ASA CX および Cisco Prime Security Manager 9.1 ユーザ ガイド
コンテキスト対応アクセス ポリシーによるネットワーク アクセスの制御
コンテキスト対応アクセス ポリシーによるネットワーク アクセスの制御
発行日;2013/02/21   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

コンテキスト対応アクセス ポリシーによるネットワーク アクセスの制御

次のトピックでは、ネットワークへのアクセスを制御する CX デバイスのコンテキスト対応アクセス ポリシーを使用する方法について説明します。

コンテキスト対応アクセス ポリシーの概要

コンテキスト対応アクセス ポリシーは、CX デバイスからアクセプタブル ユース ポリシーを実装するための主要ポリシーです。 コンテキスト対応アクセス ポリシーを使用すると、次のサービスが提供されます。
  • 送信元 IP アドレスと宛先 IP アドレス、プロトコル、トラフィック フローのポートをベースにした従来のコンテキスト対応アクセス ポリシー。
  • ユーザが現在使用している IP アドレスに関係なく、アクセスを要求しているユーザに基づいて、アクセスを許可または拒否する ID ベースのアクセス コントロール。 ID ベースのアクセス コントロールは、個々のユーザではなく、ユーザ グループの指定によって実行されます。したがって、ユーザにはグループ メンバーシップをベースにしたアクセスが提供されます。
  • 特定のアプリケーションまたは一般的なアプリケーションのタイプを許可または拒否するアプリケーション ベースのアクセス コントロール。 望ましくないアプリケーションの中には、ポートの使用方法を変更できるものがあるため、プロトコルとポートのサービス定義を従来どおりに使用しても有効でない場合があります。 インスペクションでは、トラフィック フローで使用されるアプリケーションがよく検出されます。 そのため、Facebook や LinkedIn などのアプリケーション名をベースにしたポリシーを記述すると、使用するポリシーを理解および評価しやすいものにすることができます。 一部のアプリケーションには許可や拒否を選択できる複数の動作があります。 たとえば、Facebook(へのアクセス)は許可するが、Facebook への投稿を拒否することができます。
  • トラフィック フロー(Web ブラウザなど)を開始するために使用されている HTTP ユーザ エージェント、または、リモート アクセス VPN ユーザの場合は、ユーザのクライアントのオペレーティング システムをベースにした選択によるアクセスを許可するクライアント ベースのアクセス コントロール。
  • 望ましくない Web サイトへのアクセスを防止する URL フィルタリング。 ギャンブルに関する Web サイトなどの特定の URL または Web サイト カテゴリ全体へのアクセスを制御することができます。
  • パブリック レピュテーション スコアが低い Web サイトへのアクセスを防止する Web レピュテーション フィルタリング。 レピュテーションに基づいたフィルタリングを実施すると、外部の低レピュテーション サイトからホスティングされるサイト上の広告または他の素材を防止しながら、高レピュテーション Web サイトへのアクセスを許可することができます。 したがって、低レピュテーション情報が含まれているため、空のボックスとして表示されるページが出現することがあります。
  • MIME タイプをベースにしたファイルのアップロードまたはダウンロードの拒否を選択できるファイル転送制御。 たとえば、使用中のネットワークにセキュリティ レベルの高いゾーンがある場合、そのゾーンからのファイルのアップロードをすべて禁止することができます。

デフォルトのコンテキスト対応アクセス ポリシーの動作

トラフィック フローがアクセス ポリシーのいずれにも適合しない場合、暗黙のアクションがそのフローに適用されます。 適合しないすべてのトラフィック フローは、デフォルトでは無条件に許可されます。 このデフォルト ポリシーは、ダッシュボードまたはイベントに出現する際には Implicit Allow と呼ばれます。


(注)  


デフォルトのコンテキスト対応アクセス ポリシーの動作は、従来のファイアウォール アクセス ポリシーの動作とは正反対です。 たとえば、ASA は、グローバルまたはインターフェイス固有のアクセス ポリシーで、許可ルールに適合しないすべてのトラフィック フローを拒否します。


ベスト プラクティスは、適合しないトラフィック フローに適用するアクションを定義した、明示的なルールを作成することです。 そのポリシーをアクセス ポリシー セットの最後に配置します。 必要に応じて、[Allow] アクションではなく [Deny] アクションを適用できます。 トラフィック一致条件については、[Source]、[Destination]、[Application] にデフォルトの [Any] を使用します。

ユーザへのブロッキング ポリシーの通知

トラフィック フローを拒否するアクセス ポリシーを作成すると、エンドユーザは宛先からブロックされます。 一般的なポリシーは、特に URL フィルタリングを実装したり、アプリケーションまたはアプリケーションの動作のブロッキングの選択を実装した場合は、公開が必要になることがあります。 たとえば、ギャンブルに関するすべての Web サイトや Facebook へのアクセスがブロックされていることを、ユーザが前もって知っている場合、これらのサイトへのアクセスは試行しません。また、試行してもアクセス先がブロックされることを予想できます。

多くの場合、CX デバイスは、Web 宛先をブロックするとユーザのブラウザにエンド ユーザの通知のページを表示します。 この通知には、組織のポリシーによってリソースへのアクセスがブロックされていることが示されます。

エンドユーザへの通知ページはいつでも表示できるわけではありません。 通常は、ユーザが Web 宛先への標準 URL を開こうとしたときに、その Web サイトにブロッキングが広範囲に適用されている場合に通知が表示されます。 ただし、通知は常に可能ではありません。 次のリストで、通知なしでユーザがリソースからブロックされるいくつかの状況を示します。
  • 通知は Web 以外のトラフィックに対して送信されることがありません。ユーザが通知を確認できるのは、HTTP リソースまたは HTTPS リソースにアクセスした場合だけです。
  • IP アドレス、ユーザ名、またはユーザ グループ メンバーシップに基づいてアクセスが拒否された場合の通知は送信されません。
  • 標準 Web ページではなく、自己完結したアプリケーションの外観を与える Web 2.0 スタイル アプリケーションのサイトへのアクセスを拒否すると、ユーザに通知が表示されない可能性が高くなります。 この現象は、Web サイトがユーザ エクスペリエンスの制御に Javascript を使用しているために発生します。新しいページを読み込む代わりに、AJAX 呼び出しを使用して、URL を変更せずにページのコンテンツを更新することがよくあります。 デバイスは、ユーザが定義したアプリケーションの動作に対する要求を認識できますが、ユーザへの通知をサイトの Javascript に挿入することはできません。
  • その結果、一部のポリシーは、フローが許可されるか、拒否されるかにかかわらず、評価が「遅延」します。 適切なネットワーク パフォーマンスを保証するために、フローの拒否を決定する前に、デバイスが宛先にトラフィック フローの一部を送信する場合があります。 これは、ファイルのアップロードまたはダウンロードをブロックするポリシーが存在する場合、またはアプリケーション、アプリケーション タイプ、またはアプリケーション カテゴリに基づいてフローをブロックするポリシーが存在する場合に発生する可能性があります。 宛先からの最初の応答を受信してからフローが最終的に拒否された場合、そのフローは途中でドロップされ、通知できません。
  • アクセス ポリシーの順序が重要です。 アクセス ポリシー セット内の下部にある拒否ポリシーとトラフィック フローが一致し、ポリシー セット内の上部にあるポリシー(アプリケーション基準を指定するポリシーなど)で、フローが一致するかどうかの判断に追加の分析が必要な場合は、フローの一部が送信され、最初の応答を受信してから、遅れて拒否の判断が行われることがあります。 ポリシー セットは最初に一致したものから順に分析されるため、必ず汎用性の高いポリシーよりも上に、限定的なポリシーを配置する必要があります。 URL フィルタリングなどの単純なポリシーも、複雑なアプリケーション フィルタ ポリシーよりも上に配置する必要があります。

コンテキスト対応アクセス ポリシーの設定

ネットワーク リソースへのアクセスを制御するには、コンテキスト対応アクセス ポリシーを使用します。 アクセスの制御は次に基づいて行われます。

  • 送信元および宛先の IP アドレス、プロトコル、ポートなどの従来の 5 タプル形式。
  • 要求を作成したユーザ、またはユーザがメンバとなっているユーザ グループ。
  • 使用されているアプリケーション。 汎用的なアプリケーションのタイプに対するアクセスも制御できます。
  • 要求を作成するために使用された HTTP クライアントのタイプ(ブラウザのタイプなど)、または VPN クライアントのオペレーティング システム。
  • 汎用的な URL のカテゴリが含まれる Web 要求の宛先 URL。

ネットワーク アクセスを許可するアクセス ポリシーを作成すると、特定のファイル タイプのアップロードまたはダウンロードを禁止したり、パブリック レピュテーションが非常に低い Web サイトへのアクセスを禁じて、許可するアクティビティを制限することができます。

手順
    ステップ 1   [Policies] > [Policies] を選択します。

    ポリシーはポリシー セットに編成され、各ポリシー セットは、ポリシーが別個の順序付きリストになっています。 ポリシー セットに関連したコマンドを参照するには、そのポリシー セットの名前にマウスを置きます。 個々のポリシーに関連したコマンドを参照するには、そのポリシーの名前にマウスを置きます。 これで目的のコマンドを選択できます。

