
アラート、統計、およびフィードバックは、POSTリクエストをサポートする任意のWebサービスに送信できます。必要なオプションに一致するURLを定義すると、関連情報がShieldからこれらのURLに送信されます。必要に応じて、すべてのオプションに同じURLを使用することも、オプションごとに異なるURLを使用することもできます。
アラートのリスト¶
Shield管理コンソールに表示されるアラートのリストは次のとおりです。
- システムはリモートブラウザの最大容量 ({browsersusage}%) に近づいています。
- ブラウザファームのCPU使用率は{cpuusage}%で、過負荷になる可能性があります。
- ブラウザファームのディスク使用量は{diskusage}%で、過負荷になる可能性があります
- ブラウザファームのメモリ使用量は{memusage}%で、過負荷になる可能性があります
- システムはリモートブラウザの最大容量({browsersusage}%)に達しました
- DNS設定が完了していません。 少なくとも1つの内部DNSアドレスと1つの外部DNSアドレスを[設定]の[DNS]入力してください
- システムは、次のダイナミックノードファームURLで最大リモートブラウザ容量に近づいています。:{farmInfo}
- システムは、次のダイナミックノードファームURLで最大リモートブラウザ容量達しました。:{farmInfo}
- 次のダイナミックノードファームURLでサニタイズサーバーに接続できませんでした。:{farmInfo}
- 次のダイナミックノードファームURLへの接続に失敗しました。:{farmInfo}
- 次のダイナミックノードファームURLでカテゴリプロバイダサーバーに接続できませんでした。:{farmInfo}
- Votiro Cloud 評価バージョンは、本番環境では使用できません。次のダイナミックノードファームURLで使用されています:{farmInfo}
- サニタイズサーバーに接続できませんでした。{cdrUrl1}{cdrErr1}{cdrUrl2}{cdrErr2}
- {farmUrl}』 のダイナミックノードファームへの接続に失敗しました:{farmError}
- カテゴリプロバイダサーバーに接続できませんでした
- 次のノードで失敗しました:
- 一部のユーザーは複数のActive Directoryグループに関連付けられているため、いくつかのShieldプロファイルに関連しています。これにより、ポリシーの一貫性が失われる可能性があります。 各ユーザーは1つのグループに含めることをお勧めします。
- ライセンスは {licenseExpiration} で期限切れになります
- ライセンス有効期限が過ぎました
- 選択したCDRプロバイダ({cdrVendor})に一致するライセンスがありません
- CPU使用率は、次のノードでオーバーロードされる可能性があります。
- ディスク使用量は、次のノードでオーバーロードされる可能性があります
- メモリ使用量は、次のノードでオーバーロードされる可能性があります
- 次のノードは「Ready」状態ではありません
- 現在、待機中のリモートブラウザはありません
- ウイルススキャンは、現在のライセンスには含まれていません。 一致するライセンスを購入してください
- 次のサービスの一部のレプリカが実行されていません
- 利用可能なセッションライセンスがありません
- セッションライセンスが不足しかけています
- アクティベーションが必要です
- 利用可能なユーザーライセンスがありません
- ユーザライセンスが不足しかけています
7.14.11. サービス¶
このセクションには、次のサブセクションで構成されたサービスが含まれています。
Shield SLL 証明書をダウンロード
エンドポイントブラウザがEricom RBIサービスを信頼するために使用される証明書をダウンロードすることができます。
PACファイルのアップロード
ShieldにアップロードするPACファイルを選択します。PACファイルが正常にアップロードされたかどうかは、レポートの監査 - Adminアクティビティを参照します。
PACファイルは、任意の管理ノードで実行されているShieldWebサービスコンポーネントで利用できます。PACファイルを使用するようにエンドユーザーブラウザを設定するには、[自動設定スクリプト]フィールドを http://<ShieldHostname>/default.pac に設定します。
PACファイルをダウンロード
[ダウンロード]オプションを選択して、デフォルトのPACファイルをローカルにダウンロードします。特定の環境要件を満たすために必要なPACファイルに変更を加えてから、上記の手順を使用して新しいPACファイルをアップロードします。
7.14.12. アナライザ¶
ドメイン/URLを解析¶
この機能は、このテナントのドメインに適用されるプロファイルを表示します。テナントにカテゴリアドオンが含まれている場合、「プライマリ」コンテンツの分類結果も表示されます。
URL フィールドに URL/ドメインを入力し、分析アイコンを選択します。
以下のような結果が得られます。
7.14.13. レポート¶
このセクションでは、Shield のロギングコンポーネントを使用して収集されたデータと情報を取得できます。これらのレポートは、分かりやすく役に立つ形式で表示されます。
使用可能なレポートカテゴリは次のとおりです:
