McAfee Web Gateway Cloud Service Product Guide

McAfee Web Gateway Cloud Service Product

Guide

著作権

Copyright © 2018 McAfee LLC 商標帰属

McAfee および McAfee ロゴ、McAfee Active Protection、ePolicy Orchestrator、McAfee ePO、Foundstone、McAfee LiveSafe、McAfee QuickClean、McAfee SECURE、 SecureOS、McAfee Shredder、SiteAdvisor、McAfee Stinger、TrustedSource、VirusScan は、McAfee LLC または米国およびその他各国の支社の商標です。 その他の商標 およびブランドはその他に属する所有権として申し立てることができます。 使用許諾に関する情報 使用許諾契約 全ユーザーへの注意事項：購入された使用許諾に対応する適切な法的取り決めを熟読してください。これには使用許諾を受けたソフトウェアの使用に関する一般取引条件が 明記されています。 獲得した使用許諾の種類が不明な場合は、セールスおよびその他関連するライセンス許諾に問い合わせるか、ソフトウェアに付属の発注書、または購入 時に別途受領した文書（パンフレット、製品CD ファイル、ソフトウェアパッケージをダウンロードしたウェブサイトから入手可能なファイル）を参照してください。 取り 決めに明記された条件に同意できない場合は、ソフトウェアをインストールしないでください。 該当する場合、MCAFEE または購入店に製品を返却し、全額返金を請求でき ます。

目次

1 製品の概要 ₅ 概要 . . . 5 主な機能 . . . 6 仕組み . . . 7 2 ポリシー管理 ₉ グローバル ポリシー モデル . . . 9 ポリシー ブラウザーの使用 . . . 10 機能領域に対する機能ポリシーの設定 . . . 10 機能ポリシーの表示と編集 . . . 11 機能ポリシーのルールのタイプ . . . 12 例外を使用した複雑なルールの作成 . . . 17 [カタログ] ペイン . . . 17 選択リストによるリストの更新 . . . 18 クライアント システムでの SSL 証明書のダウンロードとインストール . . . 18

McAfee Skyhigh Security Cloud との統合 . . . 18

統合の概要 . . . 19 統合の設定 . . . 19 SAML 以外のテナントの Enterprise コネクターのユーザー アカウントの作成 . . . 20 サービス グループの [アクセス保護] ポリシーへの追加 . . . 20 リストの操作 . . . 21 McAfee 管理リストの操作 . . . 21 一般的なクラウド アプリケーションのホワイトリストの作成 . . . 21 サーバー IP 範囲の操作 . . . 22 URL リストの処理 . . . 24 ユーザー グループの利用 . . . 27 ルールの利用 . . . 29 ルールの追加 . . . 30 URL リストのインポートによるルールの作成 . . . 30 例外を使用したルールの作成 . . . 31 ルールの有効化または無効化 . . . 32 ルールの詳細の変更 . . . 32 ルールへのアクションの追加 . . . 33 アクションをプライマリ アクションに変更する . . . 34 ルールからのアクションの削除 . . . 34 ルールの並べ替え . . . 34 ルールの削除 . . . 35 機能ポリシーの利用 . . . 35 ポリシーの詳細の編集 . . . 35 ブロック ページの作成 . . . 36 ブロック ページの編集 . . . 37 ブロック ページの削除 . . . 38

ポリシーへのブロック ページの割り当て . . . 38 リストの作成 . . . 38 リストの編集 . . . 39 リストを削除する . . . 40 割り当てられたポリシーの変更 . . . 40 ユーザー アクションの表示と保持 . . . 41 監査ログのエクスポート . . . 41 エラー条件 . . . 41 3 認証 43 認証とポリシーに関する決定事項 . . . 43 認証プロセスの流れ . . . 44 IP 範囲による認証 . . . 45 IP 範囲による認証を有効にする . . . 46 IP アドレス範囲の設定 . . . 46 IP アドレス範囲のリストのインポート . . . 46 IP アドレス範囲のリストのエクスポート . . . 47 SAML 認証 . . . 47 SAML 認証の利点 . . . 47 SAML 認証 — 高度な手順 . . . 47 SAML 構成の概要 . . . 49 SAML 認証の構成要件 . . . 50 SAML 認証の設定 . . . 50 SAML 認証の設定 . . . 51 IPsec サイト間認証 . . . 53 IPsec サイト間認証の構成 . . . 53 IPsec サイト間認証に関する注意点 . . . 54 IPsec サイト間認証の有効化 . . . 54 IPsec ロケーションの追加 . . . 55 IPsec サイト間の設定 . . . 55 IPsec サイト間設定の変更 . . . 55 IPsec サイト間認証に SAML 認証を追加する方法 . . . 56 IPsec VPN トラフィックのためのポリシー ルールの設定 . . . 57 4 レポート 59 オンプレミス レポート . . . 59

McAfee WGCS を Content Security Reporter のログ ソースとして設定します . . . 59

独自のオンプレミス レポート ソリューションの使用 . . . 60

1

製品の概要

目次 概要 主な機能 仕組み

概要

McAfee®

Web Gateway Cloud Service (McAfee®

WGCS) はグローバルに利用可能な法人向けクラウド サービスで、詳 細なコンテンツ スキャンとその他の McAfee Web セキュリティ技術との統合により、包括的な Web 保護を提供しま す。 クラウド サービスは、組織内のユーザーが Web にアクセスしたときに発生するセキュリティ脅威から組織を保護し ます。 _{このサービスは以下の事柄を行います。} • ユーザーとクラウドの間の Web トラフィックをスキャンしてフィルタリングします • 設定したポリシーで許可されないトラフィックをブロックします • ネットワーク内外で作業するユーザー (コーヒー ショップやホテルで作業するユーザーなど) を保護します このサービスを使用すると、高度な脅威を防止し、組織のインターネットの使用ポリシーを作成して、生産性を向上 させることができます。 たとえば、ファイル アップロード Web サイトへのアクセスを制御できます。数百の Web コンテンツ、アプリケーション、およびメディア _{タイプのカテゴリを通して、ネットワーク内外における Web の使} 用を細かく制御できます。

クラウド

サービス プラットフォーム

クラウド プラットフォームで実行されるサービスとして、McAfee WGCS は、McAfee のセキュリティ エキスパート のチームにより 24 時間 365 日管理されます。 必要なのはサービス契約の購入だけです。ハードウェアやソフトウ ェアのインストールは必要ありません。

クラウド _{サービス プラットフォームは、接続拠点 (points of presence: PoP) と呼ばれる世界中に分散されたノード} で構成されます。 Global Routing Manager (GRM) とは、インテリジェントなトラフィック ルーティング、ロード シ ェアリング、フェールオーバーを行う DNS サービスです。 GRM により、トラフィックは最も効率の良い拠点にルー ティングされます。

管理プラットフォーム

クラウド サービスは、管理コンソールを使用して McAfee® ePolicy Orchestrator® Cloud (McAfee® ePO™ Cloud) プラ ットフォームから管理されます。 _{このサービスは、McAfee}® _{Client Proxy の有無にかかわらず配備できます。} Client Proxy ソフトウェア:

