インターネットアクセスルールの作成

ビュー:

インターネットアクセスルールを設定して、ユーザーが企業ネットワーク内外にかかわらずインターネットアクセスを保護します。

注意

Trend Vision One は、他のインターネットアクセスルールがトリガーされていない場合に適用する初期設定のインターネットアクセスルールを自動的に作成します。初期設定のルールでは、インターネットへの無制限のアクセスが許可されます。
AI サービスアクセスルールはインターネットアクセスルールより優先されます。

Trend Vision One は、他のインターネットアクセスルールがトリガーされない場合に適用されるデフォルトのインターネットアクセスルールを自動的に作成します。デフォルトルールはインターネットへの無制限のアクセスを許可します。

手順

[Secure Access Rules] → [インターネットアクセス] に移動し、[ルールを作成] をクリックします。

ルール設定画面が表示され、 [Webアクセス制御] ルールテンプレートが選択されます。
ルールの一意の名前とオプションの説明を指定します。
[ステータス]の横にあるトグルをクリックして、ルールを有効にするか無効にするかを選択します。

ヒント

[インターネットアクセス] 画面でルールを有効または無効にすることもできます。

ルールパラメータを設定します。

ルールパラメータ

説明

設定

ソース

ルールの対象または除外するユーザ、デバイス、地域

[Users / Groups/ IP address groups]: 設定されたSSOプロバイダに登録されているユーザまたはグループを対象または除外します。代わりに、パブリックおよびプライベートIPアドレスグループの両方を対象または除外することもできます。

ルールで使用できるのは、SSOプロバイダとして設定されたIAMシステムのユーザまたはグループのみです。
新しいIPアドレスグループを定義するには、[追加]をクリックし、パブリックまたはプライベートIPアドレスグループのいずれかを選択します。プライベートIPアドレスを選択した場合、IPアドレスまたは範囲は内部企業ネットワーク上に存在する必要があります。

重要

ソースに適用されるルールは、X-Forwarded-For (XFF)ヘッダーフィールドを含むHTTP/HTTPSリクエストを送信しないSecure Access Moduleがインストールされていないデバイスには適用されない場合があります。Internet Access GatewayはこれらのデバイスのプライベートIPアドレスを取得できません。

[デバイス構成プロファイル]: を選択するか、デバイスポスチャプロファイルの追加Secure Access Moduleがインストールされている準拠デバイスを除外します。
場所: インターネットアクセスクラウドゲートウェイまたはインターネットアクセスオンプレミスゲートウェイで定義された、利用可能な企業または公共/家庭ネットワークの場所をターゲットにします。IPアドレスグループを追加する際、グループがプライベートIPアドレスで構成されているか、パブリックIPアドレスで構成されているかを指定します。
- 特定のゲートウェイでネットワークの場所を定義するには、[Secure Access Configuration] → [Internet Access Configuration] → [ゲートウェイ]に移動します。

対象

ルールによって対象または除外された場所

Users / Groups/ IP address groups: また、パブリックIPアドレスグループと場所の両方を対象または除外することができます
- [追加]をクリックして新しいIPアドレスグループを定義し、パブリックIPアドレスグループを選択します。
- [追加]をクリックして新しいリージョンを定義し、リージョンを選択します。
場所: 対象の宛先は地域または国です。その国/地域内のIPアドレスにアクセスするすべてのトラフィックは、URLを含め、アクセスしようとする際にルールの影響を受けます。

トラフィック

ルールの対象となるWebトラフィックとコンテンツ

[URLs/Cloud apps]: 該当する事前定義またはカスタムURLカテゴリ、事前定義、またはカスタムクラウドアプリのカテゴリ、またはファイルのアップロードやダウンロードなどのクラウドアプリのカスタムアクション。
[HTTP/HTTPSトラフィックフィルタ]: HTTP/HTTPSトラフィックフィルターで定義された適用可能なHTTP/HTTPSトラフィックを指定します。
[ファイルの種類]: ファイルプロファイルで定義された適用可能なファイルタイプを指定します。

予約

ルールが有効な期間

[カスタム] を選択して、週間スケジュールを設定します。 [指定した期間のみルールを適用] をオンにして、特定の期間を設定する期間を選択します。

注意

スケジュールでは、企業ネットワークの場所で定義されたタイムゾーンが使用されます。パブリックネットワークまたはホームネットワークからの接続にはUTC+0が使用されます。

処理

ルールがトリガーされたときに実行される処理

[アクセス制御]: 指定したインターネットコンテンツへのアクセスを許可、ブロック、監視、または警告します。
- [アクセスする前に警告する] を選択した場合、ユーザは [続行] ボタンをクリックしてコンテンツにアクセスする必要があります。コンテンツは24時間制限なしで利用でき、その後は再度警告が表示されます。
[詳細なセキュリティ設定]:
- [テナント制限を有効化]: テナンシー制限ルールで定義されたクラウドアプリへのアクセスを制限します。
- [脅威対策を有効化]: 脅威保護ルールで定義されたインターネットコンテンツをスキャンし、ブロックする可能性があります。
- [情報漏えい対策を有効化]: 情報漏えい対策ルールで定義された機密データを含むコンテンツについて、送信されるWebトラフィックをスキャンします。
注意

コンテンツへのアクセスをブロックするように選択した場合、セキュリティの詳細設定は使用できません。

[保存] をクリックします。

[インターネットアクセス] 画面で利用可能なすべてのルールを表示します。