1
HOME-UNIT クイックガイド
Ver2.0§HOME-UNIT でできること
1. HOME-UNIT とは HOME-UNIT は、1台で企業のセキュリティレベルを複合 的に高め、社外からの様ざまな脅威や、社内からの情報漏 えい、セキュリティ事故に備えます。 また、その運用管理もHOME コンタクトセンター(以下、 HOME-CC といいます)で集中して行いますので、複雑な 設定や操作が不要で安心してご利用いただけます。 2. HOME-UNIT の機能 HOME-UNIT は、お客様に次の機能をご提供します。 ■ファイアーウォール 社外との通信を制御し、悪意あるインターネットトラフィ ックがネットワークに侵入するのを防ぎます。 ■アンチウイルス 電子メールの送受信やWeb 閲覧を監視し、万一コンピュー タウィルスやスパイウェアが含まれているときはそのウイ ルスを削除します。定義ファイル未更新や USB メモリー からの感染をきっかけにしたウイルスの流出も防ぎ、企業 がセキュリティ対策不足による加害者になるのを防ぎます。 ■アンチスパム 日々送信される迷惑メールを差出人や、文面などから判定 し、振分等をおこない易いようにタグ付けをおこないます。 別途、送信者/IP アドレスブラックリストを使用した対策も 可能です。 ■Web フィルタリング 暴力性のあるサイトや、フィッシングなどの違法なサイト、 アダルトサイトなどの閲覧をカテゴリ単位で禁止します。 また、オークションや株取引などのカテゴリの禁止や、特 定の URL の閲覧許可などにも対応可能です。仕事上不要 なサイトアクセスを制限することで仕事の効率を高め、イ ンターネットを経由した情報漏えいの抑止にもお役立てい ただけます。 ■不正侵入検知/防御 ファイアーウォールが許可した通信サービスを、監視カメ ラのようにチェックして、不適切な通信の可能性や攻撃、 不正侵入の試みを判断して警告します。また社内ネットワ ークからWinny などファイル交換ソフトや、メッセンジャ ーソフトの通信を遮断し利用できなくすることも可能です。 3. ご利用環境 HOME-UNIT の設定は、HOME-CC で実施しますので、一 部の用途を除いてお客様が HOME-UNIT を操作すること はありません。 4. ファイアーウォールの利用 HOME-UNIT は、原則社内からの通信は全て許可した上で、 セキュリティチェックをおこなっています。また、社外か ら社内への通信はすべて遮断しています。 万が一、HOME-UNIT の利用開始後に特定のアプリケーシ ョンが起動しなくなった、エラーが発生するようになった、 という現象が発生した場合、HOME-UNIT の設定を変更す る必要がありますので、HOME-CC にお電話またはメール でご相談ください。 5. アンチウイルスの利用 HOME-UNIT では、HTTP、FTP、IMAP、POP3、SMTP、 IM、NNTP のプロトコルを利用した通信に対して、ウイル ス検疫をおこない、脅威の侵入と流出を防ぎます。 ウイルスを検知した場合は、感染ファイルを削除し、メー ルにてお知らせします。(メールによるお知らせは、希望 された場合に限ります。) ただし、標準仕様としてHTTPS による通信、分割メール、 1 つのデータ容量が 10MB を超えるものについては、ウイ ルス検疫の対象外となります。 ※一般的にウイルスは感染する速度や範囲を考慮し、可搬性が重要視される ため、単一データのサイズはKbyte~数 Mbyte までとなる傾向にあります。 また、一般的に10MB を超過するファイルはメールでやり取りされることは 少なく、ダウンロードが主となります。Web フィルタリング機能によって感 染ファイルが配置されている可能性がある有害サイト閲覧を禁止し、不正侵 入検知機能で不正な自動ダウンロードを遮断することで、複合的にリスクの 低減が可能です。 ※ご希望に応じて、上限を10MB から 24MB までの範囲で変更が可能です が、本体に大きな負荷がかかりますので、変更は推奨しておりません。 上限変更を希望する場合は、HOME-CC までお問い合わせください。 6. アンチスパムの利用 HOME-UNIT では、POP、IMAP で送受信されるメールに 対して迷惑メール判定をおこなっています。 POP/IMAP の場合:(受信) 件名の頭に“[*SPAM] ”のタグ付けをおこないます。 ※Gmail などの Web メールをブラウザを用いて送受信する場合は、本機能 をご利用できません。 7. Web フィルタリングの利用 利用者があらかじめ閲覧禁止カテゴリに属するサイトにア クセスした場合、HOME-UNIT がその閲覧をブロックし、 閲覧した記録をメールにてお知らせします。(メールによ るお知らせは、希望された場合に限ります。) HOME-UNIT によりブロックされているサイトを URL 単 位で許可したい、またはブロックするサイトをURL 単位で 追加したい場合には、HOME-CC へご相談ください。 8. 不正侵入検知/防御 社外や社内からの不正な通信や、Winny などの P2P アプリ ケーションなどの特定プログラムの通信を遮断します。不 正な通信を検知した場合は、通信を遮断し、メールにてお 知らせします。(メールによるお知らせは、希望された場 合に限ります。)2
