ポリシー¶
Ericom Shieldを使用すると、組織はビジネスを機能させながら、外部の脅威からビジネスを保護するためのさまざまなポリシーを定義できます。 今日の世界では、ほとんどすべての従業員が仕事を完了するためにインターネットにアクセスする必要があります。 Ericom Shieldはすぐに使える保護レベルを提供しますが、さらに保護を強化する追加ポリシーを定義して定義することも可能です。 たとえば、インターネットへのフルアクセスを許可する代わりに、ホワイトリストに登録されたサイトのリストとは別にインターネットアクセスをブロックできます。 全サイトにフルアクセスを許可することもできますが、ホワイトリストに登録されたサイトからのダウンロードのみが許可されます。 このレベルの細分性は、このセクションで説明されているようにポリシーを定義することによって達成できます。
インテリジェント分離モード¶
Shieldには、カテゴリポリシーがシステム内で定義され、必要に応じて値を割り当てることができる埋め込みURLフィルタリングメカニズムが含まれています。 Shieldの評価時には、デフォルトで インテリジェント分離モード で動作します。ここで 未分類 および 疑わしい カテゴリ(URLフィルタリングメカニズムで定義されている)はShieldされます。 他のすべてのカテゴリはホワイトに設定されています。 いくつかのアクションは 完全分離モード ライセンスでのみ利用可能です(例えばカテゴリーをシールドに設定する、カテゴリーを削除/追加する )。
カテゴリーポリシーは、Shieldで定義し、さまざまなポリシーオプションを使って割り当てることができます。 このフィルタリングメカニズムを使用するには、追加のライセンスが必要です。 以下に記載されていることはすべて、関連するアドオンライセンスを保持する場合にのみ関係します。
現在のライセンスと動作モード(フル/インテリジェント分離モード)に関する詳細とともに、通知が表の上部に表示される場合があります。 フィルタリング機能を最大限に活用するには、これらの通知の情報に従ってください。
一部のオプションは、特定のライセンスごとに有効/無効になります。
ポリシーテーブル¶
ポリシーは特定のドメイン、IPアドレス、またはカテゴリごとに定義できます。 さらに、システム全体に影響を与えるデフォルトポリシーと上書きポリシーがあります。 システムには、ポリシーごとに事前定義のデフォルトがあります。 これらは専用のエントリから簡単に変更できます。 上書きについて - これは管理者にシステム全体のフルコントロールを可能にする非常に便利なツールです。 システムデフォルトおよび上書きポリシーの詳細については、以下を参照してください。
ポリシーは、特定の プロファイル またはデフォルトの All のプロファイルごとに定義できます。
「ポリシー」テーブルには、ドメイン、IPアドレス、およびカテゴリのリストと、定義済みのポリシーが含まれています。 カテゴリが無効になっている場合( Settings セクションの設定)、通知が表示され、テーブルにはドメイン/ IPアドレスのみが含まれます。 特定のエントリがドメイン/ IPアドレスを表しているのかカテゴリを表しているのかを識別するためには、 Type アイコンを使います。
上のバーにはプロファイルフィルタと利用可能なアクションがあります: Add New Domain 、 Add New Category 、 Delete 、 Export Policies と Import Policies です。 さらに、検索ボックスがあり、特定のドメイン/ IPアドレスまたはカテゴリを検索できます。
利用可能なポリシー¶
次のポリシーは、システムデフォルトレベルまたは特定のドメインのいずれかで使用できます。
アクセス - ドメインが次のいずれの動作をするかを定義します。
- Shield - Ericom Shield経由で開く
- ホワイト - Ericom Shieldを経由せず直接開く
- ブラック - 完全に遮断する
ダウンロード – 指定されたドメインからファイルをダウンロードしてサニタイズするかどうかを定義します。指定できる値は次のとおりです。
- 有効 - ファイルがダウンロードされます(サニタイズなし)
- サニタイズ - ファイルはサニタイズされ、サニタイズが成功した場合はファイルがダウンロードされます。
- プレビュー - ファイルは(専用のPDFビューアで)プレビューすることしかできません。 ダウンロードすることはできません。