• 組織内のエンドポイントにインストールする、場所を認識するソフトウェアです。 組織内のユーザーがネットワ ーク外部で作業している場合、このソフトウェアは Web リクエストを McAfee WGCS にリダイレクトします。 • McAfee® _{ePolicy Orchestrator}® _(McAfee® _ePO™_{) サーバーまたは McAfee ePO Cloud プラットフォームから管理し}

ます。 _{McAfee WGCS は、管理しているのが McAfee ePO のオンプレミスまたはクラウドのどちらのバージョン} であっても、_{Client Proxy との統合が可能です。}

管理対象エンドポイント _{とは、McAfee ePO または McAfee ePO Cloud を使用して管理する組織内のクライアントま} たはユーザーのコンピューターです。

主な機能

McAfee では、McAfee WGCS セキュリティ技術を使用することによって主要なセキュリティ機能を提供します。 • URL フィルタリング — ホワイトリスト、ブラックリスト、および McAfee®

Global Threat Intelligence™

(McAfee GTI) により決定されるリスク レベルに基づくレピュテーション カテゴリを使用します • SSL スキャン — 完全な復号化とコンテツ検査を含みます • Web フィルタリング: • Web カテゴリ フィルターを使用した Web コンテンツ フィルタリング • アクセス保護を使用した Web アプリケーション フィルタリング • メディア タイプ フィルターを使用したメディア タイプ フィルタリング • マルウェア対策フィルタリング — 従来のウイルス対策と動作エミュレーション技術を使用してマルウェアをイ ンラインでブロックします • クラウド サンドボックス — サンドボックス環境で不明なファイルの静的な分析と動作分析を組み合わせて行い ます この機能を McAfee WGCS と統合するには、McAfee®

Cloud Threat Detection (McAfee®

CTD) のサービス契約が必 要です。

• SAML、IP 範囲、IPsec サイト間の認証 — クラウド アクセスをリクエストするユーザーを認証します

• レポート — 生産性、Web アクティビティ、Web ポリシーの適用、および Web セキュリティの概要を示します

McAfee Web セキュリティ技術

McAfee WGCS は、実証済みの McAfee の Web セキュリティ コンポーネントと技術により提供される情報とインテ リジェンスを使用します。 これらのコンポーネントと技術は、Web セキュリティ情報とインテリジェンスが変化す ると、動的にクラウド _{サービスを更新します。 このサービスと完全に統合されます。 ユーザー インターフェースで} 必要な設定は最小限です。

1

製品の概要

• McAfee GTI — Web サイトのレピュテーションを過去の動作に基づいて評価し、Web サイトを高/中/低および未 確認のリスクレベルのカテゴリに割り当てます。 McAfee GTI は、120 カ国以上の 1 億個以上のセンサーからのデ ータをリアルタイムで収集し、分析して、配布します。 • フィルター — 類似の Web サイト、Web アプリケーション、およびファイルの種類をグループに割り当てること により、ポリシー _{ルールを単純化します。} • Web カテゴリ フィルター — Web サイトをコンテンツに基づいてカテゴリに割り当てます。 このフィルタ ーを使用すると、ギャンブルサイトへのアクセスをブロックするなど、指定したコンテンツへのアクセスを許 可またはブロックすることができます。 • アクセス保護 — Web アプリケーションをタイプ別のカテゴリに割り当てます。 このフィルターを使用する と、アプリケーションを個別にあるいはカテゴリ別にアクセスを許可またはブロックできます。 たとえば、ク ラウド上のファイル共有アプリケーションへのファイルのアップロードをブロックできます。 • メディア タイプ フィルター — ファイルをドキュメントの種類またはオーディオやビデオのフォーマットに より分類します。 このフィルターを使用すると、ストリーミング メディアへのアクセスをブロックするなど、 指定した種類のメディアへのアクセスを許可またはブロックできます。

• Gateway Anti-Malware Engine — Web トラフィックをフィルタリングし、エミュレーション技術を使用して、 エンドユーザー デバイスが感染する前に、インラインでゼロデイ マルウェアを検出してブロックします。 • McAfee CTD — サンドボックス環境で不明なファイルの動作をオフラインで監視および分析します。 このクラ

ウド _{サービスはビッグ データを使用してファイルを分類し、結果をユーザーおよび他の McAfee コンポーネント} (McAfee GTI など) にレポートします。

掘り下げた脅威の検出

Web ベースの脅威のほぼ 100% を検出する、さまざまな McAfee Web セキュリティ技術が連動した徹底的な処理に より、組織をマルウェア、スパイウェア、ウイルス、フィッシング詐欺 _{URL、ターゲット攻撃、および複合的脅威か} ら保護します。

1 シグネチャ ベースのウイルス対策技術と McAfee GTI からの URL カテゴリとレピュテーション データを使用し て、McAfee WGCS は既知の脅威を Web トラフィックからフィルタリングし、問題のない既知のトラフィックを 通過させます。検出プロセスのこの段階で、_{Web ベースの脅威の約 80% が検出されます。} 2 残りの Web トラフィックに問題があるかどうかは不明です。 疑わしい未知のトラフィックは、Gateway Anti-Malware エンジンにより検査されます。 エミュレーション技術を使用して、管理された環境で動的な Web コンテンツとアクティブなコードが監視され、その目的を理解し動作を予測します。 _{プロセスのこの手順は、Web} ベースの脅威をほぼ 100% を検出します。 ゼロデイ マルウェアとして知られるこれらの脅威は、新しいあるいは 変化したマルウェアで、まだシグネチャがありません。

仕組み

McAfee WGCS と Client Proxy は連携して、ユーザーが Web にアクセスする際に直面する脅威から保護します。 1 _{Client Proxy は、組織内のエンドポイントにインストールされます。}

2 管理者は、_{McAfee ePO または McAfee ePO Cloud を使用して、Web リクエストを McAfee WGCS にリダイレク} トする _{Client Proxy ポリシーを作成し、そのポリシーを組織内のすべての管理対象エンドポイントに割り当てま} す。 管理者は複数のポリシーを設定し、そのそれぞれを異なる管理対象エンドポイント グループに割り当てることがで きます。 3 管理対象エンドポイントは、組織のネットワーク内部に配置されていることもあれば、VPN 経由でネットワーク に接続されている場合も、ネットワーク外部に配置されている場合もあります。 製品の概要 仕組み

1

4 管理者は、_{McAfee ePO Cloud を使用して Web Protection ポリシーと、そのポリシーを有効にするタイミングを} 決定する認証設定を構成します。

5 エンドポイントで作業するユーザーが、Web リソースへのアクセスをリクエストします。 Client Proxy は Web リクエストを McAfee WGCS にリダイレクトします。

6 _{McAfee WGCS が Web Protection ポリシーを Web リクエストに適用します。このポリシーによって、脅威がブ} ロックされ、組織の要件を満たす _{Web リソースへのアクセスは許可されます。}

