ポリシー

Ericom Shieldを使用すると、組織はビジネスを機能させながら、外部の脅威からビジネスを保護するためのさまざまなポリシーを定義できます。 今日の世界では、ほとんどすべての従業員が仕事を完了するためにインターネットにアクセスする必要があります。 Ericom Shieldはすぐに使える保護レベルを提供しますが、さらに保護を強化する追加ポリシーを定義して定義することも可能です。 たとえば、インターネットへのフルアクセスを許可する代わりに、ホワイトリストに登録されたサイトのリストとは別にインターネットアクセスをブロックできます。 全サイトにフルアクセスを許可することもできますが、ホワイトリストに登録されたサイトからのダウンロードのみが許可されます。 このレベルの細分性は、このセクションで説明されているようにポリシーを定義することによって達成できます。

ポリシーテーブル

../../_images/policies4.png

ポリシーは特定のドメイン、IPアドレス、またはカテゴリごとに定義できます。さらに、システム全体に影響を与えるデフォルトポリシーと上書きポリシーがあります。システムには、ポリシーごとに事前定義されたデフォルトが用意されています。上書きについては、管理者がシステム全体を完全に制御できるようにする非常に便利なツールです。システムデフォルトおよび上書きポリシーの詳細については、以下を参照してください。

ポリシーは、特定の プロファイル またはデフォルトの All のプロファイルごとに定義できます。

ポリシーテーブルには、定義されたポリシーを含むドメイン、IP アドレス、およびカテゴリの一覧が含まれます。

参考

カテゴリは、一致するライセンスが存在し、そのカテゴリがシステムで有効になっている場合、テーブルに only が表示されます。

特定のエントリが、ドメイン/IPアドレスまたはカテゴリを表しているかどうかを確認するには、Type アイコンを使用します。

../../_images/typeicon6.png

ポリシーテーブルは、コンパクトモードと詳細モードの2つのモードで表示できます。コンパクトモードには、ドメイン/カテゴリ、タイプ、プロファイル、アクセスとコメントのフィールドが含まれます。詳細モードには、すべてのテーブル列が含まれます (以下で詳しく説明します)。

参考

Shieldには、ChromeとFirefox経由でShieldでスムーズなブラウジングを可能にするために、いくつかの定義済みのルールが付属しています。これらのポリシーはそのままにしておくようにすることをお勧めします。

利用可能なポリシー

次のポリシーは、システムデフォルトレベルまたは特定のドメインのいずれかで使用できます。

  • アクセス - ドメインが次のいずれの動作をするかを定義します。

    1. Shield - Ericom Shield経由で開く
    2. ホワイト - Ericom Shieldを経由せず直接開く
    3. ブラック - 完全に遮断する

  • ダウンロード – 指定されたドメインからファイルをダウンロードしてサニタイズするかどうかを定義します。指定できる値は次のとおりです。

    1. 有効 - ファイルがダウンロードされます(サニタイズなし)
    2. サニタイズ - ファイルはサニタイズされ、サニタイズが成功した場合はファイルがダウンロードされます。
    3. プレビュー - ファイルは(専用のPDFビューアで)プレビューすることしかできません。 ダウンロードすることはできません。
    4. 無効 - ファイルをダウンロード、サニタイズ、プレビューできません。

名前付きポリシーサブセクション( Settings | Files & Sanitization の下)で定義されている場合、追加の値が含まれる場合があります。

参考

ダウンロードポリシーは印刷ポリシーに影響します。

  • 読み取り専用 - ドメイン/カテゴリを読み取り専用モードで表示するか、対話モードにするかを定義します。

  • 印刷 - ファイルを印刷できるかどうかを定義します。ファイルを印刷する場合は、最初にダウンロードしてから印刷するので、ダウンロードポリシーは印刷ポリシーに影響します。指定できる値は次のとおりです。

    1. 有効 - ダウンロードポリシーに関係なく、印刷は常に可能です。
    2. 保護 - ダウンロードが許可されている場合にのみ印刷が許可されます(有効/サニタイズ)。 ダウンロードが許可されていない場合は、印刷も無効になります。
    3. 無効 - 印刷は完全に無効です。

  • アップロード - 特定のドメインにファイルをアップロードできるかどうかを定義します。 可能な値:有効 / 無効

  • サスペンド - アイドル状態の場合、ドメインが中断されるか(特定のタイムアウトに応じて)、またはアクティブのままであるかどうかを定義します。 可能な値は次のとおりです。

