コンテンツ セキュリティ ポリシー

コンテンツ セキュリティ ポリシーは、Web サイトと組織との間でのフローが許可されているコンテンツを定義した「コンテンツのセキュリティのためのポリシー」で、さまざまな要素の組み合わせから構成されています。このポリシーを作成するには、コンテンツ規則と、ポリシーの参照とを Web ポリシー ルートに追加します。Web ポリシー ルートは、2 つのポイント間のトラフィックを定義します。1 つめのポイントは、マシン リストとユーザー名リストに基づいて、組織内のエンティティを識別します。.2 つめのポイントは、Web サイトのグループを識別します。Gateway では、これらのグループは、インターネット ゾーンと呼ばれます。

データが Gateway を通過する際、そのデータを、そのデータのトラフィックのルートに対して定義されているコンテンツ規則に照会することで、脅威の有無をチェックします。定義されているコンテンツ規則よって、チェックの後に実行するアクションも異なります。これらのアクションの一例には、アダプティブ リダクションやサニタイゼーション機能による、機密情報、不適切なコンテンツ、マクロ、スクリプト、ドキュメント プロパティなどの検出と除去があります。

ポリシー ルートやコンテンツ規則に加え、グローバル Web ポリシーを構成したり、HTTPS ポリシーを構成して Gateway での HTTPS トラフィックのスキャンの有無を指定したりすることもできます。

コンテンツ セキュリティ ポリシーは、[ポリシー センター ホーム] ページから定義します。

Email Gateway と Web Gateway とが同じピア グループ内で連動しあう場合、いずれかの Gateway の [ポリシー センター ホーム] ページから、すべての Gateway を構成することができます。たとえば、SpamLogic は Email Gateway 特有の機能ですが、複数の Gateway が連動しあう環境下では、Web Gateway の [ポリシー センター ホーム] ページから SpamLogic を構成できるようになります。同様に、複数の Gateway が連動しあう環境下では、Email Gateway 、または、Web Gateway に特有なポリシーの参照も、いずれかの Gateway の [ポリシー センター ホーム] ページから同時に構成することができます。

情報...

• コンテンツ規則

  コンテンツ規則は、コンテンツ セキュリティ ポリシーにしたがって処理するための決まりです。それぞれのコンテンツ規則には、Web の通信において、特定の条件に一致するアイテムが発見されたり、特定の条件に一致する状況が発生したりした際に、ポリシー エンジンが実行するアクションが指定されています。

  Gateway では、コンテンツ規則の構成に [検索対象] と [実行する操作] を使用します。たとえば、特定のファイル タイプにウイルスが含まれていないかどうかをチェックする [検索対象] を用いて、ウイルスが検出された際は [実行する操作] で通信をブロックするように設定します。

• ポリシーの参照

  ポリシーの参照は、コンテンツ セキュリティ ポリシーを定義する際に参照することのできるアイテムです。たとえば、[通知] アイテムをポリシー ルートに追加して、コンテンツ規則の条件に一致する状況が発生した際に、通知を送るように設定します。

  Email Gateway と Web Gateway とが同じピア グループ内で連動しあう場合、、いずれかの Gateway の [ポリシー センター ホーム] ページから、両方の Gateways の通知を構成することができます。

  詳細については、「ポリシーの参照」を参照してください。

• マシン リストとユーザー名リスト

  マシン リストは、共有ポリシーの適用対象となるユーザーのマシンのアドレスをまとめたものです。同様に、ユーザー名リストは、共通ポリシーの適用対象となるユーザー名をまとめたものです。通常、組織内で次のような「共通のつながり」を持つユーザー グループを示します。

  • セールス部門、または、地方支店などの、業務や機能によるグループ
  • マネージャーなどの、ロールや役職によるグループ
  • 会社のパートナーなどの、関連グループ

  定義したマシン リストを使用することで、個々のユーザーの認証を行わないように指定することができます。ユーザーが誰であっても、使用しているマシンの IP アドレスがマシン リストに含まれている限り、Gateway へのアクセスが許可されます。