1

製品の概要

2

ポリシー管理

目次

グローバルポリシーモデル ポリシーブラウザーの使用

クライアントシステムでの SSL 証明書のダウンロードとインストール McAfee Skyhigh Security Cloud との統合

リストの操作 ルールの利用 機能ポリシーの利用 ユーザーアクションの表示と保持 監査ログのエクスポート エラー条件

グローバル

ポリシー モデル

McAfee WGCS ポリシー モデルは、組織全体に適用される 1 つのポリシーに基づいています。

McAfee ePO Cloud ポリシー ブラウザー インターフェースから、McAfee WGCS が Web トラフィックをフィルター 処理し、_{Web コンテンツ、アプリケーション、オブジェクトへのアクセスを許可またはブロックする方法を判別する} Web セキュリティ ポリシーを設定します。 このポリシーは、組織内のすべてのユーザーとグループ全体に適用され ます。 ポリシーを特定のユーザーまたはグループにカスタマイズするには、ポリシーを構成するルールに例外を設定 します。

ポリシー

ブラウザーの使用

ポリシー ブラウザー インターフェースでは、インストールされているオプション、インターフェースの現在の領域、 選択内容に基づいてコンテキスト情報が示されます。 使用する _{McAfee 製品とサービスに関連する主要な機能領域を保護するためのポリシーを管理できます。} 図 2-1 [ポリシー ブラウザー] インターフェース 主要な機能領域は次のとおりです。 • [グローバル設定]。すべてのユーザーとポリシーに適用される [グローバル URL ホワイトリスト] と [グローバル ブラックリスト_{] を管理します。}

• [SSL スキャナー]。SSL (Secure Sockets Layer) スキャンを設定します。

• [Web レピュテーション] では、レピュテーション レベルに応じて Web サイトへの応答を構成します。 • [Web カテゴリ フィルター] では、カテゴリ別にスキャンを設定し、不適切なカテゴリの Web サイトからユーザ ーを保護します。 • [アクセス保護] では、ユーザーが使用できる Web ベース アプリケーションを設定します。 • [メディア タイプ フィルター]。ユーザーがアクセス可能なファイル形式を設定します。 • [マルウェア対策フィルター] では、マルウェアのフィルタリングに関連する設定を行います。

機能領域に対する機能ポリシーの設定

インターフェースの主要な機能領域には、この領域に関連する機能ポリシーが表示されます。 _{機能ポリシーを使用す} ると、その主要な機能領域にさまざまな制限を設定できます。 各ポリシーにはそれぞれに固有のルール セットと例外が設定されています。 たとえば、制限の強い機能ポリシーの 場合、大半のユーザーと場所へのアクセスがブロックされています。 制限の緩いポリシーの場合、大半のユーザーに ほとんどの場所へのアクセスが許可されます。

2

ポリシー管理 ポリシー ブラウザーの使用

これらのポリシーは、異なる産業、教育、政府のセクターで共通に使用する設定で構成されています。 _{たとえば、組} 織によっては、従業員や学生が仕事や教育でインターネットを最大限活用できるよう、より制限の緩い設定を選びま す。 国防省の場合は非常に厳しい制限が必要になります。 通常の日常的な状況に使用するポリシーと、セキュリティの問題を調査する場合のより厳しいポリシーの、2 つのポリ シーを各機能向けに保持することをお勧めします。 各機能領域で利用可能な機能ポリシーを表示するには、ポリシーのドロップダウン リストをクリックして各ポリシー を選択します。 _{各ポリシーで、必要な数のルールを構成できます。} 図 2-2 ポリシー ドロップダウン リストからポリシーを選択して表示

機能ポリシーの表示と編集

[制限なし] や [Very Restrictive] (非常に制限的) などの機能ポリシーをクリックすると、[ポリシーの詳細] ペインが表 示されます。 _{[ポリシーの詳細] ペインでは、機能ポリシーの名前を表示および編集できます。 また、機能ポリシーが} 使用するブロック ページを表示および編集できます。

図 2-3 McAfee Web Gateway Cloud Service ポリシーの [ポリシーの詳細] ペイン

ポリシー管理

ブロック _{ページをコピーして、別のブロック ページを作成できます。} ポリシーが有効になっているか無効になっているかに関わらず、詳細を表示することができます。 無効になっている ポリシー アイコンは、現在使用されていないポリシーにマークを付けます。 また、機能ポリシー固有の情報を表示できます。 表 2-1 機能ポリシー固有の情報 機能ポリシー 追加情報 [SSL スキャナー] [SSL 証明書バンドルのダウンロード] リンク。 [Web カテゴリ フィルター] • [未分類サイトのブロック] チェックボックス。 このオプションを選択すると、後に続く領域にある [URL ホワイトリスト] にリスト されているサイトを含め、未分類のすべてのサイトはブロックされます。 • [安全な検索の実行] チェックボックス。 別の機能ポリシーに移動する場合、[ポリシーの詳細] ペインは開いたままですが、新しい機能ポリシー名をクリック するまでは更新されません。

機能ポリシーのルールのタイプ

機能領域の各機能ポリシーには、保護されているユーザー グループへの特定のアクセス権を提供するルール セット が含まれます。 ルールは、上から下への順序で実行されます。それぞれのルールに合致した状況があると、そのルールで設定されて いるアクションが実行されます。 こうしたルールは、図で強調表示されています。 図 2-4 機能ポリシー ルールの例

2

ポリシー管理 ポリシー ブラウザーの使用

表 _{2-2 ルールのタイプ}

機能 許容されるルール [グローバル

設定_] [グローバル URL ホワイトリスト] — 安全と見なされ、この機能の他のルールより前に評価された_{URL。 一致する URL は、この機能の残りのルールをバイパスします。} [グローバル ブラックリスト] — 安全ではないと見なされ、この機能の他のルールより前に評価され る _{URL。 一致する URL は、この機能の残りのルールをバイパスし、アクセスはブロックされます。} [SSL スキャ ナー] [URL ホワイトリスト] — SSL スキャナー 機能に適用される URL。 [SSL Web カテゴリ] — URL カテゴリに基づいてトラフィックを検査するか、または検査しません。 [SSL Web アプリケーション] — 使用される Web アプリケーション リストに基づいて SSL トラフィ ックを検査するか、または検査しません。 [他のすべての SSL 接続] (キャッチオール ルール) — この機能のルールでまだ一致しないすべての要 求に適用されます。 [Web レピュ

テーション_] [URL ホワイトリスト] — Web レピュテーション 機能に適用される URL。

[Web レピュテーション] — Global Threat Intelligence (GTI) レピュテーション スコアに基づいてサ イトを許可またはブロックします。

[Web カテゴ リ _フィルタ ー]

[URL ホワイトリスト] — Web カテゴリ フィルター 機能に適用される URL。 [Web カテゴリ] — URL カテゴリに基づいて要求を許可またはブロックします。