    1. 有効 - ドメインは、 R/OおよびR/Wタイムアウトに達するまで、アイドルは中断されます。(詳細は リソース セクションを参照してください。)
    2. 3つの利用可能なタイムアウト - 1時間/ 4時間/ 8時間
    3. 無効 - ドメインは終了タイムアウトに達するまでアクティブのままです(システムアイドルタイムアウトにいます)。

  • サブドメイン - ドメインのサブドメインが含まれるかどうかを定義します。 たとえば、example.comがドメインとして定義され、サブドメインが含むの場合、example.comに定義されているすべてのポリシー値によってwest.example.comとeast.example.comの両方が含まれ、影響を受けます。 明示的にドメインセクションに追加する必要はありません。

参考

サブドメインが除外の場合、正確な 特定のドメインのみが照合されます。 例えば、 example.comがドメインとして定義され、サブドメインが除外の場合、www.example.comはポリシーと一致しません。

  • クリップボード - クリップボードの使用を有効または無効にします。

参考

クリップボードポリシーはテキストと画像の両方に影響します。 クリップボードを無効にすると、テキストや画像のリモートブラウザへのコピーおよび貼り付けができなくなります。 この場合、これらのオプションは内部的に利用可能です(リモートブラウザ内のみ)。

  • クッキー - クッキーの使用を有効または無効にします。(双方向)

参考

ほとんどのサイトではCookieを使用した認証が使用されているため、Cookieをグローバルにブロックするとこれらのサイトは使用できなくなります。 ただし、Cookieをブロックする主な理由は、Cookieをトラッキングしないようにすることです。不正使用やリターゲティング(過去の検索などに基づいて迷惑な広告を受け取る)につながります。 すべてのCookieをブロックすると、組織が必要とするサイトで問題が発生する可能性があるため、ブラックリストとホワイトリストのポリシーが両方の世界のベストを提供できます。

  • 証明書 - HTTPSドメインに信頼できる証明書があることを確認するか、証明書に関連するエラーを無視する(安全性が低い)か、エラーがあった場合にブロックするかを設定します

  • レンダリング - コンテンツのレンダリング方法を定義します。次の 3 つのオプションを使用できます。

    1. フレーム - すべてのブラウザコンテンツがフレーム(画像)として転送されます。DOM 要素、CCS、内部ロジック、および API 呼び出しはクライアントからは非表示になります。
    2. ストリーム - すべてのメディア要素が直接ストリーミングされます。その他の要素はフレームとして転送されます。
    3. クリスタル - ブラウザのコンテンツの一部は、DOM要素とCCS(安全と見なされる)などのHTML要素を、現在どおりに表示されます。潜在的に有害と見なされるその他の要素 (内部ロジックと API 呼び出し) は、クライアントから非表示になります。これはテクニカル プレビュー機能で、テクニカル プレビュー機能が有効になっている場合にのみ使用できます。

  • 広告ブロック - ウェブサイトの広告を有効または無効にします。 広告がリソースを消費してパフォーマンスを低下させる可能性があるためブロックすることを強くおすすめします。(デフォルトで有効)

参考

そのような場合は、そのサイトに広告を有効にするための特定のポリシーを追加します(広告ブロック=無効)。 エンドユーザーは、右クリックメニューオプションの 「広告ブロックの一時停止&再読み込み」を使用して、閲覧中に広告を無効にすることができます。 これは、現在のセッションにのみ影響します。

上部ツールバー

テーブルの上部のバーでは、次のアクションを使用できます。

左側にある Add`EditDelete、右側にある InfoCompact/Verbose ModeShow/Hide OverrideExportImport

さらに、中央に検索/フィルターボックスがあり、表示されたドメイン/カテゴリをフィルターしたり、テーブル内のエントリを検索したりできます。

../../_images/mainscreentoolbar6.png

検索/フィルタは、ドメイン/カテゴリ、プロファイル、アクセスおよびコメントの各フィールドで実行されます。

システムデフォルト

システムデフォルトポリシーは、テーブル(通常は一番上)に表示されます。エントリのタイトルは``Default - Profile Name`` です。デフォルトのプロファイルは、All プロファイルです。(Profiles セクションで)新しいプロファイルが作成されると、デフォルトエントリがポリシーテーブルに自動的に追加されます。これは、デフォルトでは表示されないオーバーライドにも当てはまります。