- 無効 - ファイルをダウンロード、サニタイズ、プレビューできません。
参考
ダウンロードポリシーは印刷ポリシーに影響します。
印刷 - ファイルを印刷できるかどうかを定義します。ファイルを印刷する場合は、最初にダウンロードしてから印刷するので、ダウンロードポリシーは印刷ポリシーに影響します。指定できる値は次のとおりです。
- 有効 - ダウンロードポリシーに関係なく、印刷は常に可能です。
- 保護 - ダウンロードが許可されている場合にのみ印刷が許可されます(有効/サニタイズ)。 ダウンロードが許可されていない場合は、印刷も無効になります。
- 無効 - 印刷は完全に無効です。
アップロード - 特定のドメインにファイルをアップロードできるかどうかを定義します。 可能な値:有効 / 無効
サスペンド - アイドル状態の場合、ドメインが中断されるか(特定のタイムアウトに応じて)、またはアクティブのままであるかどうかを定義します。 可能な値は次のとおりです。
- 有効 - ドメインは、 R/OおよびR/Wタイムアウトに達するまで、アイドルは中断されます。(詳細は リソース セクションを参照してください。)
- 3つの利用可能なタイムアウト - 1時間/ 4時間/ 8時間
- 無効 - ドメインは終了タイムアウトに達するまでアクティブのままです(システムアイドルタイムアウトにいます)。
サブドメイン - ドメインのサブドメインが含まれるかどうかを定義します。 たとえば、example.comがドメインとして定義され、サブドメインが含むの場合、example.comに定義されているすべてのポリシー値によってwest.example.comとeast.example.comの両方が含まれ、影響を受けます。 明示的にドメインセクションに追加する必要はありません。
参考
サブドメイン が 除外 の場合、正確な 特定のドメインのみが照合されます。 例えば、 example.comがドメインとして定義され、サブドメイン が 除外 の場合、www.example.comはポリシーと一致しません。
- クリップボード - クリップボードの使用を有効または無効にします。
参考
クリップボードポリシーはテキストと画像の両方に影響します。 クリップボードを無効にすると、テキストや画像のリモートブラウザへのコピーおよび貼り付けができなくなります。 この場合、これらのオプションは内部的に利用可能です(リモートブラウザ内のみ)。
- クッキー - クッキーの使用を有効または無効にします。(双方向)
参考
ほとんどのサイトではCookieを使用した認証が使用されているため、Cookieをグローバルにブロックするとこれらのサイトは使用できなくなります。 ただし、Cookieをブロックする主な理由は、Cookieをトラッキングしないようにすることです。不正使用やリターゲティング(過去の検索などに基づいて迷惑な広告を受け取る)につながります。 すべてのCookieをブロックすると、組織が必要とするサイトで問題が発生する可能性があるため、ブラックリストとホワイトリストのポリシーが両方の世界のベストを提供できます。
証明書 - HTTPSドメインに信頼できる証明書があることを確認するか、証明書に関連するエラーを無視する(安全性が低い)か、エラーがあった場合にブロックするかを設定します
レンダリング - コンテンツのレンダリング方法を定義します。次の 3 つのオプションを使用できます。
- フレーム - すべてのブラウザコンテンツがフレーム(画像)として転送されます。DOM 要素、CCS、内部ロジック、および API 呼び出しはクライアントからは非表示になります。
- ストリーム - すべてのメディア要素が直接ストリーミングされます。その他の要素はフレームとして転送されます。
- クリスタル - ブラウザのコンテンツの一部は、DOM要素とCCS(安全と見なされる)などのHTML要素を、現在どおりに表示されます。潜在的に有害と見なされるその他の要素 (内部ロジックと API 呼び出し) は、クライアントから非表示になります。これはテクニカル プレビュー機能で、テクニカル プレビュー機能が有効になっている場合にのみ使用できます。
広告ブロック - ウェブサイトの広告を有効または無効にします。 広告がリソースを消費してパフォーマンスを低下させる可能性があるためブロックすることを強くおすすめします。(デフォルトで有効)
参考