[他のすべての Web カテゴリ] (キャッチオール ルール) — この機能のルールでまだ一致しないすべ ての要求に適用されます。

[アクセス保

護] [Web Application URL Whitelist] (Web アプリケーション URL ホワイトリスト) — [アクセス保護]機能に適用される _URL。 [Web アプリケーション] — 要求内で検出された Web アプリケーションに基づいて要求を許可また はブロックします。 [他のすべての Web アプリケーション] (キャッチオール ルール) — この機能のルールでまだ一致し ないすべての要求に適用されます。 [メディア タ イプ _フィル ター] メディア_{[URL ホワイトリスト] — [メディア タイプ フィルター] 機能に適用される URL。} [メディア タイプ] — 要求内で検出されたメディア タイプに基づいて要求を許可またはブロックし ます。 [他のすべてのメディア] (キャッチオール ルール) — この機能のルールでまだ一致しないすべてのリ クエストに適用されます。 [マルウェア 対策フィルタ ー] [URL ホワイトリスト] — [マルウェア対策フィルター] 機能に適用される URL。 [マルウェア対策スキャン] — ゲートウェイ マルウェア対策 (GAM) の可能性に基づいて、悪意のある ファイルのリクエストをブロックします。 ポリシー管理 ポリシー ブラウザーの使用

2

ルールの詳細

ペイン

ルールをクリックすると、_{[ルールの詳細] ペインが表示されます。 このペインでは、ルール名やルールの状態 (有効} または無効) を確認できます。また、設定されたプライマリ アクションと例外も確認できます。 図 2-5 ルールの詳細 ペイン [ルールの詳細] ペインの上部領域に、プライマリ オブジェクト、ルールが適用されるオブジェクトまたはリスト、お よびそのステータスが表示されます。 [ルールの詳細] メニューにはこれらの項目が含まれます。 表 2-3 ルールの詳細 メニュー メニュー項目 説明 [ルールを有効にする] 選択しているルールを有効にして、ユーザーの Web リクエストを評価します。 [ルールを無効にする] ユーザーの Web リクエストの評価対象から特定のルールを除外する場合は、[ルールを無効 にする_{] を選択します。} [アクションの追加] 選択した機能とルールに該当する場合に、ルールにさらにアクションを追加します。 [閉じる] [ルールの詳細] ペインを閉じます。 プライマリ オブジェクトはコンテキストに依存します。 異なるタイプのルールを選択すると、そのタイプに関連する プライマリ オブジェクトのみが表示されます。 選択したルールに使用可能なプライマリ アクションが表示されます。

2

ポリシー管理 ポリシー ブラウザーの使用

表 _{2-4 ルール タイプ別の使用可能なプライマリ アクション} ルール _タイプ 使用可能なプライマリ _ア クション 注 アプリケーション _{ルール [許可]、[ブロック]} マルウェア対策ルール [許可]、[ブロック]、[サン ドボックスに送信_{], [バイ} パス_] [マルウェア対策] ルールは作成できません。 [サンドボックスに送信] アクションと [バイパス] アクションを使用できるのは、[クラウドの脅威の 検出] サービスを購入済みの場合のみです。 グローバル _{URL ブラックリスト [ブロック] [ブラックリスト] ルールは作成できません。ブラック} リストは、[グローバル設定] 機能でのみ使用できます。 キャッチオール _{ルール [許可]、[ブロック]} グローバル _{URL ホワイトリスト [常に許可]} メディア タイプ ルール [許可]、[ブロック] Web レピュテーション ルール [許可]、[ブロック] • [Web レピュテーション] プライマリ オブジェクト を編集することはできません。 • [Web レピュテーション] ルールを作成することは できません。 SSL スキャナー ルール [検査]、[検査しない] Web カテゴリ ルール [許可]、[ブロック] URL ホワイトリスト ルール [許可] 許可された場合には、各プライマリ アクションに設定済みの例外オブジェクトが含まれます。 表 _{2-5 アクションの説明} アクション 説明 [許可]/[ブロック] [許可] アクションを設定すると、Web リクエストは現在の機能をバイパスし、トップダウン リストの次の機能に進みます。 [ブロック] アクションを設定すると、すべての処理が停止し、要求がブロックされます。 [常に許可] この設定は、_{[グローバル URL ホワイトリスト] にのみ適用されます。[常に許可] を設定する} と、Web リクエストが通過されて、残りの機能による以降のすべての処理が停止します。 [検査]/[検査しない] [検査] アクションを設定すると、SSL 情報が復号されてからリスト内の次の機能に渡されま す。 [検査しない] を設定すると、SSL 情報は復号されず、事実上、残りの機能による以降のすべて の処理が停止します。 [サンドボックスに 送信]/[バイパス] ([クラウドの脅威の 検出] サービスでの み使用可能) [サンドボックスに送信] アクションを使用すると、不審なファイルがその後の分析に備えて [クラウドの脅威の検出] サービスに送信されます。 • [悪意がある]— ゲートウェイ マルウェア対策によってリスク スコアが 90 以上と評価され たファイル。 これらのファイルは自動的にブロックされます。 • [不審]— ゲートウェイ マルウェア対策によってリスク スコアが 70 から 90 の範囲である と評価されたファイル。 _{これらのファイルはさらに処理するためにサンドボックスに送信} されます。 [バイパス] アクションは、ファイルが [クラウドの脅威の検出] サービスに送信されないように します。 ポリシー管理 ポリシー ブラウザーの使用

2

ルールの順序の重要性

[常に許可] アクションがトリガーされると、以降のルールはスキップされ、現在のリクエストに関して評価されませ ん。 [許可] アクションでは、現在の機能ポリシーの残りのすべてのルールがスキップされ、次の機能ポリシーで処理が続 行されます。 [許可] または [常に許可] のアクションでは、トリガー項目が許可されます。 各機能ポリシーのルールを並べ替えるのに使用する順序を考慮します。 最も厳密なルールをルール リストの先頭に 置き、キャッチオール _{ルールをリストの最後に置きます。}

アクションの順序の重要性

[ルールの詳細] ペインの最後にあるアクションは、プライマリ アクションと見なされ、キャッチオール アクションと して実行されます。 たとえば、最後にあるアクションが [ブロック] の場合は、上方のアクションに一致しないトラフ ィックはブロックされます。 関連トピック: 32 ページの「ルールの有効化または無効化」

[オブジェクトの詳細] ペイン

[オブジェクトの詳細] ペインには、ルールに含まれる関連項目が表示されます。 図 2-6 [オブジェクトの詳細] ペイン タスクのワークフローを移動すると、_{[オブジェクトの詳細] ペインに表示される情報が変わります。 この動的な情報} によって、現在のワークフローに関連するオプションが常に表示されます。 たとえば、[Web レピュテーション] ル ールを選択した場合、ルールを有効または無効にしたり、例外を追加したりできます。 [Web レピュテーション] ル ールの説明は編集できません。 ワークフロー内の現在のステージで許可されていれば、選択したオブジェクトの項目を編集できます。 インターフェースの一部の領域には、選択可能な多数のエントリが含まれています。 _{これらの領域には、検索フィー} ルドがあり、探しているものをより容易に検索することができます。

2

ポリシー管理 ポリシー ブラウザーの使用

キャッチオール

ルール

キャッチオール _{ルールは、他のルールがトリガーされない場合に有効になる機能ポリシーを構成するメソッドを提供} します。 キャッチオール ルールは、[SSL スキャナー]、[Web カテゴリ フィルター]、[アクセス保護]、および [メディア タイ プ フィルター] の各ポリシーに含まれています。 キャッチオール _{ルールは、関連する機能ポリシーのリストの最後に表示されます。削除したり、順序を変更したりす} ることはできません。 このタイプのルールは無効にできます。