• インターネット ゾーン

  インターネット ゾーンは、コンテンツに基づいて Web サイトを識別、分類する Gateway の機能です。潜在的な脅威、反対に、将来的な有益性など、共通するコンテンツを持つサイト同士をグループにまとめておくことができます。

  分類を容易にするため、Gateway には URL フィルター データベースが装備されています。このデータベースは、膨大な数の Web ページの参照に基づくさまざまなカテゴリから構成されています。このデータベースへは、インターネット ゾーンの作成時にアクセスすることができます。たとえば、「潜在的なリスク」といった名前のインターネット ゾーンを作成し、データベースから該当するカテゴリーを追加します。

  また、ポリシーの実行対象にはならないサイトのインターネット ゾーンを作成することも可能です。たとえば、「信頼できるサイト」といった名前のインターネット ゾーンを作成し、組織の Web サイトや、組織のマシンのセキュリティ更新に用いるサーバーなどを追加します。

  インターネット ゾーンでは、Web サイト全体を、組織で受理すべきではないものとして指定できるため、Gateway でのリソース管理がさらに効率的になります。インターネット ゾーンを使用することで、ユーザーによる不適切なサイトへのアクセス自体がブロックさるようになり、その結果、Gateway によるサイト上の脅威 (ウイルスやスパイウェアなど) のチェックが不要になります。

• Web ポリシー ルート / Web ポリシー ルートと、マシン リスト・ユーザー名リスト・インターネット ゾーンとの関連性

  Web ポリシー ルートには、2 つのエンドポイントがあります。1 つめのポイントは組織内のエンティティ (マシン リストやユーザー名リスト) を、2 つめのポイントは Web サイトのグループ (1 つ、または、複数のインターネット ゾーン) を定義します。

  Gateway のスターター ポリシーには、いくつかの Web ポリシー ルートがデフォルトで装備されています。これらのポリシー ルートのエンドポイントには、全員 と、さまざまなカテゴリのインターネット ゾーンとが指定されています。

  それぞれのルートに該当するトラフィックにデフォルトのアクションを適用し、その後、コンテンツ規則を適用します。

• グローバル Web ポリシー

  グローバル Web ポリシーは、セーフサーチ、ダウンロードとアップロードのサイズ制限、閲覧時間ポリシー などの、セキュリティ ポリシーの追加オプションです。グローバル Web ポリシーは、ポリシー ルートやコンテンツ規則に依存しない単独の設定で、Gateway を通過するすべてのトラフィックに適用されます。詳細については、「グローバル Web ポリシー」を参照してください。

• HTTPS ポリシー

  デフォルトで、Gateway は HTTPS 接続を認識し、 HTTPS コンテンツをスキャンすることはありません。HTTPS ポリシーでは、ユーザーがアクセスした HTTPS サイトのスキャンの有無を指定することができます。スキャンを有効にした場合は、証明書検証を用いてサイトへのアクセスを許可、または、ブロックします。詳細については、「HTTPS 証明書ポリシーの設定」を参照してください。

• アダプティブ リダクションとサニタイゼーション

  アダプティブ リダクションは Gateway を通過するデータから機密情報を検出し、その情報をリダクト (秘匿化) します。たとえば、検出されたクレジット番号を、アスタリスク (*) に置き換えて秘匿化します。アダプティブ リダクションは、ドキュメント、添付ファイル、メディア タイプに対して実行することができます。詳細については、「アダプティブ リダクション」を参照してください。

  サニタイゼーションは、アクティブ コンテンツ、埋め込まれたコンテンツ、URL、ハイパーリンク、スクリプト、マクロ、ドキュメント プロパティなどをデータから検出し、サニタイズ (除去) します。サニタイゼーションを使用して、ドキュメント、添付ファイル、メディア タイプに含まれている潜在的な脅威に対応します。詳細については、「サニタイゼーション」を参照してください。

参照...

• ポリシーをルートに適用