デフォルト値を編集するには、特定の行と Edit オプションを選択します。目的の値を変更し、アクションを確認します。これは、このポリシーのデフォルト値を持つテーブル内のすべてのドメイン/カテゴリに影響します。定義済みの値を持つドメイン/カテゴリは影響を受けません。

値の上書き

各プロファイルには、テーブル内で一致する上書きエントリがあります。これらの上書きエントリは、デフォルトでは非表示になっています。これらを表示するには、上部のバーにある Show/Hide Override を選択します。上書き値を使用して特定のポリシー値を定義します。これは、関連するプロファイルのすべてのドメイン/カテゴリにすぐに影響します。

上書きを適用するには、特定の行と``Edit``オプションを選択します。目的の値を変更し、アクションを確認します。上書き値が設定されると、列全体が赤でマークされ、上書き値が設定されたことを視覚的に強調表示します。

../../_images/overridedefaultpolicy6.png

上書きの値は既存のポリシー値よりも優先され、 変更を迅速に適用するための効率的な方法として提供されます。これによりリスクの高い可能性がある脅威が存在する間の保護を向上させます。

上書き値を削除してシステムを以前のステータスに戻すには、上書きと Edit オプションを選択します。値を Default に変更し、変更を確認します。

../../_images/removeoverride6.png

上書きの値が削除され、以前に設定された値が取得され、テーブルに表示されます。

プロファイルポリシー

システムで定義された各プロファイル(詳細については、プロファイル にアクセスしてください)には、一致するデフォルトおよび上書きエントリがテーブルにあります。新しいポリシーを追加するか、既存のポリシーを変更することにより、特定のプロファイルのポリシーを定義できます。

ポリシー階層

システムに存在するより詳細な特定の規則が優先されます。

エンドユーザーが特定のドメインを参照すると、このドメインへのアクセス方法(およびどのポリシーを参照するか)を決定するために、次の手順が実行されます。

  • システムで認証が定義されている場合、ユーザーのプロファイルが一致し、このプロファイルに基づいて検索が実行されます。それ以外の場合は、一般的なプロファイル すべて が参照に使用されます。
  • ドメインは、ポリシーテーブルで検索されます。そこに特定のルールが一致した場合 - 定義されたポリシーに従って行動します。
  • それ以外の場合、ドメインのカテゴリはポリシーテーブルで検索されます。一致する場合、定義されたカテゴリポリシーに従って動作します。
  • それ以外の場合は、プロファイル/システムのデフォルトポリシー値に従って動作します。

参考

これは、潜在的に有害または安全でないと識別されたドメインを除き、すべてのドメインに該当します。この場合、Shieldはより安全なアプローチを選択します。

詳細については、こちら を参照してください。

新しいポリシーの追加

ポリシーテーブルに新しいドメイン/IPアドレス/カテゴリを追加するには、Add アイコン(左側の上部バー)を押します。

新しいポリシーの追加 ダイアログが開きます。

../../_images/addnewpolicy12.png

このダイアログは、新しいドメインとIPアドレスを追加するために使用されます。カテゴリを追加するには、上部の カテゴリ オプションを選択すると、ダイアログが変更されます。詳細については、以下を参照してください。

ダイアログが開き、現在のシステムのデフォルトオプションが(選択したプロファイルごとに)適用されます。 Domain Addresses フィールドにドメイン/IPアドレスを追加します。新しい行で区切って、複数のアドレスを追加することができます。ドメインは、たとえば bbc.com または www.bbc.com などが設定可能です。ポリシーではドメイン全体が参照されるため、特定のURL(例: http://www.bbc.com/news/ )はサポートされていません。ドロップダウンリストの値を使用して、このポリシーに必要なオプションを定義します。完了したら、Add ボタンをクリックします。

追加されたドメイン/IPアドレスは、既存の重複がないことを確認するために検証されます。これは、同じドメイン/IPアドレスに複数のポリシーで異なるオプションが適用され、そのドメイン/IPアドレスへの接続でエラーが発生するのを防ぐためです。同じドメイン/IPアドレスが異なるプロファイルの下に表示される**場合があります**。これは 重複とはみなされません