    既存のポリシーについて処理する必要がある場合、フィルタ コントロールを使用すると、変更するポリシーを簡単に見つけることができます。

    ステップ 2   次のいずれかを実行します。
    • リストの先頭に新しいポリシーを作成するには、アクセス ポリシー セット名の上にマウスを置き、[Add New Policy] をクリックします。
    • 新規ポリシーをリスト中に挿入するには、目的の位置の直下のアクセス ポリシーの上にマウスを置き、[Add Above] をクリックします。
    • 既存のポリシーを編集するには、アクセス ポリシー名の上にマウスを置き、[Edit Policy] をクリックします。
    • 類似した既存のポリシーを基に新規ポリシーを作成するには、アクセス ポリシー名の上にマウスを置き、[Duplicate Policy] をクリックします。

    アクセス ポリシーのプロパティとともに、フォームが開きます。 これらのプロパティの詳細については、コンテキスト対応アクセス ポリシーのプロパティを参照してください。

    ステップ 3   一致したトラフィックに適用するポリシー アクションを、[Allow] または [Deny] から選択します。
    次のプロパティは変更もできますが、多くのポリシーではデフォルトが適しています。
    • [Eventing: On/Off]:このポリシーのイベントを生成するかどうか。 Event Viewer でイベントを生成するか、ダッシュボードでデータを生成するためには、このポリシーに適合するトラフィック フローのイベンティングをイネーブルにする必要があります。 イベンティングはデフォルトでイネーブルになっています。
    • [Capture Packets: On/Off]:このポリシーと一致するパケットをキャプチャするかどうか。 すべてのパケットが許可または拒否にかかわらずキャプチャされます。 この設定が機能するのは、すべてのトラフィック基準が [Any] または [Layer 3/Layer 4](つまり、ネットワークとサービス オブジェクトのみでその他のオブジェクト タイプがない)の場合だけです。
    ステップ 4   トラフィック一致基準を [Source]、[Destination]、[Application] の各フィールドを使用して定義します。
    基準に基づいてトラフィックを制限しない場合は、フィールドをブランクのままにします。 各フィールドの詳細については参照トピックを参照してください。ただし、次のヒントも考慮してください。
    • 非常に複雑な送信元または宛先基準を作成する必要がある場合は、送信元および宛先オブジェクト グループを使用します。 これらのオブジェクトを使用して、複雑な組み合わせの他のオブジェクトでトラフィック フローを正確に定義できます。
    • URL フィルタリングを実装するには、宛先基準で URL オブジェクトを使用します。 URL カテゴリを使用すると、特定のタイプのサービスを提供するすべての Web サイトへのアクセスを制御することができます。 たとえば、ギャンブル カテゴリを使用すると、すべてのギャンブル サイトの URL を知らなくても、ギャンブルに関するすべての Web サイトを拒否することができます。 カテゴリを拒否する URL オブジェクトをセットアップすることもできますが、カテゴリ内で許可する特定の Web サイトは除外してください。
    • アプリケーション制御を実装するには、[Application] フィールドに基準を指定します。 アプリケーション タイプ全体を制御することも(そのタイプのすべてのアプリケーションに同じポリシーを適用)、独自に定義したアプリケーション サービスを含む特定のアプリケーションを制御することもできます。 アプリケーションまたはタイプを指定すると、特定のポートに対する制御を制限せずにアクセスを制御できます。
      (注)     

      Facebook や LinkedIn などの一部のアプリケーションでは、アプリケーションの特定の動作について、詳細な制御ができるようになっています。 これらの動作は、制御可能な動作のあるアプリケーションを含む項目を選択すると発生します。

    ステップ 5   (任意)ポリシー アクションが [Allow] の場合、アクションを選択的に拒否するように次のプロファイルを設定することもできます。
    • ファイル フィルタリング アクション:ダウンロードもアップロードもできないファイルの MIME タイプを定義するプロファイル オブジェクトを選択できます。
    • Web レピュテーション アクション:ブロックする必要のあるパブリック レピュテーション スコアの範囲を定義するプロファイル オブジェクトを選択できます。 これは、脅威からの保護に使用します。 事前定義システム オブジェクト [Default Reputation Profile] では、レピュテーション スコアが -10 から -6 のサイトで推奨されるブロックが実装されます。
    ステップ 6   [Save Policy] をクリックして変更を保存します。
    ステップ 7   ポリシー セット内の優先順位に収まるように、必要に応じて [Policies] ページでポリシーを移動します。

    ポリシー セット内のポリシーは、最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つポリシーは、同じトラフィックに適用され、汎用的な基準を持つポリシーよりも上に置く必要があります。

    ポリシーをドラッグ アンド ドロップしたり、ポリシーにマウスを移動すると表示される [Move Up]、[Move Down] 各リンクを使用することができます。


    次の作業

    ポリシーのアクティビティを分析します。 [Policies] ページの各ポリシーには、ヒット カウント情報が含まれています。これは、ポリシーの詳細なポリシー ヒット ダッシュボードにリンクしています。 また、[Dashboard] > [Policies] を選択して、ポリシー ヒット ダッシュボードに直接アクセスすることもできます。

    コンテキスト対応アクセス ポリシーのプロパティ

    ネットワークへのアクセスを制御するには、CX デバイスでコンテキスト対応アクセス ポリシーを使用します。

    アクセス ポリシーには次のプロパティがあります。

    Policy Name

    ポリシーの名前。 この名前は、このポリシーと一致するトラフィックによって生成されるデータとイベントについて、ダッシュボードと Event Viewer に表示されます。そのため、ダッシュボードとイベント データの解析に役立つ名前を選択します。

    Enable Policy:On/Off

    ポリシーがイネーブルかどうかを示します。 ポリシーをオフにすると、ポリシーを削除せずに一時的にディセーブルにできます。 ディセーブルに設定されたポリシーはトラフィックに適用されません。

    Policy Action:Allow/Deny

    ポリシーがネットワーク アクセスを許可するか、拒否するかを示します。 拒否されたトラフィックはドロップされます。

    Eventing:On/Off

    ポリシーに適合するトラフィック フローがイベントとダッシュボード データを生成するかどうかを示します。 デフォルトは [On] です。 イベンティングをオフにすると、このポリシーに一致するトラフィックはダッシュボードに反映されず、Event Viewer にはフローのイベントが表示されません。

    Capture Packets:On/Off

    ポリシーの一致基準がレイヤ 3/レイヤ 4(L3/L4)基準(ネットワーク オブジェクト、サービス オブジェクト)に制限されているか、パケットがデフォルトの [Any] を使用している場合に限り、このポリシーに一致するフローのパケットをキャプチャするかどうかを示します。 パケット キャプチャのデフォルトは [Off] です。 すべてのパケットがキャプチャされるため、パケット キャプチャをイネーブルにする前に、フローに適合するトラフィック ボリュームについて慎重に考慮してください。

    パケットは、L3/L4 以外の基準を使用するポリシーについては、パケット キャプチャがイネーブルになっていてもキャプチャされません。

    パケット キャプチャ ファイルは、パケット キャプチャをオフにするまでディスクに書き込まれません。 パケット キャプチャをサーバにアップロードするには、システム CLI にログインし、support diagnostic コマンドを使用します。

    パケットのキャプチャ方法の詳細については、パケットのキャプチャを参照してください。

    Traffic Matching Criteria

    複雑なトラフィック一致基準を作成して、正確なポリシーを定義することができます。 アクセス ポリシーと一致するためには、フローは指定したすべてのプロパティと一致する必要があります。つまり、プロパティの間には AND 関係があります。 条件に基づいてポリシーを制限しない場合は、デフォルトの [Any] を選択します。 考えられるすべてのトラフィック フローを照合するには、すべてのフィールドをデフォルトの [Any] のままにします。

    [Source]、[Destination]、[Application/Service] 基準は、ポリシーが適用されるトラフィックを決定するために使用されます。 項目の追加、編集、削除方法などの項目の選択方法、選択リストのフィルタリング方法、オブジェクトの作成または編集方法、オブジェクト内容の表示方法については、項目の選択を参照してください。

    Source

    次のタイプのポリシー オブジェクトのリスト:ネットワーク グループ(IP アドレス)、アイデンティティ(ユーザまたはユーザ グループ名)、ユーザ エージェント(Web 要求を作成するクライアント アプリケーションのタイプ)、セキュア モビリティ(リモート アクセス VPN クライアントのタイプ)、または送信元オブジェクト グループ(ポリシーで直接定義できない複雑な AND/OR 関係のオブジェクトのコレクション)。 選択したいずれかのオブジェクトとパケットが一致すると、送信元条件を満たしていると見なされます。


    (注)  


    マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、送信元基準または宛先基準には、CX デバイスを含むデバイスで定義されているネットワーク オブジェクトまたはグループを使用し、サービス基準には、ASA サービス オブジェクトを使用することもできます。 ネットワーク グループ オブジェクトには 2 つのタイプがあります。1 つは ASA と CX デバイスの両方で使用できます。もう 1 つは CX デバイスでのみ使用でき、特に ASA CX ネットワーク グループと呼ばれます。


    Destination

    次のタイプのポリシー オブジェクトのリスト:URL(URL または Web カテゴリ)、または宛先オブジェクト グループ(ポリシーで直接定義できない複雑な AND/OR 関係のオブジェクトのコレクション)。 選択したいずれかのオブジェクトとパケットが一致すると、宛先条件を満たしていると見なされます。

    URL フィルタリング機能を無効にするか、有効な Web Security Essentials ライセンスを持っていない場合、このフィールドや宛先オブジェクト グループで URL オブジェクトを使用することはできません。


    ヒント


    アクセス ポリシーに応じたオブジェクトを設定する際には、暗号化されたトラフィック(復号化ポリシーでフローが復号化されていないもの)または HTTPS ではない復号化されたフローに対して、パスを照合できないことに注意してください。こうした場合、アクセス ポリシーではドメイン名のみが指定された URL が照合されます。


    Application/Service

    アプリケーション、アプリケーション タイプ、(アプリケーションまたはアプリケーション タイプを識別する)アプリケーション オブジェクト、サービス グループ(プロトコルとポートの組み合わせ)、または(サービスとアプリケーション、アプリケーション タイプ、またはアプリケーション仕様の組み合わせに基づいてアプリケーションを定義)アプリケーション サービス オブジェクト。 トラフィックは検査されるため、トラフィック フローのアプリケーションは、フローで使用されるポートに関係なく決定されることがよくあります。使用されるポートを予測しようとするよりも、名前によって特定のアプリケーションまたはアプリケーション タイプに送信されるルールを作成することができます。 選択したいずれかのアプリケーション仕様とパケットが一致すると、アプリケーション条件を満たしていると見なされます。


    ヒント


    Application Services 機能をディセーブルにした場合、または有効な Application Visibility and Control ライセンスがない場合、このフィールドは [Services] という名前になり、サービス オブジェクトとグループの使用に限定されます。


    一部のアプリケーションには複数のアプリケーション動作があります。 たとえば、Facebook には投稿やタグ付けなどの動作があり、イベント、一般、メッセージ、注、写真、場所などの Facebook エリアや機能でカテゴリ分けされます。 アクションが [Allow] となっているアクセス ポリシーに複数の動作があるアプリケーション タイプを指定すると、これらの動作に対して細かい制御を実施します。そのため、通常は、アプリケーション タイプを許可し、特定の動作を拒否することができます。 たとえば、Facebook の投稿は許可するが、写真のアップロードやメッセージの添付は許可しないなどです。

    アプリケーション タイプ、またはタイプを指定したり、複数の動作を含んだアプリケーション オブジェクトを選択すると、[Set Application Behaviors] コントロールが [Application] ボックスの下に表示されます。 各動作は別々にリストされます。 特定の動作を制御するため、次の手順を実行します。
    • すべての動作の設定を一度に変更するには、[Set Global Behavior To] に [Allow All] または [Deny All] を選択します。 これらのオプションによって、動作リスト全体の Allow/Deny 設定を変更するショートカットが提供されます。 たとえば、動作の大半を拒否し、数個の動作だけを許可する場合は、まず [Deny All] を選択し、次に目的の動作を [Allow] に変更することができます。 デフォルトでは、すべてのアプリケーション動作が許可されます。
    • 個々の動作の設定を変更するには、[Allow/Deny] フィールドをクリックして目的のオプションを表示します。 [Allow/Deny] フィールドは、全体のポリシー アクションを [Allow] に変更した場合にのみ表示されます。
    Profile
    ポリシー アクションに [Allow] を選択すると、アクセプタブル ユース ポリシーを実装するため、アクション プロファイルのポリシー オブジェクトを選択することもできます。 アクション プロファイルを使用すると、特定のタイプのトラフィックをドロップできます。このタイプは、アクション プロファイルを使用しない場合は許可されます。
    • [File Filtering Action Profile]:ユーザがアップロードまたはダウンロードできるファイルのタイプを指定するプロファイル オブジェクト。
    • [Web Reputation Action Profile]:トラフィックの Web レピュテーションに基づいてドロップされるトラフィックを判定するプロファイル オブジェクト。 事前定義システム オブジェクトである [Default Reputation Profile] では、レピュテーションが 6 以下のトラフィックをすべてドロップする推奨ポリシーが実装されます。

    (注)  


    [Create New Profile] をクリックして、新規プロフィル オブジェクトを作成できます。 プロファイルの作成、編集、および表示プロセスは、上記で述べたように、これらのアクションを他のポリシー オブジェクトで行う場合と同じです。


    Tags

    この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

    Ticket ID

    ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)

    ナビゲーション パス

    • コンテキスト対応アクセス ポリシーを作成するには、[Policies] > [Policies] を選択してから、アクセス ポリシー セットの名前の上にマウスを置いて、[Add New Policy] をクリックします。
    • コンテキスト対応アクセス ポリシーを編集するには、[Policies] > [Policies]を選択してから、ポリシーの上にマウスを置いて、[Edit Policy] をクリックします。

    URL フィルタリングとアプリケーション フィルタリング

    コンテキスト対応アクセス ルールにより、個々の URL または URL カテゴリをベースにしたネットワーク アクセスの制御(URL フィルタリングと呼ばれます)およびアプリケーション、アプリケーション タイプ、アプリケーションと従来のポート ベースのサービス仕様、さらには個々のアプリケーションのさまざまな動作をベースにしたネットワーク アクセスの制御(アプリケーション フィルタリングと呼ばれます)ができるようになります。 これらの機能を利用すると、禁止または許可しようとしているトラフィック、特にファイアウォールをブロックしないようにするポートを意図的に変更するトラフィックについての完全な特性を指定しなくても、ポリシーの定義と適用がより簡単に行えるようになります。

    URL フィルタリングとアプリケーション フィルタリングを使用して同様のポリシーを定義することはできますが、こうしたフィルタリングのタイプは同等ではありません。 たとえば、ゲーム関連の URL カテゴリを拒否するアクセス ルールを作成した場合、ゲーム関連のアプリケーション タイプを拒否するアクセス ルールを作成した場合と同じ結果は得られません。

    ここでは、URL フィルタリングとアプリケーション フィルタリングについてより詳細に説明します。

    URL フィルタリングとアプリケーション フィルタリングの比較

    URL フィルタリングとアプリケーション フィルタリングには 2 つの異なる目的があります。
    • URL フィルタリングは、宛先サイトの URL をベースにしたトラフィックを拒否または許可し、HTTP または HTTPS トラフィックのみに対して機能します。 URL フィルタリングの目的は、主に Web サイトへのアクセスを完全にブロックまたは許可することです。 個々のページをターゲットにすることができますが、通常はホスト名(www.example.com など)または特定のタイプのサービスを提供するホスト名の一覧を定義する URL カテゴリ(ギャンブルなど)を指定します。 したがって、URL フィルタリング ルールはアプリケーションに幅広く普及しており、適用が容易であるため、トラフィックを許可または拒否するデバイスには遅延が発生しません。 URL フィルタリングは、復号化ポリシーで使用することもでき、特定のタイプの復号化処理を受ける必要のあるトラフィック フローの識別に役立ちます。 たとえば、金融関連カテゴリをターゲットにして、[Do Not Decrypt] アクションを適用すると、一般的に信頼できるサイトへのトラフィックの復号化にデバイス リソースが消費されなくなります。 アプリケーション フィルタリングは復号化ポリシーでは使用できません。 URL フィルタリングを設定するには、アクセス ポリシーまたは復号化ポリシーの [Destination] フィールドに URL オブジェクトを指定します。 URL オブジェクトは宛先オブジェクト グループに含めることもでき、そのポリシーでの宛先指定に使用できます。
    • アプリケーション フィルタリングは、トラフィック フローの細かい特性に基づいてトラフィックを拒否または許可します。 一部のアプリケーションでは、たとえば Facebook へのアクセスは許可するが、写真の投稿はできないようにするなど、アプリケーションで可能な動作に基づいたさまざまなアクションを指定できます。 さらに、HTTP/HTTPS 以外の多くのトラフィック フローに対するアプリケーションとアプリケーション タイプがあります。 ICMP やさまざまなルーティング プロトコルなどの、TCP/UDP 以外のフローに対しても、アプリケーションとアプリケーション タイプがあります。 そのため、Web ブラウジングに関係のないトラフィック フローのアプリケーション レベルで、ポリシーを定義することができます。

      (注)  


      通常、HTTP または HTTPS 以外のプロトコルを使用するアプリケーションが認識されるためには、デフォルトのポートを使用している必要があります。


      アプリケーション タイプに含まれるアプリケーションには、同等の URL カテゴリに含まれるすべての同じ Web サイトが含まれるわけでも、それらだけが含まれるわけでもないことにも注意してください。 トラフィック フローの開始時には、どのアプリケーションまたは動作がフローに含まれるかどうか明らかではないため、フローの内容に対する決定が行われるまでは、フローの一部が許可されることがあります。 拒否アクセス ポリシーは、フローの開始時ではなくフローの途中で適用されることがあります。