例外を使用した複雑なルールの作成

例外は、特定のルールやアクションをユーザー _{グループ 例外を使用して、ビジネス要件に適した複合ルールを作成} できます。 例外の使用については、例を挙げて説明するのが一番分かりやすいでしょう。 エグゼクティブ ユーザー グループがソーシャル ネットワーキング サイトにアクセスできないようにするルールを 作成するとします。 そのために、エグゼクティブを対象にしたルールと許可されているユーザー グループを対象にしたルールを 1 つずつ 作成するのも一案です。 しかし、例外を使用すれば、_{1 つのルールを作成するだけでその要件に対応できます。} 例外は、より具体的なものから、より一般的なものに進む方向でルールに影響を与えます。 関連トピック_: 31 ページの「例外を使用したルールの作成」

[カタログ] ペイン

カタログには、ブロック ページ、Web カタログのリスト、Web アプリケーション タイプのリスト、メディア タイプ のリストなどの関連データのグループが保持されます。 [カタログ] ペインは、画面の右側に表示されます。 図 2-7 カタログ ペイン [カタログ] ペインの内容は、選択した機能領域とルールによって異なります。 ポリシー管理 ポリシー ブラウザーの使用

2

選択リストによるリストの更新

すでに入力されている選択リストから項目を選択することによって、リストに項目を追加できます。 選択リストは、以下の機能領域のカタログ項目の追加または削除に使用されます。 • [Web カテゴリ フィルター] • [アクセス保護] • [メディア タイプ フィルター] 図 2-8 選択リスト リストに項目を追加するには、対象項目の隣にある _{をクリックします。 リストから項目を削除するには、対象項} 目の隣にある _{をクリックします。}

クライアント

システムでの SSL 証明書のダウンロードとインストール

SSL 証明書をインストールすると、McAfee WGCS が SSL トラフィックをスキャンできます。証明書は、McAfee WGCS と通信する各デバイスにインストールする必要があります。 異なるブラウザーとオペレーティング システムに SSL 証明書をインストールする方法の詳細は、証明書バンドルに含 まれています。 タスク

1 McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。 2 _{[ポリシー ブラウザー]から、[SSL スキャナー]を選択します。} 3 [SSL スキャナー] 領域の右のポリシー名 - たとえば [SSL 検査なし] または [基本的な対応範囲] をクリックします。 4 [ポリシーの詳細] ペインで、[SSL 証明書バンドルのダウンロード] をクリックします。 5 プロンプトが表示されたら、_{.zip ファイルをローカルに保存します。 ファイルを解凍し、ユーザーと共有します。} 6 『Importing_Certificates_into_Browsers.pdf』 ドキュメント (証明書バンドル .zip ファイルに含まれる) に記載さ れた、ブラウザーとオペレーティング システムの説明に従います。

McAfee Skyhigh Security Cloud との統合

目次 統合の概要 統合の設定 SAML 以外のテナントの Enterprise コネクターのユーザーアカウントの作成

2

ポリシー管理 クライアント システムでの SSL 証明書のダウンロードとインストール

サービスグループの [アクセス保護] ポリシーへの追加

統合の概要

McAfee Skyhigh Security Cloud は、クラウドで開発されたクラウド アクセス セキュリティー ブローカー (CASB) で す。 _{McAfee Skyhigh Security Cloud と統合することで、CASB 機能が McAfee WGCS に追加されます。}

McAfee Skyhigh Security Cloud は、リスク属性に基づいてクラウド サービスをサービス グループにグループ化しま す。 McAfee WGCS インターフェースで統合が有効化されると、以下のようになります。

1 _{McAfee WGCS — ソフトウェアによりログ ファイルが自動的に McAfee Skyhigh Security Cloud にエクスポート} されます。

2 _{McAfee Skyhigh Security Cloud — ログ ファイル内のアクセス データに基づいて、コンプライアンス マネージャ} ーが危機的なサービスを既存のサービス グループに追加したり、新しいグループを作成したりできます。 3 McAfee Skyhigh Security Cloud — ソフトウェアによりサービス グループが自動的に McAfee WGCS にエクスポ

ートされます。

4 _{McAfee WGCS — ソフトウェアによりサービス グループがサブスクライブ済みリストとしてインポートされま} す。 管理者は、カタログからリストを選択し、それらをルールとして [アクセス保護] ポリシーに追加できます。

統合の設定

統合を設定するには、_{McAfee Skyhigh Security Cloud および McAfee WGCS インターフェースでの設定が必要です。} • McAfee Skyhigh Security Cloud ダッシュボード — このインターフェースでは、ユーザーは役割に基づいてタス

クを管理するためのアクセス権があります。 _{例えば、ユーザー マネージャー 役割を持つユーザーは Enterprise} コネクター _{ユーザーを作成でき、コンプライアンス マネージャー 役割を持つユーザーはサービス グループの作} 成と管理ができます。

• McAfee WGCS インターフェース — このクラウド サービスは McAfee ePO Cloud プラットフォームから管理さ れます。

セットアップ手順は次のとおりです。

ポリシー管理

1 _{McAfee Skyhigh Security Cloud ダッシュボード — 管理ページへのアクセス権を持ちログの処理を行うことので} きる Enterprise コネクターのユーザー アカウントを作成します。

McAfee Skyhigh Security Cloud と McAfee WGCS の間の接続をセットアップするには、追加の設定が必要です。 2 _{McAfee WGCS インターフェース — McAfee Skyhigh Security Cloud で設定した Enterprise コネクター認証情報}

を入力して、統合を有効化します。

[ポリシー ブラウザー] の [設定] ペインから、McAfee Skyhigh Security Cloud との統合を有効化できます。

SAML 以外のテナントの Enterprise コネクターのユーザー アカウントの作成

SAML 以外のテナントの Enterprise コネクターのユーザー アカウントを McAfee Skyhigh Security Cloud ダッシュ ボードで作成します。

開始する前に

ユーザー _{マネージャー役割が必要です。}

アカウントを作成すると、パスワードを指定できるページへのリンクが記載されたメールがシステムから届きます。

SAML テナントを使用しているか、SAML テナント以外から SAML テナントへ移行する場合、Enterprise コネクター ア カウントの作成に関する詳細については Skyhigh サポートに連絡してください。

タスク

1 McAfee Skyhigh Security Cloud ダッシュボードで、[設定] 、 [ユーザー管理] 、 [ユーザー] の順に選択します。 2 [アクション] 、 [ユーザーの新規作成] をクリックします。 3 以下のフィールドに値を入力します。 _{Enterprise コネクターのアカウントにログオンするときに、ユーザー名と} して電子メール アドレスを使用します。 設定を保存したら、パスワードを指定します。 • [名] • [姓] • [電子メール] 4 _{[アクセス制御] ペインで、以下の役割を選択します。} • [Enterprise コネクター ユーザー] — ユーザーによる管理ページへのアクセスとログの処理を許可します。 • [ePO コネクター] — ユーザーによる McAfee Skyhigh Security Cloud と McAfee ePO Cloud の間の接続の管