- セッション - ブラウジングセッション(アクティブおよび完了済み/履歴)とユーザセッション(現在アクティブなネームドユーザ)に関する情報を表示します。
- ファイル転送 - システム内のファイル転送に関する情報を表示します (ダウンロードされたファイル、ブロックされたファイル、および正常にサニタイズされたファイル)。
- エンドユーザフィードバック - エンドユーザが (セッション中に右クリックメニューオプションを使用して) 送信したフィードバックを表示します。
- 監査 - 各ログイン、ログアウト、および管理コンソールで実行および保存された各アクティビティ(追加、変更、削除)に関する情報を表示します。
- ネイティブアプリケーション - Shieldシステムで使用されるアプリケーションに関する情報を表示します。
- データロス防止 - DLPエンジンで設定されたポリシーによってキャプチャされたアクティビティを表示します。
- エラー - 重大度がエラー/致命的であるShieldコンポーネントによって発行されたエラーを表示します。
- 通知 - システムで発行されたすべてのアラート/通知に関する情報を表示します(ダッシュボードに表示されます)。
情報を取得するには、レポートカテゴリ、レポートを選択します。 結果が表示されたら、キーワード検索やフィルタを使用して定義された基準に基づいてデータを表示することができます。
自動更新を有効にすると、データが継続的に更新されます。
アドバンストレポート¶
[高度な]リンクをクリックすると、システム ログの拡張表示用の Kibana ベースのレポートが開きます。 高度なレポートへの直接の URL は、https://<SERVER_ADDRESS>:30181/logs/app/management/kibana/objects です。(SERVER_ADDRESS を実際の Shield サーバーアドレスに置き換えてください。)
注意
高度なパスワードログインについては、Ericom社のテクニカルサポートにお問い合わせください。 また、レポートのアップデートがダウンロード可能かどうかも尋ねてください。
目的のレポートをクリックすると、そのレポートが表示されます。
7.14.14. ライセンス¶
ライセンス情報は、管理者に詳しく説明されています。表示するには、右上隅のメニューを開き、[ライセンス]オプションを選択します。
アクティベーションページが表示されます。
アクティベーション¶
Shieldをアクティブ化するか、ライセンス拡張を適用するには
- システムIDを選択してコピーします
- Ericom Shield ProfessionalServicesに送信してください
- アクティベーションキーを受け取ったら、それを[アクティベーションキー]フィールドに貼り付けます
- 下部にある[アクティベート]をクリックします。プロセスが完了すると、緑色の確認が表示されます。
ダッシュボードでは、ライセンスの有効期限がすぐに更新されます。サービスを再起動する必要はありません。
ライセンスオプション¶
Ericom Shieldには、3つの主要なライセンスオプションがあります。
指名ユーザー¶
各ユーザーには、専用の個別のライセンスがあります。ライセンスの数はユーザーの数と同じです。ユーザーは、最後のブラウジングセッションから14日間、アクティブユーザーとしてシステムに保持されます。この期間が経過し、ユーザーがShieldを使用しなくなった場合、ライセンスは解放され、別のユーザーが使用できるようになります。
同時ユーザー¶
このライセンスオプションを使用すると、複数のユーザーが1つのライセンスを共有できます(同時にはできません)。ライセンス数は、Shieldを同時に閲覧できるアクティブユーザーの最大数です。 ユーザーが新しいWebブラウザーウィンドウまたはWebブラウザーのタブ付きドキュメントインターフェイス(TDIまたはタブ)を開くたびに、新しい同時ブラウジングセッションが作成されます。ユーザーが初めてShieldを閲覧するとき、この(アクティブな)ユーザーに1つのライセンスが割り当てられます。 ライセンスの最大数に達した場合、アクティブなユーザーがすべてのアクティブなセッションを閉じてライセンスが解放されるまで、他のユーザーはShieldに接続して参照できません。
同時セッション¶
このライセンスオプションを使用すると、ユーザーは現在アクティブなセッションに従ってライセンスを共有できます。ライセンスの数は、同時に開くことができるアクティブなセッションの最大数です。
認証¶
Shieldが認証なしで操作されている場合、システムはブラウザーごとに生成されたGUIDに基づいてユーザーを識別します。各GUIDはライセンスを消費します。これは、名前付きユーザーと同時ユーザーの両方のライセンスオプションに当てはまります。同じユーザーに対して複数のGUIDが生成される場合があります。たとえば、ユーザーが同じコンピューターから2つのブラウザーを開いた場合、たとえば、 ChromeとEdgeでは、ブラウザごとに異なるGUIDを受け取ります。ユーザーが単一のブラウザを使用しているが、通常モードとプライベート/シークレットモードの両方で使用している場合も同じことが起こります。これらの各モードは、異なるGUIDを受け取ります。
正確なライセンス数を得るには、認証が有効で適切に定義されたShieldを使用することをお勧めします。このように、ユーザーは資格情報によってシステム内で識別され、冗長なライセンスを消費することなく、ライセンスに従ってシステムを使用できます。