    HTTP/HTTPS トラフィック フローに対して、URL フィルタリングとアプリケーション フィルタリングのどちらを使用するかを決定する際は、その Web サイトに送信するすべてのトラフィックに適用するポリシーを作成するかどうかを考慮に入れてください。 このようにすべてのトラフィックを同じように処理する(トラフィックを拒否または許可する)場合は、URL フィルタリングを使用します。 トラフィックをサイトでブロックするか、許可するかを選択する場合は、アプリケーション フィルタリングを使用します。

    URL フィルタリングとアプリケーション フィルタリングには、専用のライセンスが必要であることにも注意してください。

    シグニチャおよびエンジン更新の設定

    アプリケーションおよびアプリケーション タイプ、URL カテゴリおよび Web レピュテーションはシグニチャによって定義され、セキュリティ アプリケーション スキャナ(SAS)エンジンによって適用されます。 これらの機能に対する更新は、更新サーバで利用できることが多くあります。 SAS エンジンのアップグレード用に更新時間枠を設定したり、すべての更新を入手するために使用する HTTP プロキシを設定したりできます。

    更新設定を変更しなかった場合、デバイスは更新サーバを常時 5 分間隔でチェックし、更新が見つかった場合はダウンロードします。 更新によって次の設定が変更されます。
    • 新しい URL カテゴリ、アプリケーション、アプリケーションの動作、またはアプリケーション タイプ。
    • 既存の URL カテゴリ、アプリケーション、アプリケーションの動作、またはアプリケーション タイプの変更。 既存の項目は、名前が変更されたり、削除されることがあります。 複数の項目が結合されることがあります。あるいは、1 つの項目が 1 つ以上の項目に分割されることがあります。
      • 項目の名前が単純に変更されると、この項目を使用するすべてのポリシーに新しい名前が表示され、ポリシーは予想どおりに引き続き動作します。
      • 項目が削除、分割または結合された場合、項目はサポートされていないことを示すエラー メッセージに置き換えられます。 その項目と一致するトラフィックはなくなります。 影響を受ける個々のポリシーを編集して、適切に置き換える必要があります。
    • URL カテゴリ内に含まれる URL の変更。
    • Web サイトの Web レピュテーションの変更。

    アプリケーションまたは Web サイトの分類方法が変更されると、アプリケーションのトラフィック、または Web サイトへのトラフィックが、既存のポリシーに基づいてどのように処理されるかが変わることがあります。 たとえば、ブロックしているカテゴリに新しいサイトを追加し、更新以前はそのサイトへのトラフィックが許可されていた場合、ユーザは更新後にトラフィックがブロックされることに突然気付きます。

    ポリシーを記述したアプリケーションに新しい動作が追加されると、その新しい動作は初期状態で許可されます。 この動作を拒否するには、該当するポリシーを編集する必要があります。 Application Viewer を使用すると、過去 30 日以内に追加された新しいアプリケーションが表示され、新しいアクセス ポリシーが予想どおり機能しているかどうかを識別できます。 アプリケーション ビューアを開くには、[Policies] > [Applications] を選択します。


    ヒント


    プロキシを PRSM マルチ デバイス モードで定義すると、同じプロキシが管理対象のすべての CX デバイスで使用されます。 管理対象デバイスとプロキシの地理的位置関係に問題がないことを確認してください。 管理対象のすべてのデバイスに同じプロキシを使用できない場合は、複数の PRSM サーバを使用して、同じプロキシを使用できるデバイスのグループを管理します。 あるいは、個々のデバイスの管理ネットワーク用ファイアウォール ルールを、インターネットへのアクセスを許可するよう変更し、プロキシを不要にします。


    手順
      ステップ 1   [Device] > [Updates] を選択します。

      [Updates] ページに、前回の更新日時、コンポーネントのバージョンなど、更新可能なさまざまなシグニチャ パッケージとエンジンが表示されます。 PRSM マルチ デバイス モードでは、PRSM 用と、管理対象の個々の CX デバイス用に別々のリストがあり、システム中のコンポーネントのバージョンを比較することができます。

      パッケージの内容は次のとおりです。
      • AVC:Application Visibility and Control。 このパッケージのコンポーネントは、ポリシーを設定できるアプリケーション タイプとアプリケーションを定義します。
      • WBRS:Metascan Web レピュテーション フィルタ。 このパッケージ内のコンポーネントによって、Web レピュテーション スコアと URL カテゴリが定義されます。
      • SAS:Security Application Scanner。 SAS エンジンは、トラフィックを評価し、アプリケーション、Web カテゴリ、または宛先に関連付けられた Web レピュテーションを決定します。
      ステップ 2   [I want to] > [Edit Settings] を選択します。
      ステップ 3   必要に応じて、次の設定を変更します。
      • [Updates]:更新のダウンロード頻度。
        • [Check every 5 minutes]:更新サーバはシグニチャの有無を確認し、SAS エンジンは常時 5 分おきに更新されます。 これはデフォルトです。
        • [Check every 5 minutes within window]:更新サーバは引き続きシグニチャの有無を、常時 5 分おきに確認します。 ただし、SAS エンジンの更新は、ユーザが選択した時間枠内でのみ確認されます。 ボックスをクリックし、開始時刻と終了時刻を選択します。この時刻は 15 分刻みになっています。 たとえば、「From 12:00 AM to 04:00 AM」と選択すると、更新をトラフィック量の少ない早朝に限定することができます。
          (注)     

          時間枠は 1 日の中に制限されます。 たとえば、深夜の日付をまたぐ時間枠は指定できません。 時間枠を 1 日の中に収めるには、開始時刻を終了時刻よりも前にする必要があります。

        • [Never check]:更新サーバはシグニチャまたは SAS エンジン更新の有無を確認しません。 この設定は一時的に使用するか、機能ライセンスを購入しない場合に使用します。
      • [HTTP Proxy Server: Enable/Disable]:シグニチャと SAS エンジンの更新によってプロキシ サーバがダウンロードされます。 プロキシ サーバを設定しなかった場合、更新は管理インターフェイスから取得されるため、管理ネットワークからインターネットへのルートが必要です。 プロキシ サーバを設定するには、次のプロパティを設定します。
        • [HTTP Proxy Server: Enable]。
        • [Proxy IP]:プロキシ サーバの IP アドレスまたは完全修飾ドメイン名。 たとえば、10.100.10.10 や proxy.example.com などです。
        • [Port]:プロキシ サーバがリッスンするポート。 標準ポートは 80、3128、または 8080 です。 正しいポート番号を指定するには、プロキシ サーバの設定を確認してください。
        • [Username]、[Password]:プロキシ サーバにログインし、必要に応じてこのサーバを経由してトラフィックを引き渡す際に必要なクレデンシャル。
      ステップ 4   [Save] をクリックします。

      次の作業

      • Event Viewer を使用すると、更新に関連したシステム イベントを確認できます。 [System Events] ビューでアップデータ接続イベントがあるかどうか確認します。
      • Application Viewer を使用すると、過去 30 日以内にインストールされた新しいアプリケーションを確認できます。
      • 新しい項目を使用するようにポリシーを設定します。
      • ダッシュボードを表示して、新しい項目の統計情報を表示します。 新しい項目は、システムを通過するすべてのトラフィックが一致すると想定して、ダッシュボードですぐに使用できます。

      シグニチャとエンジン更新のトラブルシューティング

      Event Viewer を使用すると、更新に関連したシステム イベントを確認できます。 [System Events] ビューでアップデータ接続イベントがあるかどうか確認します。

      以下は発生する可能性のある一般的な問題の一部です。
      • 更新が行われるのは、システムにアクティブで有効な Application Visibility or Control ライセンスおよび Web Security Essentials ライセンスがある場合だけです。 使用している機能に適切なライセンスがあることを確認します。
      • 更新はシステムにインターネットへのルートがあり、シスコの更新サーバに到達できる場合にのみ行われます。 管理インターフェイスの接続先ネットワークにインターネットへのルートを確立するか、アップデータに HTTP プロキシ サーバを設定するという、2 つの選択肢があります。
      • PRSM マルチ デバイス モードを使用する場合、CX デバイスと PRSM サーバの両方が更新をダウンロードすることに注意してください。 PRSM サーバよりも新しいバージョンを持つデバイスをインポートすると、インポートされたアクセス ポリシーに、PRSM で使用できないアプリケーションのアプリケーション仕様を含む「(Unrecognized application)」が表示されることがあります。 これらのポリシーは正しく配置され、シグニチャが更新されるとすぐに、PRSM で適切なアプリケーション名が表示されます。
      • プロキシを PRSM マルチ デバイス モードで定義すると、同じプロキシが管理対象のすべての CX デバイスで使用されます。 管理対象デバイスとプロキシの地理的位置関係に問題がないことを確認してください。 管理対象のすべてのデバイスに同じプロキシを使用できない場合は、複数の PRSM サーバを使用して、同じプロキシを使用できるデバイスのグループを管理します。 あるいは、個々の CX デバイスの管理ネットワーク用ファイアウォール ルールを、インターネットへのアクセスを許可するよう変更し、プロキシを不要にします。
      • シグニチャは、関連する SAS エンジンが必要なバージョンになっていなければ、アップロードされません。 SAS エンジンの更新に対応した更新時間枠を設定すると、新たにダウンロードされたシグニチャの更新がすぐにはインストールできないことがあります。 新しい SAS エンジンがインストールされると、このエンジンを必要とする新しいシグニチャ ファイルがインストールされます。
      • システムは誤った更新を正しく識別し、その更新を削除して、前の正しいバージョンに戻ります。ユーザの介入は不要です。 最後に認識された正しいバージョンは、リカバリ用として必ず保存されます。