理を許可します (McAfee WGCS が管理されている場合)。 5 _{[保存] をクリックします。}

サービス

グループの [アクセス保護] ポリシーへの追加

サービス グループを [アクセス保護] ポリシーにルールとして追加することで、クラウド サービスのグループへのア クセス権を構成できます。 _{コンプライアンス マネージャーが McAfee Skyhigh Security Cloud ダッシュボード上で} サービス グループを構成します。

サービス グループから作成されたルールは、McAfee Skyhigh Security Cloud との統合が無効になると無効になりま す。

2

ポリシー管理

タスク

1 _{McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。}

2 _{[ポリシー ブラウザー] で、[アクセス保護] の横にある をクリックしてから、[新規ルール] を選択します。} 3 _{[カタログ] ペインのドロップダウン リストから、[Skyhigh サービス グループ] を選択します。} 使用可能なサービス _{グループが表示されます。} 4 _{ルールとして追加するサービス グループの横にある をクリックします。} 5 このサービス _{グループ内のクラウド サービスへのアクセスを制限するには、[ブロック] の横にある をクリック} します。 6 _{[カタログ] ペインで、ブロックするユーザー グループの横にある をクリックします。} 7 [保存] をクリックします。 サービス _{グループが [アクセス保護] ポリシーにルールとして追加され、選択したユーザー グループは、このグルー} プ内のクラウド サービスへのアクセスがブロックされます。

リストの操作

目次 McAfee 管理リストの操作 一般的なクラウドアプリケーションのホワイトリストの作成 サーバー IP 範囲の操作 URL リストの処理 ユーザーグループの利用

McAfee 管理リストの操作

McAfee はリストを管理し、ユーザーがポリシーで使用し、それらを最新の状態に保つことができるようにします。 • 購読リスト — これらのリストは、新しい情報が使用可能になると、動的に更新されます。 • システム リスト — これらのリストは時々更新するだけで問題ありません。 システム リストおよび購読リストは、[カタログ] ペインで McAfee セキュア アイコンによって識別されます。 McAfee がこれらのリストを管理するため、編集したり、削除したりすることはできません。 購読リストはコピーで きません。

一般的なクラウド

アプリケーションのホワイトリストの作成

McAfee は、Microsoft Office 365 などの一般的なクラウド アプリケーションのサーバー IP 範囲およびホスト名また は _{URL のリストを管理し、新しい情報が使用可能になると、これらのリストを動的に更新します。} これらの McAfee 管理リストを [グローバル設定] にホワイトリストとして追加できます。 これらは、[ホスト リス ト_{] および [サーバー IP 範囲] カタログにあり、 アイコンで識別されます。} ユーザーが、IP 範囲またはホスト名がホワイトリストに登録されているクラウド アプリケーションに Web リクエス トを送信すると、そのリクエストはフィルタリングを回避できます。 これにより、処理が高速になります。 この機 能は、頻繁にアクセスされる既知のアプリケーションで特に役立ちます。 ポリシー管理 リストの操作

2

McAfee WGCS は、以下の Microsoft クラウド アプリケーションでサーバー IP 範囲、ホスト リスト、またはその両 方をサポートします。

• Microsoft Exchange Online • Microsoft Office Mobile • Microsoft Federation Gateway • Microsoft Office Online • Microsoft Lync Online • Microsoft SharePoint Online • Microsoft Office 365 • Yammer

• Microsoft Office for iPad

サーバー

IP 範囲の操作

サーバー _{IP アドレス範囲を使用してホワイトリストを作成し、クラウド アプリケーションに送信されるすべての} Web リクエストでフィルタリングをバイパスし、パフォーマンスを向上させることができます。 この機能は、頻繁 にアクセスされるクラウド アプリケーションで特に役立ちます。 [カタログ] ペインで、サーバー IP 範囲リストを作成および管理し、それらを [グローバル設定] 機能にホワイトリスト またはブラックリストとして追加します。 McAfee セキュア アイコンで示されているリストは、McAfee によって管理されており、管理することはできません。

サーバー

IP 範囲リストの作成

サーバー IP 範囲リストを作成する場合、以下のオプションがあります。 • サーバー IP 範囲をリストに手動で入力する • .csv ファイルからサーバー IP 範囲のリストをインポートする • 既存のサーバー IP 範囲リストをコピーする

サーバー

_{IP 範囲リストのフォーマット}

[グローバル設定] ルールに設定されているサーバー IP 範囲リストは、IP 範囲認証用に設定されているクライアント IP 範囲リストと同じようにフォーマットされます。 クライアント IP 範囲リストと同じように、サーバー IP 範囲リス トには以下の特長があります。 • 文字列値の単一の列、1 行に 1 つの IP アドレス範囲、およびオプションのヘッダー行で構成される • Classless Inter-Domain Routing (CIDR) IPv4 または IPv6 の表記を使用して設定されたエントリを含む • IPv4 エントリと IPv6 エントリの両方を含めることができる • 重複するエントリを含めることはできない

サーバー

IP 範囲リストの管理

[カタログ] ペインの [サーバー IP 範囲] カタログからリストを選択し、以下のタスクを実行できます。 • リストを編集する • カタログからリストを削除する • .csv ファイルから新規リストをインポートすることによって既存のリストを置換する • リストを .csv ファイルにエクスポートする

2

ポリシー管理 リストの操作

サーバー

IP 範囲リストの作成

サーバー _{IP 範囲リストの作成後に、それをホワイトリストとして [グローバル設定] 機能に追加できます。 リストの} 範囲内の IP アドレスに送信された Web 要求は、フィルタリングをバイパスできます。 サーバー IP 範囲リストを作成する場合、以下のオプションがあります。 • サーバー IP 範囲をリストに手動で入力する • .csv ファイルからサーバー IP 範囲のリストをインポートする • 既存のサーバー IP 範囲リストをコピーする .csv ファイルから IP アドレス範囲をインポートする前に、次の注意事項を確認してください。 • ファイルでは、1 行につき 1 つの IP アドレス範囲が含まれていること。 • ファイルの最初の行には、ヘッダーを含めることができます。 見出しが含まれている場合は、ファイルをインポ ートする際に _{[このファイルには見出し行が含まれています] を選択します。} タスク

1 McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。 2 _{[グローバル設定] を展開してから、ルールを選択します。} 3 [カタログ] ドロップダウン リストから [サーバー IP 範囲] を選択します。 設定されたリストが表示されます。 4 リストを作成する方法を選択します。 • サーバー IP 範囲をリストに手動で入力します。 1 _{[カタログ] メニューから、[新しいサーバー IP 範囲] を選択します。}