§HOME-UNIT を利用した迷惑メール
対策(受信)
1. ご利用に際して HOME-UNIT は、受信メールが迷惑メールであると判定し た場合、そのメールの件名の頭に“[*SPAM] ”の文字を 自動的に付加し、そのままPC に送信されます。 そのため、ご利用者ご自身のPC で受信したメールを迷惑メ ールフォルダに振り分ける必要があります。 ※お客様ご自身にとって必要なメールが迷惑メールとして判定されること があります。かならず、フォルダに一旦振り分けていただき、内容を確認し てから削除するようにしてください。 次章以降の内容を参照し、お客様ご自身でメール振分の設 定をおこなってください。 2. Windows Live メールの場合の振分設定 Windows Live メールを起動し、以下の設定をおこないます。 ■振分フォルダの作成 ① メニューバーの「フォルダー」→「フォルダーの作成」 をクリックで、適当なフォルダ名(例:迷惑メール)を 入力し迷惑メールを格納するフォルダを作成します。 ■振分ルールの作成 ① メニューバーの「フォルダー」→「メッセージルール」 をクリックします。 ② 『新規のメール ルール』の画面が開きますので、ルー ルの条件で「件名で指定した文字列が含まれる」にチェ ックを入れ、ルールのアクションで、「指定したフォル ダーに移動する」にチェックを入れます。 ③ “件名に指定した言葉が含まれる場合”の青文字をクリ ックします。『単語の入力』画面が開きますので、入力 欄に “SPAM”(半角アルファベット 4 文字)と入力 し、「追加」をクリックし、単語の登録をおこない「OK」 をクリックします。 ④ 次に、“指定したフォルダーに移動する”の青文字をク リックし、作成した振分フォルダを指定します。 ⑤ 任意の名称(例:HOME)で作成したルールを保存しま す。 以上で、設定は終了です。 3. Microsoft Outlook 2010 の場合の振分設定 Microsoft Outlook 2010 を起動し、以下の設定をおこない ます。 ■振分フォルダの作成 ① フォルダを作成したい親フォルダ選択し、『フォルダー』 タブに移動し、一番左にある「新しいフォルダ」を選択 し、『新しいフォルダーの作成』画面を開きます。 ② 適当なフォルダ名(例:迷惑メール)を入力し迷惑メー ルを格納するフォルダを作成します。 ■振分ルールの作成 ① メニューバーの「ファイル」をクリックし、「仕分けル ールと通知の管理」をクリックし、表示された画面の[新 しい仕分けルール]をクリックします。 ② 『自動仕分けウイザード』の画面が開きますので、ステ ップ1 の欄で「件名に特定の文字が含まれるメッセージ をフォルダーに移動する。」をクリックします。 ③ “[件名]に特定の文字が含まれる場合“の青文字をクリ ックします。『文字の指定』画面が開きますので、入力 欄に “SPAM”(半角アルファベット 4 文字)と入力 し、「追加」をクリックし、単語の登録をおこない「OK」 をクリックします。 ④ 次に、“指定フォルダへ移動する”の青文字をクリック し、作成した振分フォルダを指定します。 ⑤ 任意の名称(例:HOME)で作成したルールを保存しま す。 以上で、設定は終了です。3 4. Mozilla Thunderbird の場合の振分設定 Mozilla Thunderbird を起動し、以下の設定をおこないます。 ■振分フォルダの作成 ① メニューの「ファイル」から「新規作成」、「フォルダ」 を選択し、『新しいフォルダ』画面を開きます。 ② 任意の親フォルダを指定し、適当なフォルダ名(例:迷 惑メール)を入力し迷惑メールを格納するフォルダを作 成します。 ■振分ルールの作成 ① メニューの「ツール」から「メッセージフィルタ」を選 択し、『メッセージフィルタ』画面を開きます。「新規 ボタン」をクリックし、『フィルタの設定』画面を開き ます。 ② 任意の名称でフィルタ名(例:HOME)を入力し、「件 名」に「次を含む」を選択後、入力欄に “SPAM”(半 角アルファベット4 文字)と入力します。 ③ 動作を設定する欄で、「メッセージを移動する」を選択 後、作成した振分フォルダをプルダウンで選択し、「OK」 をクリックします。 以上で、設定は終了です。
4
§アラートメールの解説と確認方法