      アプリケーションの制御

      Application Visibility and Control(AVC)エンジンは、トラフィックを検査し、トラフィック フローに関連付けられたアプリケーションを判別します。 たとえば、検査によって、Facebook と LinkedIn の区別をするなどの、HTTP トラフィック フローに転送される特定のアプリケーションを識別することができます。

      さまざまな Web ベースのアプリケーションがあるため、AVC では、すべての Web トラフィックに包括的なポリシーを適用したり、特定の Web サイトに関連付けられたアプリケーションを制御する URL フィルタリングを使用したりするのではなく、特定の Web ベースのアプリケーションを制御できるようにします。 アプリケーション制御によって、URL フィルタリングだけではなく、Web トラフィックを経由した細かな制御ができるようになります。

      AVC は、Web 以外のトラフィックも識別できるため、プロトコル/ポートに基づくポリシーではなく、アプリケーションに基づくポリシーを作成できます、 たとえば、TCP/179 サービスではなくボーダー ゲートウェイ プロトコル トラフィック用のアプリケーション ベースのポリシーを作成できます。 AVC エンジンを使用すると、各アプリケーションの基盤技術を完全に理解しなくても、ネットワーク上でのアプリケーション アクティビティを制御するポリシーを作成できます。

      アプリケーションに基づいてトラフィック フローを制御するには、[Application] フィールドで次の組み合わせを指定するコンテキスト対応アクセス ポリシーを作成します。
      • アプリケーション タイプ。関連するアプリケーションのグループの使用を制御します。 たとえば、AOL Instant Messenger、Google Talk、ICQ、および他の多くの IM アプリケーションをすべて同じように扱う場合、これらを処理するインスタント メッセージング アプリケーションのポリシーを記述します。
      • 特定のアプリケーションの使用を制御するアプリケーション。
      • アプリケーション ポリシー オブジェクトで定義されるアプリケーション タイプまたはアプリケーションのグループを制御する、アプリケーション オブジェクト。
      • アプリケーション、アプリケーション タイプ、プロトコルとポートを指定する従来のサービス グループ オブジェクトに基づいて定義したアプリケーションを制御する、アプリケーション サービス オブジェクト。

      アプリケーション フィルタリング用の復号化要件

      トラフィック フローで使用されるアプリケーションは、トラフィック フローが暗号化されない場合に限り、判別できます。 そのため、あるアプリケーションが通常 HTTPS(暗号化)を使用する場合、そのアプリケーションに対して記述したアクセス ポリシーは、アプリケーションのトラフィックを復号化するアクションを適用する復号化ポリシーとペアになります。

      たとえば、任意の送信元から任意の宛先へのアクセス ポリシーを記述し、暗号化を使用するアプリケーションを指定した場合、復号化ポリシーも任意の送信元と任意の宛先に適用する必要があります。そうしないと、アプリケーションが常に復号化されないことになり、そのアプリケーションが識別されない場合が発生します。

      復号化は、アプリケーションをダッシュボード統計情報に表示するためにも必要です。

      アプリケーション フィルタリングのヒント

      アプリケーション基準を使用しているアクセス ポリシーにトラフィック一致基準を作成する場合、通常は目的のアプリケーションまたはアプリケーション タイプを選択するだけです。 選択は直接実行するか、再利用可能なアプリケーションまたはアプリケーション サービス オブジェクトを作成して実行します。

      ただし、期待どおりの結果を得るためのテクニックもあります。 次の表に、特定のアプリケーションにアプリケーション フィルタリングを使用する際のいくつかのヒントを示します。

      アプリケーション

      フィルタリング基準

      AOL Instant Messenger(AIM)

      すべての AIM トラフィックを対象にするには、[AOL Instant Messenger] と [AOL protocol] の 2 つのアプリケーションを選択する必要があります。

      (注)     

      AOL プロトコルは ICQ でも使用されるため、ICQ と AIM のどちらか一方を許可し、もう一方を拒否する場合は、AOL プロトコルを許可する必要があります。

      ICMP

      Internet Control Message Protocol(ICMP)トラフィックを対象にするには多くの方法があります。
      • サービス オブジェクト:アプリケーション フィルタリングの代わりにサービス オブジェクトを使用できます。 事前定義済みの [protocol-icmp] または [protocol-icmp6] を使用してすべての ICMP トラフィック(IPv4 または IPv6)を対象とするか、([icmp-*] および [icmp6-*] という名前の)各 ICMP メッセージ タイプを対象とする事前定義済みオブジェクトがあります。 任意の組み合わせのメッセージ オブジェクトを定義するオブジェクトを作成することもできます。
      • アプリケーション:[internet control message protocol]、[internet control message protocol version 4]、[ipv6-icmp] などいくつかのアプリケーションがあります。 ただし、これらのアプリケーションは独自のアプリケーションを持ち、[ping] とは一致しません。 また、[ipv6-*] という名前の、他のメッセージ タイプに対するアプリケーションもありますが、すべてのメッセージ タイプに独自のアプリケーションがあるわけではありません。

      ICQ

      すべての ICQ(「I seek you」)トラフィックを対象にするには、[icq] と [AOL protocol] の 2 つのアプリケーションを選択する必要があります。

      (注)     

      AOL プロトコルは AIM でも使用できるため、ICQ と AIM のどちらか一方を許可し、もう一方を拒否する場合は、AOL プロトコルを許可する必要があります。

      eMule

      eMule トラフィックを対象にするには、[eDonkey] アプリケーションと [encrypted emule] アプリケーションを選択します。

      Application Viewer の使用

      Application Viewer の用途は次のとおりです。
      • アクセス コントロールとレポート作成で現在使用できるアプリケーションとアプリケーション タイプを探索します。
      • アプリケーション タイプ内に含まれるアプリケーションか、アプリケーションが属するタイプを判別します。
      • アプリケーションで使用できる制御可能な動作を判別します(ある場合)。
      • ポリシーまたはポリシー オブジェクト内のアプリケーションまたはアプリケーション タイプの現在の使用状況を表示します。
      • ユーザがアプリケーションを使用しようとした回数を示す、各アプリケーションのヒット数を表示します。 ヒット カウントは、アプリケーションの詳細ダッシュボードにリンクされます。
      • ユーザがそのタイプのアプリケーションを使用しようとした回数を示す、各アプリケーション タイプのヒット カウントを表示します。 カウントはタイプ内のすべてのアプリケーション ヒットの要約です。 ヒット カウントは、アプリケーション タイプの詳細のダッシュボードにリンクされます。

      ヒント


      ヒット カウントは現在ダッシュボードで選択されている時間範囲に基づいています。 時間範囲を確認するには、ヒット カウントの上にマウスを置きます。


      アプリケーション ビューアを開くには、[Policies] > [Applications] を選択します。

      Application Viewer には次の項目が含まれます。
      • [Filter]:ビューをフィルタリングして、アプリケーションを見つけやすくすることができます。 1 つ以上の文字列を入力し、[Filter] をクリックすると、文字列の 1 つを含むアプリケーションまたはタイプだけが表示されます。 入力した文字列は、アプリケーション名またはタイプ、動作、ポート番号など、一致すると見なされる項目のどこにあってもかまいません。 つまり、文字列はアプリケーション名またはタイプの先頭と一致する必要はなく、名前になくてもかまいません。 アプリケーション タイプ リストを検索すると、タイプ内のアプリケーションとの一致も表示されます。 フィルタを削除するには、ボックスから削除し、[Filter] をクリックします。
      • [I want to]:次のコマンドが含まれています。
        • [View by Application Types]:個々のアプリケーションではなく、リスト内のアプリケーション タイプを表示します。
        • [View by Application Names]:アプリケーション タイプではなく、リスト内の個々のアプリケーションを表示します。
        • [View New Applications]:過去 30 日以内に、アプリケーション シグニチャのダウンロードから追加されたアプリケーションを表示します。
      • [List of applications or application types]:各アプリケーションは、名前、説明、アプリケーション タイプ、動作、ポート、アプリケーションが追加された時期を示します。 リストをアプリケーション タイプ別に表示する場合、アプリケーションは、アプリケーション タイプ フォルダに編成されます。 フォルダを開くと、タイプ内に含まれているアプリケーションが表示されます。
        次の情報も確認できます。
        • アプリケーションまたはアプリケーション タイプのトラフィックが表示されている場合、ヒット カウントも表示されます。アプリケーションまたはアプリケーション タイプの詳細ダッシュボードを表示するには、ヒット カウントのリンクをクリックします。
        • アプリケーションまたはアプリケーション タイプがポリシーまたはポリシー オブジェクトで使用される場合、使用状況の要約がリストに表示されます。 項目の上にマウスを置き、[View Usage Details] コマンドをクリックすると、ポリシーおよびオブジェクトに関する詳細が表示されます。 また、切り捨てられて省略記号が付いているオブジェクトの詳細を表示するときも、このリンクをクリックします。