2 _{CIDR 形式を使用して、それぞれの IPv4 または IPv6 アドレス範囲を入力して、[追加] をクリックします。} • .csv ファイルからサーバー IP 範囲のリストを次のようにインポートします。 1 _{[カタログ] メニューから、[新しいサーバー IP 範囲のインポート] を選択します。} 2 インポートする .csv ファイルを見つけて開き、[インポート] をクリックします。 • 既存のサーバー IP 範囲リストをコピーします。 1 コピーするリストを選択し、_{[カタログ] メニューから、[サーバー IP 範囲のコピー] を選択します。} 2 必要に応じてリストを編集します。 5 リストにカスタム名を指定します。 6 _{[保存] をクリックします。} 新しいサーバー IP 範囲リストが [サーバー IP 範囲] カタログに追加されます。

サーバー

IP 範囲カタログでのリストの管理

[編集]、[削除]、[インポート]、および [エクスポート] オプションを使用して、[サーバー IP 範囲] カタログでリストを 管理できます。 カタログで、リストを選択して以下のタスクを実行できます。 • [編集] — リストを編集したり、リストの名前を変更したりする • [削除] — カタログからリストを削除する ポリシー管理 リストの操作

2

• [インポート] — 必要に応じて、リスト項目を .csv ファイルにインポートされた項目に置き換えてから、リストを 編集したり、リストの名前を変更したりする

• [エクスポート] — リストを .csv ファイルにエクスポートする

McAfee セキュア アイコンで示されているリストは、McAfee によって管理されており、管理することはできません。

タスク

1 McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。 2 [グローバル設定] を展開してから、ルールを選択します。 3 _{[カタログ] ドロップダウン リストから [サーバー IP 範囲] を選択します。} 設定されたリストが表示されます。 4 カタログで、サーバー IP 範囲リストを選択します。 リスト項目が下のペインに表示されます。 5 下のペインのリスト名の隣の をクリックしてから、オプションをクリックします。 • [編集] — 選択したリストの項目を追加、削除、編集し、必要に応じてリストの名前を変更してから、[保存] を クリックします。 • [削除] — [削除] をクリックして、選択したリストをカタログから削除することを確認します。 ルールで使用されるリストは削除できません。 • [インポート] — [リストのインポート] ダイアログ ボックスから、インポートする .csv ファイルを見つけて開 き、_{[インポート] をクリックします。 [置換] をクリックしてインポートを確認します。 必要に応じて、リス} トを編集または名前変更してから、_{[保存] をクリックします。 選択されたリストのエントリは、インポートさ} れたリストのエントリに置換されます。 • [エクスポート] — [OK] をクリックして、選択したリストを Downloads フォルダに .csv ファイルとして保存 するか、そのファイルを Microsoft Excel で開きます。 このリストは、カタログから更新、エクスポート、または削除されます。

URL リストの処理

URL を URL リストに追加することによって、ユーザーがアクセスする Web サイトを制御できます。 追加した URL は URL リストに維持され、必要に応じて編集できます。 また、URL をエクスポートして情報をバックアップするこ ともできます。

URL リスト用のドメイン名のフォーマット

サポートされているドメイン名フォーマットは次のとおりです。 • ホスト.ドメイン.トップレベル ドメイン/パス • ホスト.ドメイン.トップレベル ドメイン • ドメイン.トップレベル ドメイン/パス • ドメイン.トップレベル ドメイン ホスト — ホストの DNS 名 ドメイン — サブドメインの名前

2

ポリシー管理 リストの操作

トップレベル _{ドメイン — トップレベル ドメイン} パス — Web リソースへのパス パスとすべてのサブパスは自動的に組み込まれます。これは、次のようにドメイン名のパスの後にアスタリスクを続 けるのと同じことです。 例: host.domain.tld/path* WGCS_CDP_SUBDOMAINS_SETTING

すべてのサブドメインの設定

この設定によって、ポリシー ルールがドメインとすべてのサブドメインに適用されるのか、ドメインだけに適用され るのかが決まります。 _{すべてのサブドメインを指定するには、次のようにします。} • [ポリシー ブラウザー] において — URL を URL リストに追加する際に、[すべてのサブドメイン] をオンにします。 • URL リストを指定する .csv ファイルにおいて — サブドメイン (True/False) 列の値を True にします。 すべてのサブドメインを指定するのと、次のように各ドメイン名の冒頭に「*.」を追加するのは同じ意味になります。 例: *.ホスト.ドメイン.トップレベル ドメイン/パス

URL リストへの URL の追加

URL リストを使用して、ユーザーにアクセスを許可する Web サイトを制御できます。 Web サイトのリストをそれぞ れの _{URL リストに追加できます。} ホワイトリストとブラックリストは他の URL リストと同様ですが、次の点が異なります。 • [グローバル URL ホワイトリスト] では、[常に許可] アクションのみを使用できます。 • 機能別のホワイトリストでは、[許可] アクションのみを使用できます。 • ブラックリストでは、[ブロック] アクションのみを使用できます。 • ブラックリストやホワイトリストに例外を設定することはできません。 タスク

1 _{McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。} 2 [ポリシー ブラウザー] で、機能領域を選択します。 3 この機能領域で、編集するポリシーとルールを選択します。 4 [カタログ] ペインで、カタログ タイプ [URL リスト] を選択し、編集する必要がある URL リストをクリックしま す。 オブジェクトの詳細ペインに、選択した _{URL リストの詳細が表示されます。} 5 オブジェクトの詳細ペインで、 をクリックし、[編集]を選択します。 6 URL フィールドで、追加する URL を入力します。 入力した _{URL がチェックされます。重複する項目が追加されることはありません。} 7 (オプション) URL の下にあるすべてのサイトを追加するには、[すべてのサブドメイン]を選択します。 8 [追加] をクリックします。 9 _{[保存] をクリックしてルールを更新します。} ポリシー管理 リストの操作

2

URL リストに含まれる URL の編集

URL リストに追加されている Web サイトのリストを編集または変更できます。

タスク

1 McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。 2 [ポリシー ブラウザー] で、機能領域を選択します。 3 この機能領域で、編集するポリシーとルールを選択します。 4 _{[カタログ] ペインで、カタログ タイプ [URL リスト] を選択し、編集する必要がある URL リストをクリックしま} す。 オブジェクトの詳細ペインに、選択した URL リストの詳細が表示されます。 5 オブジェクトの詳細ペインで、 をクリックし、[編集] を選択します。 6 _{URL を選択し、URL フィールドで必要な変更を行います。} 7 [完了] をクリックして、編集された URL を URL リストに含めます。 編集時に URL を追加する場合は、 をクリックします。 8 [保存] をクリックしてルールを更新します。

URL リストのエクスポート

URL リストのエクスポートは情報をバックアップする便利な方法です。 エクスポートされた情報を他のルールにイ ンポートしたり、その情報を他のシステムにインポートしたりできます。 _{エクスポートされた URL は CSV 形式で保} 存されます。 タスク

1 McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。 2 .csv ファイルにエクスポートする、URL リストが含まれるルールを選択します。 3 _{[カタログ] ペインで、カタログ タイプ [URL リスト] を選択し、必要なリストをクリックします。} 4 オブジェクトの詳細ペインで、 をクリックし、[エクスポート] を選択します。 5 ファイルの保存に使用しているブラウザーのワークフローに従います。 このリストは、サイトリスト オブジェクトと同じ名前のファイルに保存されます。 たとえば Blocked URLs という 名前のサイトリストから _{URL のリストをエクスポートすると、Blocked URLs.csv という名前のファイルが作成され} ます。