1. HOME-UNIT アラートメールについて サービス申込時にお客様にご要望いただいた場合に限り、 ご指定のメールアドレスにHOME-UNIT からアラート メールが自動送信されます。 送信するアラートメール ◎ ウイルス検知 通知 ◎ コンテンツフィルタブロック検知 通知 ◎ 不正侵入検知 通知 なお、このメールの設定はサービスご利用中に停止/再開 のご相談をいただくことで変更が可能です。 2. アラートメール文面例 HOME-UNIT で検知されたログは、以下のようなメール文 面でご登録いただいたメールアドレス宛に送信されます。 代表的なメール文面をご紹介します。件名はすべて「Message meets Alert condition」になりま す。 ■ウイルス検知アラートメール ・④の日時に ・②から③に送信されたメールに ・①のウイルスに感染した可能性のある添付ファイルを検 知したためブロックした。 ※②:ウイルスの感染経路です。IP アドレスのみが表記されている場合 は直接的な攻撃、送信元メールアドレスが記載されている場合は、メー ル経由での感染となります。 ■ウイルス検知アラートメール(一部のお客様のみ対象) ・④の日時に ・②のIP アドレスから③の IP アドレスへ ・インターネット上(⑤)からダウンロード(⑥)した① のファイルが規定値(10MB)を超える容量で有ったため ・ウイルスチェックの対象外とした。 ■不正侵入検知通知アラートメール ・②の日時に ・③のIP アドレスのユーザが ・インターネット利用(①)の際に ・侵入攻撃を受けたためブロックした ■Web フィルタブロック通知アラートメール ・①の日時に ・③のIP アドレスのユーザが ・アクセスしたインターネットサイト(④+⑥)が ・コンテンツフィルタで「許可しない」の設定をしたカテゴ リ(⑤)のサイトであったため閲覧をブロックした(②) ※:カテゴリ別の代表的な表記(cat_desc) ・犯罪暴力:Occult、Drug Abuse ・アダルト:Adult Materials、Pornography、Nudity and Risque ・不正技術:Malware、Spyware
Message meets Alert condition
HOME UNIT は、ウィルス/ワームに感染した可能性のあるファイルの通過をブロックしました。 ウィルス/ワーム名: W32/Virut.A 送信元IP: 192.168.24.57 送信先: 122.28.30.139 送信元メールアドレス: "*****@*****.com" 送信先メールアドレス: "****@****.ocn.ne.jp" (以下の情報は HOME-CC が使用します。) http://www.fortinet.com/ve?vn=W32%2FVirut.A
2010-0*-** 14:**:28 device_id=FGT50B3G0962**** log_id=0***060000 type=virus subtype=infected pri=warning vd=root policyid=1 serial=10396** user="N/A" group="N/A" src=192.168.24.57 sport=49642 src_int="internal" dst=122.28.30.139 dport=110 dst_int="wan1" service="pop3" status=blocked from="****@****.com" to="*****@****.ocn.ne.jp" file="data.zip" virus="W32/Virut.A" ref="http://www.fortinet.com/ve?vid=252377" msg="File is infected."
① ②※
③
④
Message meets Alert condition
HOME UNIT は、上限サイズ(10MB)を超えるサイズの通信を検知しました。 検知したファイル: "camtasiajp.msi"
送信元IP: 192.168.1.53 送信先 IP: 68.232.45.133 送信元メールアドレス: "N/A" 送信先メールアドレス: "N/A" (以下の情報は HOME-CC が使用します。)
2010-0*-** 15:**:16 device_id=FGT50B3G106***** log_id=021***6000 type=virus subtype=oversize pri=notice vd=root policyid=1 serial=2113** user="N/A" group="N/A" src=192.168.1.53 sport=1998 src_int="internal" dst=68.232.45.133 dport=80 dst_int="wan1" service="http" status=passthrough file="camtasiajp.msi" url="http://download.techsmith.com/camtasiastudio/jpn/camtasiajp.msi" ref="n/a" msg="File exceeds size limit."