      URL フィルタリング

      URL フィルタリングにより、特定の HTTP 要求または HTTPS 要求の Web サーバ カテゴリをベースにしたユーザ アクセスを制御することができます。 たとえば、ギャンブル関連の Web サイトに対するすべての HTTP 要求をブロックしたり、Web ベースの電子メール Web サイトに対するすべての HTTPS 要求を復号化することができます。

      個々の URL ごとに、アクセスを許可またはブロックすることもできます。 たとえば、社内ネットワークにあるすべての Web サーバに対するアクセスを許可したり、まだカテゴリが決まっていない新しい Web サイトへのアクセスをブロックできます。

      URL フィルタリングを実装するには、次の手順を実行します。
      • カテゴリまたは個々の URL、または両方を定義し、同じように処理する URL オブジェクトを作成します。 オブジェクトのブロック リストにカテゴリまたは URL を含めると、許可リスト内のカテゴリまたは URL と一致するサイト以外を除外できます。 たとえば、ほとんどのゲームをブロックするためゲーム カテゴリ用の URL オブジェクトを作成し、アクセスを許可する特定のゲーム サイトの URL をいくつかブロック リストに含めると、そのサイトへのアクセスを許可できます。
      • (任意)。ネットワーク グループ オブジェクトと関連付けられた URL オブジェクトの、複雑な組み合わせを定義した宛先オブジェクトを作成し、ホストまたはネットワークの宛先 IP アドレスと、一致するアドレスを持つ URL またはサーバのカテゴリの組み合わせに基づいたアクセスを定義します。
      • 次のポリシーで URL オブジェクトまたは宛先オブジェクトを使用します。
        • アクセス。含まれる URL またはカテゴリに対するアクセスを許可またはブロックします。
        • 復号化。含まれる URL またはカテゴリに対する HTTPS アクセスが復号化されるかどうかを判別し、アプリケーションの内容や動作など、トラフィックの特性をさらに掘り下げて調査できるようにします。

      URL のカテゴリの判別

      URL カテゴリはルール作成の強力なツールです。 たとえば、ギャンブルが企業のアクセプタブル ユース ポリシーに適合しない場合、社内ネットワークでギャンブル関連サイトをブロックすることができます。 ギャンブル カテゴリを拒否するアクセス ルールを作成すると、ギャンブル Web サイトのすべてのアドレスの入力をしなくてもポリシーが実装されます。ギャンブル関連サイトの可能性があるすべてのアドレスを判別するために、時間を使ってインターネットを細かく調べる必要もありません。

      ただし、許容されるサイトが属する URL カテゴリを誤ってブロックしてしまい、そのサイトへのトラフィックをブロックしてはいけません。

      そのため、サイトへのトラフィックに影響する可能性のあるルールを定義する前に、サイトの Web カテゴリを判別することができます。 サイトがブロック対象のカテゴリに属していると判断すると、許容されるサイトを他の好ましくないカテゴリが含まれた URL オブジェクト内のブロック リストに追加する可能性があります。

      Web サイトの URL カテゴリを判別するには、次の方法のいずれかを使用できます。
      • そのサイトへのトラフィックがすでに ASA CX を通過している場合、ダッシュボードまたは Event Viewer でサイトを見つけることができます。
        • ダッシュボード:Web 宛先ダッシュボードから Web サイトを検索します。 サイトをクリックすると、宛先の詳細ダッシュボードが表示されます。 先頭の宛先グループには、URL カテゴリとアプリケーションおよびアプリケーション タイプが表示されます。
        • Event Viewer:その Web サイトを宛先としているイベントを検索します。 たとえば、リアルタイムにイベントを検索しているときに、トラフィックがデバイスを通過しているワークステーションから Web サイトを開きます。 イベントの詳細に URL カテゴリが含まれます。
      • サイトのカテゴリを検索するには次の手順を使用します。特に、サイトがマルウェアをホスティングしている、または好ましくない(サイトを直接開きたくない)と確信するだけの確実な理由がある場合に、この手順が有効です。 アクセスするには、Cisco.com のアカウントが必要です。
        1. Web ブラウザで次の URL を開きます。https:/​/​securityhub.cisco.com/​web/​submit_​urls
        2. [Lookup] タブまたは [Submit URLs] タブで、[Lookup] ボックスの [URLs] に URL を入力します。 一度に複数の URL を入力できます。
        3. [Async OS Version: 7.5 and newer and mixed environments] を選択します。
        4. [Lookup] をクリックします。 検索が成功すると、入力した URL と関連する URL カテゴリが表示されます。 カテゴリがない場合は URL は未分類のまま表示されます。 このカテゴリに同意しない場合、または未分類の URL について提案がある場合は、適切であると思われるカテゴリを選択し、[Submit] をクリックしてカテゴリの変更を要求します。 この要求は [Submitted URLs] タブの [Status] でトラッキングできます。

      URL カテゴリについて

      次に、このリリースの時点で利用可能な URL カテゴリを示します。 URL カテゴリの更新では、カテゴリの追加、削除、結合、または分割を行います。

      Adult

      成人向けですが、ポルノとは限りません。 成人向けクラブ(ストリップ クラブ、スインガー クラブ、エスコート サービス、ストリッパー)、セックスに関する一般的な情報、非ポルノ性サイト、性器ピアス、成人向け商品またはグリーティング カード、健康や病気の文脈に含まれないセックスに関する情報。

      次に、例を示します。
      • www.adultentertainmentexpo.com
      • www.adultnetline.com
      Advertisments

      Web ページに付随して表示されることの多いバナー広告やポップアップ広告、広告コンテンツを提供するその他の広告に関連する Web サイト。 広告に関連するサービスと販売は「Business and Industry」に分類されます。

      次に、例を示します。
      • www.adforce.com
      • www.doubleclick.com
      Alcohol

      楽しみとしてのアルコール、ビールやワインの製造、カクテルのレシピ、酒類販売者、ワイナリ、ブドウ園、ビール醸造所、アルコール販売業者。 アルコール依存は「Health and Nutrition」に分類されます。バーとレストランは「Dining and Drinking」に分類されます。

      次に、例を示します。
      • www.samueladams.com
      • www.whisky.com
      Arts

      ギャラリーと展示会、芸術家と芸術、写真、文学と書籍、芸能と劇場、ミュージカル、バレエ、博物館、設計、建築。 映画とテレビは「Entertainment」に分類されます。

      次に、例を示します。
      • www.moma.org
      • www.nga.gov
      Astrology

      占星術、ホロスコープ、占い、数霊術、霊能者による助言、タロット。

      次に、例を示します。
      • www.astro.com
      • www.astrology.com
      Auctions

      オンライン オークションおよびオフライン オークション、競売場、案内広告。

      次に、例を示します。
      • www.craigslist.org
      • www.ebay.com
      Business and Industry

      マーケティング、商業、企業、ビジネス手法、労働力、人材、運輸、給与、セキュリティとベンチャー キャピタル、オフィス用品、産業機器(プロセス用機器)、機械と機械系、加熱装置、冷却装置、資材運搬機器、包装装置、製造、立体処理、金属製作、建築と建築物、旅客輸送、商業、工業デザイン、建築、建築資材、出荷と貨物(貨物取扱業務、トラック輸送、運送会社、トラック輸送業者、貨物ブローカと輸送ブローカ、優先サービス、荷高と貨物のマッチング、追跡とトレース、鉄道輸送、海上輸送、ロード フィーダ サービス、移動と保管)。

      次に、例を示します。
      • www.freightcenter.com
      • www.staples.com
      Chat and Instant Messaging

      Web ベースのインスタント メッセージングおよびチャット ルーム。

      次に、例を示します。
      • www.icq.com
      • www.meebo.com
      Cheating and Plagiarism

      不正行為を助長し、学期末論文(盗用したもの)などの書物を販売したりします。

      次に、例を示します。
      • www.bestessays.com
      • www.superiorpapers.com
      Child Abuse Content

      世界的な規模の不法な児童性的虐待コンテンツ。

      Computer Security

      企業ならびにホーム ユーザ向けにセキュリティ商品とサービスを提供します。

      次に、例を示します。
      • www.computersecurity.com
      • www.symantec.com
      Computers and Internet

