セキュアWebゲートウェイ機能
SSEアドオンを契約の際に利用できるWebブラウザ経由のトラフィックを保護するセキュリティ機能です。
ポリシー設定されたデバイスがレピュテーションデータ、または指定したサイトにWebアクセスするとクラウドにあるセキュアWebゲートウェイに送られます。セキュアWebゲートウェイはデバイスに代わってWebサイトにアクセスし、ポリシーアクションにより設定されたセキュリティ機能を実行します。セキュリティ機能によりサニタイズされたコンテンツをデバイスに送信することでWebブラウザ経由のセキュリティリスクが低減されます。セキュアWebゲートウェイにて保護されたデバイスのログは可視化/分析機能にて確認できます。
実行されるセキュリティ機能は以下の4つです。ポリシーアクションで設定した保護レベルにより実行される機能の組み合わせが決定します
| セキュリティ機能 | 用途 |
|---|---|
| アンチウイルススキャン(AV) | HTMLベースやダウンロードしたファイルをスキャンし、マルウェアなどをブロックします。Webコードに含まれるJavaScriptやCSSなどは対象外です |
| ブラウザ分離(RBI) | クラウド上でWebページが開かれ、悪意のあるコードをブロック、または、サニタイズされたコンテンツに変換してからデバイスに送信します |
| ファイル無害化(CDR) | ダウンロードされるファイルからアクティブコンテンツを動的に削除し、通常のアンチウイルススキャンでは検出が困難とされるゼロデイ脅威からデバイスを保護します |
| データ損失防止(DLP) | Webブラウザ経由によるクレジットカード番号やマイナンバーなど機密情報の不用意なアップロードを防止します。保護する機密情報はお客様ごとに選択いただけます |
| 保護レベル | 説明 | 保護機能 | 互換性(対応OS) |
|---|---|---|---|
| レベル1 | 全プラットフォームに対応。2つのエンジンでAVスキャンを実行します | AV |
|
| レベル2 | RBIが追加されます | AV + RBI |
|
| レベル3 | CDR、5つのエンジンによるマルチAVスキャンを追加します。.exeファイルのダウンロードを許可します | AV + RBI + CDR |
|
| レベル4 | DLPが追加されます。.exeファイルのダウンロードをブロックします | AV + RBI + CDR + DLP |
|
| レベル5 | 読み取り専用になります | RBI Read-Only モード |
|
セキュアWebゲートウェイでのファイルスキャンは、スキャンの種類と保護レベルによってスキャンされるファイルの種類が決まります。すべてのファイルタイプでサポートされる文字コードはUTF-8のみです。不明なファイルタイプはDLPによってブロックされます。
- AV:すべての種類のファイルをスキャンできます。
- CDR:.com、.dll、.bat、及び.exeファイルはスキャンできません。
- DLP:以下を参照してください。メッセンジャーアプリなどのエンドツーエンドの暗号化を使用するアプリケーションではアップロードのみ適用されます。
- テキストファイル形式:avro, csv, tsv, asc, brf, c, cc, cpp, cxx, c++, cs, css, dart, eml, go, h, hh, hpp, hxx, h++, hs, html, htm, shtml, shtm, xhtml, lhs, ini, java, js, json, ocaml, md, mkd, markdown, m, ml, mli, pl, pm, php, phtml, pht, py, pyw, rb, rbw, rs, rc, scala, sh, sql, tex, txt, text, vcard, vcs, wml, xml, xsl, xsd, yml, yaml
- 画像形式: bmp, gif, jpg, jpeg, jpe, png
- Office形式:docx, dotx, docm, dotm, pptx, pptm, potx, potm, xlsx, xlsm, xltx, xltm, pdf
セキュアWebゲートウェイを利用するため、Windows OSにはCA証明書が自動でプロビジョニングされます。Android/AppleのOSはプロビジョニングが必要です。Secure Accessコンソールのクライアント設定からエクスポートできます。
【注意】
- プロキシ経由(透過プロキシオプション、お客様のプロキシなど)の通信を保護対象することはサポート対象外です。
- すべてのWebアクセスを保護対象とすることはサポート対象外です。
イントラネット、証明書ピンニング、HTTP/3またはQUICなどのWebサイトはサポート対象外です。
サポート対象外のWebサイト以外においても、すべてのWebサイトが利用可能であることを保証するものではありません。セキュアWebゲートウェイの迂回設定を行うなどお客様の責任において動作の確認をしてください。
- DLPは使用により法規制の遵守が保証されるものではありません。
- DLPはスキャンしたデータがDLPルールの基準と一致している可能性を検出するものであり、100%正確な検出方法ではありません。
ファイル転送には、以下のような制限があります。
ダウンロード 100MB アップロード 1000MB(DLPは50MB)