URL リストのインポート

URL をシステムに追加するには、URL リストをインポートする方法が便利です。 インポートする URL リストは CSV 形式にする必要があります。 開始する前に 既存の CVS ファイルに、インポートする URL のリストが含まれていることを確認してください。 ファ イルにはヘッダー行を含めることもできます。

2

ポリシー管理 リストの操作

各行には、_{1 つの URL の後に "," 区切り文字が続き、その後に "true" または "false" が続きます。 "true"} を追加すると、URL に "All subdomains" パラメーターが選択されます。"false" を追加すると、"All subdomains" の選択が解除されます。

URL と true/false 値は、大文字と小文字が区別されません。

行末または行内にスペースは使用できません。 ファイル内の項目は次のようになります。

https://www.example.com,true HTTP://SUPPORT.EXAMPLE.NET,FALSE example.org,True

タスク

1 McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。 2 機能領域でルールを選択します。 3 _{[カタログ] ペインで、カタログ タイプ [URL リスト] を選択し、必要なリストをクリックします。} 4 オブジェクトの詳細ペインで、 をクリックし、[インポート] を選択します。 5 インポートする _{URL が格納された .csv ファイルを選択します。} .csv ファイルの先頭行にヘッダー情報がある場合には、[このファイルにはヘッダー行が含まれています] を選択し てください。 6 [インポート] をクリックします。 ステータス メッセージが表示されます。 .csv ファイルに重複した URL が含まれていると、インポートが中断し、重複項目が通知されます。 インポートを 続行することも、URL リストをインポートせずに終了することもできます。 7 既存のすべての URL をインポートした URL の値で上書きするには、[置換] をクリックします。 8 [保存] をクリックします。

ユーザー

グループの利用

McAfee WGCS には、Client Proxy 認証または Web リクエストを含む SAML 認証によって提供されるユーザー グル ープ情報が含まれます。 ユーザー グループ名で設定されたポリシー ルールは、リクエスト内のグループ情報に従っ て適用されます。

[ポリシー ブラウザー] では、ユーザー グループの名前を管理できますが、グループ自体を管理することはできません。 このため、ローカル ディレクトリ サービスを使用します。

[カタログ] ペインで、ポリシー ルールに追加するユーザー グループの名前を表示および管理できます。 これらの名 前は、Active Directory (AD) のユーザー グループに対応します。

ユーザー _{グループ [カタログ] で、以下を行うことができます。} • 新規のユーザー グループの追加、または既存のグループのコピー • ユーザー グループの名前変更または削除 手動で、または Active Directory 同期を使用して、ユーザー グループ名を [カタログ] に追加できます。 ポリシー管理 リストの操作

2

• 手動による追加 — 制限されたユーザー グループの数を追加する場合、[カタログ] ペインで [新しいユーザー グル ープ] オプションを使用します。 ほとんどの組織は、Web セキュリティ ポリシーに少数のユーザー グループのみ を追加する必要があるため、このオプションを選択します。

• Active Directory との同期 — If you plan to add many user groups, you can use Active Directory synchronization to synchronize your on-premise Active Directory accounts with McAfee ePO Cloud.

Active Directory で同期されているユーザー グループ名の後には、かっこ内のドメイン名が続きます。 例: テクニ カル マーケティング (CORP)

McAfee ePO Cloud が Active Directory を読み取ることができるように、最初に次のことを行う必要があります。 • AD Connector のセットアップ

• Active Directory サーバーを McAfee ePO Cloud に登録する

Active Directory のセットアップの詳細については、『McAfee ePolicy Orchestrator Cloud 製品ガイド』を参照して ください。

ユーザー

グループのカタログにグループ名を追加する

[カタログ] にユーザー グループ名を追加した後で、それらを選択してポリシー ルールに追加することができます。

タスク

1 _{McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。} 2 [カタログ] ドロップダウン リストから [ユーザー グループ] を選択します。 3 ユーザー グループを追加する方法を選択します。 • [カタログ] メニューから、[新しいユーザー グループ] を選択して、ユーザー グループの名前を入力します。 • コピーするユーザー グループ名を選択してから、[カタログ] メニューから、[ユーザー グループのコピー] を 選択し、必要に応じて名前を編集します。 ユーザー グループ名は、Active Directory の名前と完全に一致している必要があります。 そうでない場合、ポリシ ー ルールが予期したとおりに作動しない可能性があります。 4 [保存] をクリックします。 ユーザー グループ名が [カタログ] に追加されます。

ユーザー

グループのカタログにグループ名を管理する

ユーザー _{グループの名前を変更するか、[カタログ] からそれを削除することができます。} タスク

1 McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。 2 _{[カタログ] ドロップダウン リストから [ユーザー グループ] を選択します。} 3 名前変更または削除するユーザー _{グループを選択します。}

2

ポリシー管理

4 オブジェクトの詳細 _{ペインで、グループの隣の をクリックしてから、オプションを選択します。} • [名前の変更] — 名前を編集してから、[保存] をクリックします。 • [削除] — [削除] をクリックして確認します。 ユーザー グループ名は、Active Directory の名前と完全に一致している必要があります。 そうでない場合、ポリシ ー ルールが予期したとおりに作動しない可能性があります。 ユーザー _{グループは名前変更されるか、[カタログ] から削除されます。}

ユーザー

グループをルール アクションに追加する

例外をルールに作成する場合、ユーザー グループをセカンダリ ルール アクションに追加できます。 この結果は、プライマリ _{ルール アクションが [許可] または [ブロック] のどちらであるかによって異なります。} • プライマリ ルール アクションが [許可] であり、ユーザー グループを [ブロック] アクションに追加した場合、ル ール _{アクションは以下の順序で適用されます。} 1 ユーザー グループはブロックされます。 2 それ以外はすべて許可されます。 • プライマリ ルール アクションが [ブロック] であり、ユーザー グループを [許可] アクションに追加した場合、ル ール アクションは以下の順序で適用されます。 1 ユーザー グループは許可されます。 2 それ以外はすべてブロックされます。 1 つのルール アクションに複数のユーザー グループを追加することができます。 タスク

1 _{McAfee ePO Cloud メニューで、[ポリシー] 、 [Web ポリシー] の順に選択します。}

2 [ポリシー ブラウザー] で機能を選択し、ドロップダウン リストからポリシーを選択します。 3 ユーザー グループを追加するルールを選択します。 4 [ルールの詳細] ペインで、セカンダリ アクションの横の をクリックします。 5 _{[カタログ] ペインで、セカンダリ アクションに追加するユーザー グループの横の をクリックします。} 6 [保存] をクリックします。 ユーザー _{グループがルール アクションに追加されます。}

ルールの利用

目次 ルールの追加 URL リストのインポートによるルールの作成 例外を使用したルールの作成 ルールの有効化または無効化 ルールの詳細の変更 ルールへのアクションの追加 ポリシー管理 ルールの利用

2