      ハードウェア、ソフトウェア、ソフトウェア サポートなどのコンピュータとソフトウェアに関する情報、ソフトウェア エンジニア向けの情報、プログラミングとネットワーキング、Web サイトの設計、一般的な Web およびインターネット、コンピュータ サイエンス、コンピュータ グラフィックスおよびクリップアート。 「Freeware and Shareware」は別のカテゴリになっています。

      次に、例を示します。
      • www.xml.com
      • www.w3.org
      Dating

      デート、出会い系サイト、結婚紹介所。

      次に、例を示します。
      • www.eharmony.com
      • www.match.com
      Digital Postcards

      デジタル ポストカードと E カードの送信が可能です。

      次に、例を示します。
      • www.all-yours.com
      • www.e-cards.com
      Dining and Drinking

      飲食施設、レストラン、バー、酒場、パブ、レストランのガイドとレビュー。

      次に、例を示します。
      • www.hideawaybrewpub.com
      • www.restaurantrow.com
      Dynamic and Residential

      ブロードバンド リンクの IP アドレス。通常は、ホーム ネットワークへのアクセスを試行するユーザを示します。たとえば、ホーム コンピュータへのリモート セッションの場合などです。

      次に、例を示します。
      • http://109.60.192.55
      • http://dynalink.co.jp
      • http://ipadsl.net
      Education

      学校、カレッジ、大学、教材、教員の人材などの教育関連、技術訓練および職業訓練、オンライン研修、教育に関する問題とポリシー、金融支援、学校助成金、基準と試験。

      次に、例を示します。
      • www.education.com
      • www.greatschools.org
      Entertainment

      映画の詳細やディスカッション、音楽やバンド、テレビ、セレブやファンの Web サイト、娯楽関係のニュース、セレブのゴシップ、娯楽スポット。 「Arts」カテゴリと比較してください。

      次に、例を示します。
      • www.eonline.com
      • www.ew.com
      Extreme

      性暴力または犯罪的な性質のサイト、暴力および暴力的行為、悪趣味なサイト(死体画像などのむごたらしい写真が載っていることが多い)、犯罪現場の写真、犯罪や事故の犠牲者、過剰にわいせつな情報、衝撃的な Web サイト。

      次に、例を示します。
      • www.car-accidents.com
      • www.crime-scene-photos.com
      Fashion

      衣類とファッション、美容室、化粧品、アクセサリ、宝石、香水、身体の改造に関する写真や文、タトゥーとピアス、モデル事務所。 皮膚に関する商品は「Health and Nutrition」に分類されます。

      次に、例を示します。
      • www.fashion.net
      • www.findabeautysalon.com
      File Transfer Services

      主要な目的が、ダウンロード サービスの提供とホスティング ファイルの共有のファイル転送サービス。

      次に、例を示します。
      • www.rapidshare.com
      • www.yousendit.com
      Filter Avoidance

      匿名の cgi、php、glype プロキシ サービスを含む、検出できない、または匿名 Web の使用を拡大および助長します。

      次に、例を示します。
      • www.bypassschoolfilter.com
      • www.filterbypass.com
      Finance

      会計実務、会計、課税、税金、銀行、保険、投資、国家経済、すべての保険の種類、クレジット カード、退職後のプランと相続プラン、ローン、抵当権を含む個人金融などの金融が主体のサイト。 株式は「Online Trading」に分類されます。

      次に、例を示します。
      • finance.yahoo.com
      • www.bankofamerica.com
      Freeware and Shareware

      フリー ソフトウェアおよびシェアウェア ソフトウェアのダウンロードを提供します。

      次に、例を示します。
      • www.freewarehome.com
      • www.shareware.com
      Gambling

      カジノとオンライン ギャンブル、ギャンブルの胴元と賭け率、ギャンブルに関する助言、ギャンブル コンテキストでの競争の厳しいレース、スポーツ ギャンブル、株式に幅広く賭けるサービス。 ギャンブル依存を扱う Web サイトは「Health and Nutrition」に分類されます。政府運営の宝くじは「Lotteries」に分類されます。

      次に、例を示します。
      • www.888.com
      • www.gambling.com
      Games

      さまざまなカード ゲーム、ボード ゲーム、ワード ゲーム、ビデオ ゲーム、コンバット ゲーム、スポーツ ゲーム、ダウンロード可能なゲーム、ゲームのレビュー、ゲーム攻略サイト、ロールプレイング ゲームなどのコンピュータ ゲームとインターネット ゲーム。

      次に、例を示します。
      • www.games.com
      • www.shockwave.com
      Government and Law

      政府 Web サイト、国際関係、政府と選挙に関係するニュースと情報、弁護士、法律事務所、法律関係の出版物、法関連の資料、裁判所、訴訟事件表、弁護士会、法律および裁判所による決定などの法律の分野に関係する情報、公民権に関する問題、入国管理、特許と著作権、法執行と矯正行政、犯罪報告、法執行、犯罪統計、武力、軍事基地、軍組織、反テロリズムなどの軍隊。

      次に、例を示します。
      • www.usa.gov
      • www.law.com
      Hacking

      Web サイト、ソフトウェア、コンピュータのセキュリティを迂回する方法について記載しているサイト。

      次に、例を示します。
      • www.hackthissite.org
      • www.gohacking.com
      Hate Speech

      社会集団、肌の色、宗教、性的指向、障がい、階級、民族、国籍、年齢、性別、性同一性を基に、憎悪、不寛容、差別を助長する Web サイト。人種差別を扇動するサイト、性差別、人種差別の神学、人種差別の音楽、ネオナチ組織、特定民族至上主義、ホロコースト否定論。

      次に、例を示します。
      • www.kkk.com
      • www.nazi.org
      Health and Nutrition

      ヘルス ケア、病気と障がい、医療、病院、医師、医薬品、メンタル ヘルス、精神医学、薬理学、エクササイズとフィットネス、身体障がい、ビタミンとサプリメント、健康のコンテキスト内でのセックス(病気とヘルス ケア)、たばこの摂取、アルコールの摂取、薬の摂取、健康のコンテキスト内でのギャンブル(病気とヘルス ケア)、一般的な食物、食物と飲料、料理とレシピ、食糧と栄養、健康、ダイエット、レシピと料理の Web サイトを含む料理、代替医療。

      次に、例を示します。
      • www.health.com
      • www.webmd.com
      Humor

      ジョーク、スケッチ、コミック、その他のユーモラスなコンテンツ。 気分を害する可能性のある成人向けユーモアは「Adult」に分類されます。

      次に、例を示します。
      • www.humor.com
      • www.jokes.com
      Illegal Activities

      窃盗、不正行為、電話ネットワークへの不法アクセスなどの犯罪を助長するサイト、コンピュータ ウィルス、テロリズム、爆弾、無秩序、殺人や自殺を描写したものやその実行方法を記述した Web サイト。

      次に、例を示します。
      • www.ekran.com
      • www.thedisease.net
      Illegal Downloads

      ソフトウェアまたは他の情報、シリアル番号、キー ジェネレータ、および著作権侵害でソフトウェアの保護を迂回するツールをダウンロードできる機能を提供するサイト。 動画共有は「Peer File Transfer」に分類されます。

      次に、例を示します。
      • www.keygenguru.com
      • www.zcrack.com
      Illegal Drugs

      気晴らしのためのドラッグ、ドラッグ摂取の道具、ドラッグの購入と製造に関する情報。

      次に、例を示します。
      • www.cocaine.org
      • www.hightimes.com
      Infrastructure and Content Delivery Networks

      コンテンツ配信インフラストラクチャおよびダイナミックに生成されるコンテンツ、セキュリティ保護されているため、これ以上分類できないか、保護されていないため分類が困難である Web サイト。

      次に、例を示します。
      • www.akamai.net
      • www.webstat.net
      Internet Telephony

      インターネットを使用した電話サービス。

      次に、例を示します。
      • www.evaphone.com
      • www.skype.com
      Job Search

      キャリアに関する助言、レジュメの書き方とインタビューのスキル、職業紹介サービス、職業データバンク、終身雇用職業紹介所、人材派遣会社、企業の Web サイト。

      次に、例を示します。
      • www.careerbuilder.com
      • www.monster.com
      Lingerie and Swimsuits

      肌着と水着、特にモデルが登場するもの。

      次に、例を示します。
      • www.swimsuits.com
      • www.victoriassecret.com
      Lotteries

      宝くじ、コンテストおよび国が運営する宝くじ。

      次に、例を示します。
      • www.calottery.com
      • www.flalottery.com
      Mobile Phones

      ショート メッセージ サービス(SMS)、着信音と携帯電話のダウンロード。 携帯電話会社の Web サイトは「Business and Industry」カテゴリに含まれます。

      次に、例を示します。
      • www.cbfsms.com
      • www.zedge.net
      Nature

      天然資源、生態学および保護、森林、荒地、植物、花、森林保護、森林、荒地、林業活動、森林管理(植林、森林保護、保護、収穫、森林状態、間伐、山焼き)、農業活動(農業、ガーデニング、園芸、造園、作付け、雑草防除、用水、剪定、収穫)、公害に関する問題(大気質、有害廃棄物、公害防止、リサイクル、廃棄物管理、水質、環境浄化産業)、動物、ペット、家畜、動物学、生物学、植物学。