そのような場合は、そのサイトに広告を有効にするための特定のポリシーを追加します(広告ブロック=無効)。 エンドユーザーは、右クリックメニューオプションの 「広告ブロックの一時停止&再読み込み」を使用して、閲覧中に広告を無効にすることができます。 これは、現在のセッションにのみ影響します。
システムデフォルト¶
システムデフォルトポリシーは、テーブルの最初の行に表示されます(緑色)。 デフォルトでは、すべての新しいドメインは All プロファイルに関連付けられています。
デフォルトのいずれかを変更するには、特定のオプションをクリックして、ドロップダウンリストから新しい値を選択します。 これは、このポリシーのデフォルト値を持つテーブル内のすべてのドメイン/カテゴリに影響します。 定義済みの値を持つドメイン/カテゴリは影響を受けません。
値の上書き¶
特定のポリシー値を定義するには、[上書き]オプション(2行目、赤)を使用します。すべてのドメイン/カテゴリに対してただちに有効になります。 セキュリティ違反、会社の方針の変更など、全体的な変更が必要な場合に非常に便利です。
上書きを適用するには、特定のオプションをクリックして、ドロップダウンリストから目的の値を選択します。 オーバーライド値が設定されると、オーバーライド値が設定されたことを視覚的に強調するために、列全体が赤でマークされます。 上書き値は、テーブルに定義されているドメイン/カテゴリだけでなく、システム全体に影響します。
上書きの値は既存のポリシー値よりも優先され、 変更を迅速に適用するための効率的な方法として提供されます。これによりリスクの高い可能性がある脅威が存在する間の保護を向上させます。
上書き値を削除してシステムを以前の設定に戻すには、値のドロップダウンリストを開いて空の(最後の)オプションを選択します。
上書きの値が削除され、以前に設定された値が取得され、テーブルに表示されます。
プロファイルポリシーの表示¶
このプロファイルポリシーを表示するには、プロファイルフィルタで目的のプロファイルを選択します。 利用可能なオプションは、システムで定義されているプロファイルに従います。 デフォルト値およびオーバーライド値はプロファイルごとに保持されます。 プロファイル定義の詳細については、 プロファイル を参照してください。 新しいポリシーを追加することによって、または既存のものを変更することによって、特定のプロファイルのポリシーを定義することが可能です。
ポリシー階層¶
システムに存在するより詳細な特定の規則が優先されます。
エンドユーザーが特定のドメインを参照すると、このドメインへのアクセス方法(およびどのポリシーを参照するか)を決定するために、次の手順が実行されます。
- まず、ドメインがポリシーテーブルで検索されます。 特定のルールに一致した場合 - 定義されたポリシーに従って行動します。
- それ以外の場合、ドメインのカテゴリはポリシーテーブルで検索されます。一致する場合、定義されたカテゴリポリシーに従って動作します。
- そうでない場合は、システムデフォルトポリシー値に従って動作します。
新しいポリシーの追加¶
新しいドメインの追加¶
ポリシーテーブルにドメインを追加するには、 Add New Policy アイコンをクリックしてください。
次のダイアログボックスが開きます。
ダイアログが開き、現在のシステムのデフォルトオプションが適用されます(選択したプロファイルごとに)。 Domain Addresses フィールドにドメインを追加してください。 新しい行で区切って複数のアドレスを追加することができます。 ドメインは全体を参照するための値、たとえば bbc.com や www.bbc.com などが設定可能です。特定のURL(例:http://www.bbc.com/news/ )はサポートされていません。ドロップダウンリストの値を使用して、このポリシーに必要なオプションを定義します。 完了したら、Add ボタンをクリックします。
参考
IP アドレスもサポートされています。
追加されたドメイン/ IPアドレスは、重複がないことを確認するために検証されます。 これは、同じドメイン/ IPアドレスにオプションが複数のポリシーに適用されるのを防ぐためです。これにより、そのドメインへの接続でエラーが発生する可能性があります。 同じドメイン/ IPアドレスが 異なる プロファイルで表示されることがあります。 これは 重複とはみなされません 。
重複が存在する場合は、ドメインがすでに存在することを示すメッセージが表示されます(特定のプロファイルごとに検証されます)。 ダイアログボックスが開いたままになり、ユーザは入力された詳細を変更できます。