重複が存在する場合は、ドメインが既に存在することを示すメッセージが表示されます(特定のプロファイルの下)。ダイアログは開いたままなので、ユーザーは入力した詳細を変更できます。

検証チェックが正常に完了すると、ダイアログが閉じて新しいドメイン/IPアドレスがテーブルに表示されます。各ドメインポリシーは、上書き値が設定されている場合を除き、システムデフォルトポリシーよりも優先されます。

アクセスポリシーにドメインが white と表示されている場合は、管理者に特定のドメインのみが許可されており、そのサイトからのリダイレクトは、同様に white として記載されたドメインでなければ、許可されないことを通知します。また、ポリシーが表に表示されると、ホワイトリストに登録されているドメインに対して効果のない設定が、打消し線でマークされます。

../../_images/whiteDefault6.png

新しいカテゴリーを追加

参考

このオプションは、一致するライセンスアドオンで、カテゴリがシステムレベルで有効になっている場合にのみ使用できます。

カテゴリ が選択されている場合、ダイアログは 新しいカテゴリを追加 に変わります。

../../_images/addnewcategory6.png

現在選択されているポリシーのデフォルト値(選択したプロファイルに一致するもの)が適用されたダイアログが開きます。 Category Name フィールドで利用可能なドロップダウンリストからカテゴリを選択してください。 複数選択が(CTRL /シフトキーを使用して)利用可能であるので、同時に複数のカテゴリを追加することができます。 必要に応じて(値のドロップダウンリストを使用して)さまざまなポリシーを変更するか、デフォルトのままにします。 完了したら、 Add ボタンをクリックしてください。

追加されたカテゴリは、重複がないことを確認するために検証されます。 これは、同じカテゴリが複数の定義を持つのを防ぐためです。ドメインがそのカテゴリに属すると識別されると、エラーが発生する可能性があります。 同じカテゴリが 異なる プロファイルで表示されることがあります。 これは 重複とは見なされません

重複が存在する場合は、そのカテゴリがすでに存在することを示すメッセージが表示されます(特定のプロファイルごとに検証されます)。 ダイアログは開いたままなので、ユーザーは入力した詳細を変更できます。

検証チェックが正常に完了すると、ダイアログが閉じ、新しいカテゴリがテーブルに表示されます。

既存ポリシーの編集

テーブル内の既存のエントリを編集するには、関連するチェックボックスをオンにし、上部のバーの Edit オプションを選択します。一致する [編集] ダイアログが開きます (選択したエントリに応じて、ポリシー、カテゴリ、既定、または上書きのいずれであるかに応じて)。

すべての値を更新できます(新しいエントリを追加するときと同じです)。値の更新が完了したら、ダイアログを確認し、更新された値が検証され(新しいドメインを追加するときと同じチェックが実行され)、コミットされます。

参考

このセクションで行われた各更新は、検証およびコミットされた後、適用されるまでに少し時間がかかる場合があります。さらに、新規 セッションのみに関連します。これらの変更は、実行中のセッションには影響しません。

事前定義ポリシー

Shieldには、最初にいくつかの定義済みドメイン/ IPアドレスポリシーが付属しています。 また、カテゴリが有効になっている場合は、[ポリシー]テーブルに含まれています。 これらの事前定義ポリシーは以下のとおりです。

  • detectportal.firefox.com - このサイトはFirefoxが captive portal を使用しているかどうかを検出するときにFirefoxによって使用されます。 このサイトは一般的に使われており、Shieldでは期待通りに動作するはずです - デフォルトでは ホワイト です。
  • safebrowsing-cache.google.com - セーフブラウジングはGoogleのサービスで、ブラウザでブロックすることでスパムサイトやフィッシングサイトに対抗するのに役立ちます。 Shieldされていると、このサービスは予期しない動作を引き起こします。 このサイトは一般的に使われていて非常に有益なので、デフォルトでは ホワイト です。
  • IPアドレス169.254.169.254 - このIPは、メタデータをクラウドインスタンスに配布するために、いくつかのクラウドコンピューティングプラットフォーム(例:Amazon EC2)で使用されます。 Shieldにおいては、Shieldメタデータを部外者の手の届かないよう保護するために、デフォルトで ブロック されています。

ポリシーをCSVファイルにエクスポートおよびインポートする

ポリシーをCSVファイル形式でエクスポートおよびインポートすることは可能です。 詳細は こちら を参照してください。