      次に、例を示します。
      • www.enature.com
      • www.nature.org
      News

      ニュース、ヘッドライン、新聞、テレビ局、雑誌、天気、スキー場の状態。

      次に、例を示します。
      • www.cnn.com
      • news.bbc.co.uk
      Non-governmental Organization

      クラブ、圧力団体、コミュニティ、非営利組織および労働組合などの非政府組織。

      次に、例を示します。
      • www.panda.org
      • www.unions.org
      Non-sexual Nudity

      ヌーディズムおよび裸体、裸体主義、ヌーディスト キャンプ、芸術的裸体。

      次に、例を示します。
      • www.artenuda.com
      • www.naturistsociety.com
      Online Communities

      アフィニティ グループ、特殊な関心のグループ、Web ニュースグループ、メッセージ ボード。 「Professional Networking」または「Social Networking」として分類された Web サイトは除外します。

      次に、例を示します。
      • www.igda.com
      • www.ieee.com
      Online Storage and Backup

      バックアップ、共有、ホスティング用オフサイトおよびピアツーピア ストレージ。

      次に、例を示します。
      • www.adrive.com
      • www.dropbox.com
      Online Trading

      オンライン仲買、ユーザが株式をオンラインでトレードできる Web サイト、株式市場に関係する情報、株式、担保、投資信託、ブローカ、株価分析および解説、株式審査、株式チャート、IPO、株式分割。 株式に幅広く賭けるサービスは「ギャンブル」に分類されます。他の金融サービスは「金融」に分類されます。

      次に、例を示します。
      • www.tdameritrade.com
      • www.scottrade.com
      Organizational Email

      業務上の電子メール アクセスに使用する Web サイト(多くは Outlook Web アクセス)。

      Parked Domains

      広告ネットワークから有料のリストを使用して、ドメインからのトラフィックを金銭化したり、利益を求めてドメイン名の販売を希望する「不法占拠者」が所有する Web サイト。 これらは有料の広告リンクを返す、偽の検索 Web サイトも含みます。

      次に、例を示します。
      • www.domainzaar.com
      • www.parked.com
      Peer File Transfer

      ピアツーピア ファイル要求の Web サイト。 ファイル転送自体のトラッキングは行いません。

      次に、例を示します。
      • www.bittorrent.com
      • www.limewire.com
      Personal Sites

      私的な個人の Web サイト、個人的なホームページ サーバ、個人的なコンテンツを持つ Web サイト、特定のテーマを持たない個人ブログ。

      次に、例を示します。
      • www.karymullis.com
      • www.stallman.org
      Photo Searches and Images

      イメージ、画像、およびクリップ アートの保管と検索を促進します。

      次に、例を示します。
      • www.flickr.com
      • www.photobucket.com
      Politics

      政治家の Web サイト、政党、政治、選挙、民主主義、投票に関するニュースと情報。

      次に、例を示します。
      • www.politics.com
      • www.thisnation.com
      Pornography

      明白に性的な文章または描写。 明示的なアニメーションや漫画、一般的に明白な描写、他のフェティッシュ情報、明示的なチャット ルーム、セックス シミュレータ、ストリップ ポーカー、成人向け映画、わいせつなアート、明白な Web ベースの E メールなどがあります。

      次に、例を示します。
      • www.redtube.com
      • www.youporn.com
      Professional Networking

      キャリアまたは専門的な開発を目的とするソーシャル ネットワーキング。 「Social Networking」も参照してください。

      次に、例を示します。
      • www.linkedin.com
      • www.europeanpwn.com
      Real Estate

      不動産の検索をサポートする情報、オフィスと商業スペース、不動産一覧、賃貸、アパート、住宅、住宅建設などの不動産一覧。

      次に、例を示します。
      • www.realtor.com
      • www.zillow.com
      Reference

      市と州のガイド、地図、時刻、参照先、辞書、ライブラリ。

      次に、例を示します。
      • www.wikipedia.org
      • www.yellowpages.com
      Religion

      宗教に関するコンテンツ、宗教に関する情報、宗教上のコミュニティ

      次に、例を示します。
      • www.religionfacts.com
      • www.religioustolerance.org
      SaaS and B2B

      オンライン ビジネス サービス向け Web ポータル、オンライン ミーティング。

      次に、例を示します。
      • www.netsuite.com
      • www.salesforce.com
      Safe for Kids

      幼児を対象に、特に承認されたサイト。

      次に、例を示します。
      • kids.discovery.com
      • www.nickjr.com
      Science and Technology

      航空宇宙科学、電子工学、工学、数学、その他の類似の主題、宇宙開発、気象学、地理学、環境、エネルギー(化石、原子力、再生可能)、通信(電話、遠距離通信)。

      次に、例を示します。
      • www.physorg.com
      • www.science.gov
      Search Engines and Portals

      インターネット上の情報への検索エンジンと他の初期アクセス ポイント。

      次に、例を示します。
      • www.bing.com
      • www.google.com
      Sex Education

      セックス、性の健康、避妊、妊娠を扱う、事実に基づく Web サイト。

      次に、例を示します。
      • www.avert.org
      • www.scarleteen.com
      Shopping

      物々交換、オンラインでの購入、クーポンとフリー オファー、一般的なオフィス消耗品、オンライン カテゴリ、オンライン モール。

      次に、例を示します。
      • www.amazon.com
      • www.shopping.com
      Social Networking

      ソーシャル ネットワーキング。 「Professional Networking」も参照してください。

      次に、例を示します。
      • www.facebook.com
      • www.twitter.com
      Social Science

      社会に関係する科学と歴史、考古学、人類学、文化考、歴史学、言語学、地理学、哲学、心理学、女性学。

      次に、例を示します。
      • www.archaeology.com
      • www.anthropology.com
      Society and Culture

      家族と親族、民族性、社会組織、家系、高齢者、育児。

      次に、例を示します。
      • www.childcare.gov
      • www.familysearch.org
      Software Updates

      ソフトウェア パッケージの更新をホスティングする Web サイト。

      次に、例を示します。
      • www.softwarepatch.com
      • www.versiontracker.com
      Sports and Recreation

      プロとアマチュアのすべてのスポーツ、レクリエーション活動、釣り、ファンタジー スポーツ、公共公園、アミューズメント パーク、親水公園、テーマ パーク、動物園、水族館、温泉。

      次に、例を示します。
      • www.espn.com
      • www.recreation.gov
      Streaming Audio

      インターネット ラジオおよびオーディオ フィードなどのリアルタイムのストリーミング オーディオのコンテンツ。

      次に、例を示します。
      • www.live-radio.net
      • www.shoutcast.com
      Streaming Video

      インターネット テレビ、Web キャスト、ビデオ共有などのリアルタイムのストリーミング ビデオ。

      次に、例を示します。
      • www.hulu.com
      • www.youtube.com
      Tobacco

      たばこ専門 Web サイト、たばこ製造業、パイプと喫煙用商品(不法ドラッグ使用のため販売されているものではない)。 たばこ依存に関しては「Health and Nutrition」に分類されます。

      次に、例を示します。
      • www.bat.com
      • www.tobacco.org
      Transportation

      個人輸送、車とバイクに関する情報、新車と中古車およびバイクの購入、カー クラブ、ボート、飛行機、レクレーショナル ビークル(RV)、その他の類似項目。 車とバイクのレースは「Sports and Recreation」に分類されます。

      次に、例を示します。
      • www.cars.com
      • www.motorcycles.com
      Travel

      ビジネス旅行と個人旅行、トラベル情報、トラベル リソース、旅行代理店、休暇利用のパック旅行、船旅、宿泊施設、旅行に関する輸送、航空券の予約、航空運賃、レンタカー、別荘。

      次に、例を示します。
      • www.expedia.com
      • www.lonelyplanet.com
      Unclassified

      シスコのデータベースに存在しない Web サイトは、レポートのために未分類として記録されます。 入力ミスした URL が含まれます。

      Weapons

      銃販売者、銃のオークション、銃に分類される広告、銃の装飾品、銃のショー、銃のトレーニングなどの通常兵器の購入または使用に関連する情報、銃に関する一般的な情報、他の武器とグラフィック ハンティング サイトも含まれることがあります。 政府軍の Web サイトは「Government and Law」に分類されます。

      次に、例を示します。
      • www.coldsteel.com
      • www.gunbroker.com
      Web Hosting

      Web サイトのホスティング、帯域幅サービス。

      次に、例を示します。
      • www.bluehost.com
      • www.godaddy.com
      Web Page Translation

      言語間での Web ページの変換。

      次に、例を示します。
      • babelfish.yahoo.com
      • translate.google.com
      Web-based Email

      公開された Web ベースの電子メール サービス。 個人が自分の会社または組織の電子メール サービスにアクセスするための Web サイトは、「Organizational Email」に分類されます。

      次に、例を示します。
      • mail.yahoo.com
      • www.hotmail.com