① ② ④
⑤ ⑥
③
Message meets Alert condition
HOME UNIT は、外部からの侵入の可能性のある通信を検知しました。 検知した通信: "web_server: HTTP.If.Modified.Since.Header.Too.Long". (以下の情報は HOME-CC が使用します。)
2010-0*-** 1*:15:** device_id=FGT50B3G096***** log_id=041*070*** type=ips subtype=signature pri=alert vd=root policyid=1 serial=24965** attack_id=15042 severity=high src=192.168.1.20 dst=124.83.207.218 src_port=53051 dst_port=80 src_int="internal" dst_int="wan1" status=detected proto=6 service=http user=N/A
group=N/Aref="http://www.fortinet.com/ids/VID15042"count=1msg="web_server:HTTP.If.Modified.Since.Header.Too.Long"
② ①
③
Message meets Alert condition
2010-0*-** *5:26:** device_id=FGT50B3G09****** log_id=0*16*99*** type=webfilter subtype=ftgd pri=notice vd=root policyid=1 serial=14789** user="N/A" group="N/A" src=192.168.1.209 sport=1327 src_int="internal" dst=112.78.124.2** dport=80 dst_int="wan1" service="http" method="domain" cat=2 cat_desc="Occult" hostname="img.dailyfortune.jp" status=blocked url="/banner/135x45.gif" msg="URL belongs to a denied category in policy"
① ②
③
⑤※ ④
5
§HOME-UNIT 内に記録されているロ
グの確認
1. HOME-UNIT 内のログについて HOME-UNIT には、一定期間検知したログを保存できます。 ただし、保存できるログ数には限りがあり、標準 HOME- UNIT では、約 200 行のログとなります。 また、このログはエクスポートなどをおこなうことが出来 ない為、画面での確認と、コピー&ペーストによるテキス トファイルへの保存のみがおこなえます。 2. ログ確認PC の動作条件 以下のブラウザを推奨します。 Internet Explorer 8 以降 FireFox 3.5 以降 ※その他のブラウザでの閲覧は可能ですが、表示速度が遅い、画面が崩れる 等の不具合が出る場合があります。 3. ログを確認する為の管理サイトへのログイン HOME-UNIT と同一ネットワーク内の PC から、ブラウザ を起動し、URL 欄に「http://192.168.1.99※」(IP アドレ スはHOME-UNIT の IP アドレスを指定下さい。)を入力 し「Enter」キーを押下します。 以下のいずれかのログイン画面が起動しますので、 ID:home パスワード:home で「ログイン」をクリックします。 (以下の画面の場合、バージョンAの手順へ) (以下の画面の場合、バージョンB の手順へ) 4. ログの確認(バージョンA) ① サイドメニューから「ログ&リポート」、「ログアクセ ス」を選択し、「メモリ」タブをクリックします。 ② ログタイプをプルダウンで選択することで、Web フィル タやウィルス、不正侵入(IPS)のログ検知状況を確認 することができます。 ※ログ環境設定など、他の設定についても閲覧はできますが変更することは できませんので、変更の必要がある場合は、HOME-CC へご連絡ください。 5. ログの確認(バージョンB) ① サイドメニューから「ログ&リポート」、「ログアクセ ス」を選択します。 ② ログタイプを選択することで、Web フィルタやウィルス、 不正侵入(IPS)のログ検知状況を確認することができ ます。 ※ログ環境設定など、他の設定についても閲覧はできますが変更することは できませんので、変更の必要がある場合は、HOME-CC へご連絡ください。6
§リモートアクセスの利用(PC)
1. HOME-UNIT のリモートアクセスについて HOME-UNIT の拡張サービスを利用すると、社外のネット ワークにいるPC から、HOME-UNIT を経由して社内ネッ トワークに接続することができます。 HOME では、PC の接続用に専用のアプリケーションとし て「FortiClient」を利用します。 ※「FortiClient」をインストールできる PC に上限はありませんが、社内ネ ットワークに同時に接続出来る台数に限りがあります。上限数は、契約内容 をご確認ください。 2. FortiClient の動作環境 「FortiClient」は以下の環境での動作を保証します。 ● Windows XP、Windows Vista、Windows 7(32bit/64bit 共通) 3. PC のリモートアクセスセットアップ ① HOME-PORTAL のヘルプ画面から、「HOME-UNIT」、 「●FortiClient のインストール」を選択します。 ② 「32bit 版」、「64bit 版」の適合する方を選択し、イ ンストールプログラムをダウンロードします。 ③ ダウンロードしたインストーラを起動します。 32bit 版:FortiClientSetup_4.2.3.0271.exe 64bit 版:FortiClientSetup_4.2.3.0271_x64.exe ④ インストールするパッケージについて選択画面が表示 されます。HOME では IPSec のみの利用ですので、そ のまま「OK」をクリックします。 ⑤ セットアップが開始されますので、「次へ」をクリック します。 ⑥ インストールタイプ:「フリーエディション」を選択し て「次へ」をクリックします。 ⑦ 「ソフトライセンス条項に同意します」にチェックして 「次へ」をクリックします。 ⑧ セットアップの種類:「カスタム」を選択します。
7 ⑨ IPSec VPN 以外の機能について、「この機能のすべて のコンポーネントを使用できないようにします。」を選 択し、「次へ」をクリックします。 ⑩ インストールを開始します。「インストール」をクリッ クしてください。 インストールが完了しました。「完了」をクリックして ください。 ⑪ インストール後、設定ウィザードが表示されます。「詳 細設定」を選択し、「次へ」をクリックします。ウィザ ードで表示される設定は変更せず、ウィザード終了まで 進んでください。 ⑫ FortiClient のアップデート禁止します。 [一般] -> [更 新]の「新しいバージョンの FortiClient が利用可能な場 合」にて、”ダウンロード、インストールする前に通知 する”を選択してください。また、「更新スケジュール」 にて、「スケジュール更新を有効にする」のチェックを 外し、[適用]をクリックします。
8 ⑬ 一部のクライアント常駐ソフトウェアと干渉する恐れ のあるサービスを停止します。[一般] -> [ヘルプ/サポー ト]にて、[診断]をクリックし、表示されるポップアップ にて、”FortiProxy を有効化する”のチェックを外し、 「OK」をクリックしてください。 以上でFortiClient のインストールは完了です。 4. 社内のリモートアクセスの実行 ① 社外のインターネットが利用できる環境で FortiClient を起動します。 ※社内ネットワークに接続されている状態での実施はお控ください。 ② [VPN] -> [接続]にて、[詳細] -> [追加] をクリックし、 接続設定をおこないます。 設定項目 設定内容 接続名 任意の名称を入力します。 例:HOME VPN タイプ "自動 IPSec"を選択します。 ポリシサーバ 『HOME 設定内容ご確認書』に記載する、 リモートアクセス接続用 IP アドレスを指定します。 ③ 作成したポリシーを選択し、「接続」をクリックします。 ④ ユーザ名とパスワードの入力を求めるポップアップが 表示されます。『HOME 設定内容ご確認書』に記載す る、リモートアクセス用ユーザ名および、パスワードを 入力し、「OK」をクリックしてください。 ⑤ 接続が完了すると、ステータスが”アップ”と表示され ます。 以上で社内のネットワークに接続できるようになりま した。ファイルサーバなどに接続したい場合は、エクス プローラーなどからファイルサーバのIP アドレスやホ スト名を直接入力してアクセス出来るかどうか、ご確認 ください。 ※ステータスがアップになっても、社内のネットワークに接続出来な い場合、社内のサーバやPC 側で設定が必要な場合があります。その 際は、お客様責任でPC、サーバ側の設定をおこなっていただきます。
9
§リモートアクセスの利用
(iPhone/iPad)
1. HOME-UNIT のリモートアクセスについて
HOME-UNIT の拡張サービスを利用すると、お手持ちの iPhone や iPad から HOME-UNIT を経由して社内ネットワ ークに接続することができます。 ※iPhone、iPAD を社内ネットワークに接続した後、ファイルサーバなどに 接続する方法についてはHOME のサービスとしてはサポート外となります。 お客様責任で、アプリケーションのインストールや接続設定等をおこなって いただきます。 2. iPhone/iPad の設定 ① 「設定」アプリを起動し、[一般]>[ネットワーク]>[VPN] にて、「VPN 構成を追加」をタップします。 ② 「IPSec」を選択し、次のパラメータを入力し、「保存」 をタップします。 設定項目 設定内容 説明 任意の値 サーバ 『HOME 設定内容ご確認書』に記載する、 リモートアクセス接続用 IP アドレスを入力します。 アカウント 『HOME 設定内容ご確認書』に記載する、 リモートアクセス用ユーザ名を入力します。 パスワード 『HOME 設定内容ご確認書』に記載する、 リモートアクセス用パスワードを入力します。 グループ名 (空白) シークレット 『HOME 設定内容ご確認書』に記載する、 シークレットキーを入力します。 ③ iPhone/iPad に設定が追加されたことを確認します。 以上でiPhone/iPad の設定は修了です。 3. iPhone/iPad からのリモート接続 ① 「設定」アプリを起動し、[一般]>[ネットワーク]>[VPN] にて、VPN のスイッチをスライドすると接続が開始さ れます。「状況」が”接続中”となれば、接続完了です。 ※前章でパスワードを空欄としていた場合、パスワードの入力が求めら れます。 ※VPN 接続を終了する場合は、VPN のスイッチをオフにスライドして ください。