検証チェックが正常に完了すると、ダイアログが閉じて新しいドメインがテーブルに表示されます。 上書き値が設定されている場合を除き、各ドメインポリシーはシステムデフォルトポリシーよりも優先されます。
アクセスポリシーにドメインが white と表示されている場合は、管理者に特定のドメインのみが許可されており、そのサイトからのリダイレクトは、同様に white として記載されたドメインでなければ、許可されないことを通知します。また、ポリシーが表に表示されると、ホワイトリストに登録されているドメインに対して効果のない設定が、打消し線でマークされます。
新しいカテゴリーを追加¶
ポリシーテーブルにカテゴリを追加するには、 Add New Category アイコンをクリックしてください。このアイコンは有効なアドオンライセンスが存在する場合にのみ有効です。
次のダイアログボックスが開きます。
現在選択されているポリシーのデフォルト値(選択したプロファイルに一致するもの)が適用されたダイアログが開きます。 Category Name フィールドで利用可能なドロップダウンリストからカテゴリを選択してください。 複数選択が(CTRL /シフトキーを使用して)利用可能であるので、同時に複数のカテゴリを追加することができます。 必要に応じて(値のドロップダウンリストを使用して)さまざまなポリシーを変更するか、デフォルトのままにします。 完了したら、 Add ボタンをクリックしてください。
追加されたカテゴリは、重複がないことを確認するために検証されます。 これは、同じカテゴリが複数の定義を持つのを防ぐためです。ドメインがそのカテゴリに属すると識別されると、エラーが発生する可能性があります。 同じカテゴリが 異なる プロファイルで表示されることがあります。 これは 重複とは見なされません 。
重複が存在する場合は、そのカテゴリがすでに存在することを示すメッセージが表示されます(特定のプロファイルごとに検証されます)。 ダイアログは開いたままなので、ユーザーは入力した詳細を変更できます。
検証チェックが正常に完了すると、ダイアログが閉じ、新しいカテゴリがテーブルに表示されます。
既存ポリシーの編集¶
ポリシーがテーブルに追加されると、テーブル自体から直接更新できます。 すべての列は編集可能です。 特定のドメイン/カテゴリポリシーを更新するには、更新するエントリをクリックして(ワンクリックのみ)行全体が編集可能になります。
[ドメイン]列と[コメント]列はフリーテキスト入力フィールドで、他の列には選択可能な値のドロップダウンリストがあります。
特定の行の更新が完了したら、行の外側(テーブルの他の場所)をクリックして、更新された値を検証し(新しいドメインを追加したときと同じチェックを実行し)、コミットします。
参考
このセクションで行われた各更新は、検証およびコミットされると、適用するまでにしばらく時間がかかる場合があります。さらに、変更は新しいセッションにのみ関連します。これらの変更は、実行中のセッションには影響しません。
事前定義ポリシー¶
Shieldには、最初にいくつかの定義済みドメイン/ IPアドレスポリシーが付属しています。 また、カテゴリが有効になっている場合は、[ポリシー]テーブルに含まれています。 これらの事前定義ポリシーは以下のとおりです。
- detectportal.firefox.com - このサイトはFirefoxが captive portal を使用しているかどうかを検出するときにFirefoxによって使用されます。 このサイトは一般的に使われており、Shieldでは期待通りに動作するはずです - デフォルトでは ホワイト です。
- safebrowsing-cache.google.com - セーフブラウジングはGoogleのサービスで、ブラウザでブロックすることでスパムサイトやフィッシングサイトに対抗するのに役立ちます。 Shieldされていると、このサービスは予期しない動作を引き起こします。 このサイトは一般的に使われていて非常に有益なので、デフォルトでは ホワイト です。
- IPアドレス169.254.169.254 - このIPは、メタデータをクラウドインスタンスに配布するために、いくつかのクラウドコンピューティングプラットフォーム(例:Amazon EC2)で使用されます。 Shieldにおいては、Shieldメタデータを部外者の手の届かないよう保護するために、デフォルトで ブロック されています。