Cisco ScanCenter アドミニストレータ ガイド バージョン 5.2
トラフィック安全性検査
トラフィック安全性検査

トラフィック安全性検査

概要

ユーザが HTTPS を使用して Web サイトに接続する際、デジタル証明書を使用してセッションが暗号化されます。 トラフィック安全性検査機能が有効になっている場合、Cisco Cloud Web Security では自己署名の期限切れの証明書、無効な証明書、失効した証明書がすべてブロックされます。

トラフィック安全性検査は、Cisco Cloud Web Security を通過する HTTPS トラフィックを復号化してスキャンし、脅威が含まれていないかどうか検査し、ポリシー設定に基づいて処理を実行します。 安全であると判定されたトラフィックは、再び暗号化され、新しい SSL 証明書と共に内部ネットワークに送信されます。

すべてのユーザは SSL 証明書をブラウザに組み込む必要があります。 Cisco ScanCenter では、シスコを認証局(CA)とした証明書を生成できます。また、Certificate Signing Request(CSR; 証明書署名要求)をダウンロードし、Microsoft 証明書サービスや OpenSSL などのツールで自分の組織を CA とする証明書を生成してアップロードすることもできます。 この証明書をトラフィック安全性検査ポリシーに関連付けます。

CSR を使用する場合、証明書には次のフィールドを記載する必要があります。

X509v3 Basic Constraints:
       CA:TRUE

OpenSSL の場合、コマンド openssl x509 -extfile v3_ca.txt -req -days 365 -in scancenter.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out scancenter.crt がこの機能を実行します。ここで、v3_ca.txt には以下を記載します。

subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true

クライアント側で次の 2 つの設定作業を行う必要があります。

  1. クライアント ブラウザ、お客様のファイアウォール装置、またはお客様のゲートウェイ装置で、SSL トラフィックに対するプロキシ設定を行う必要があります。
  2. シスコ ルート証明書をクライアント ブラウザにインポートし、Cisco Cloud Web Security との SSL 接続を信頼できるようにする必要があります。

    (注)  


    ブラウザが自動的に証明書を中間認証局ストアにインポートする場合があります。 トラフィック安全性検査が正しく機能するためには、証明書は信頼されたルート証明書ストアに置く必要があります。

法的免責事項

お客様は、お客様の法域において HTTPS トラフィック検査が合法であるかどうかを判断する責任を負います。 この機能を有効にした場合、Cisco Cloud Web Security によって HTTPS トラフィックが検査されます。 この検査は人が行うのではなく自動で実行されますが、復号処理が特定の国のプライバシー関連法規に抵触するおそれがあります。 この機能を有効にした場合、すべての関連法域でトラフィックを復号する法的権利を持つこと、および、復号に関して必要なすべての承諾をユーザから得ていることに、同意したことになります。

ほとんどの法域では、セキュリティ保護されたトラフィックは検査の対象となっていることをユーザに通知する法的義務があります。 HTML ページをユーザに表示して、セッションが復号されることを言明し、続行するかどうかをユーザが選択できるようにすることができます。 なお、このようなページを表示する場合に、他の目的用の標準的な警告ページは使用できません。

手順
    ステップ 1   [Web フィルタリング] > [通知] > [ユーザ メッセージ] を選択し、[カスタマイズされた警告アラート ページ] で HTTPS 警告を表示するための編集を行います。
    ステップ 2   [タイムアウト値] ドロップダウン リストで 0 をクリックします。
    ステップ 3   [警告ページに標準のHTMLページテンプレートを含める] チェック ボックスをオフにします。
    (注)      HTTPS 以外のページに対する警告も表示する場合は、このチェック ボックスをオンにし、HTTPS 警告を標準の Acceptable Use Policy(AUP; アクセプタブル ユース ポリシー)警告ページに追加することができます。
    ステップ 4   [保存] をクリックして変更を適用します。
    ステップ 5   [Web フィルタリング] > [管理] > [グローバル設定] を選択し、[HTTP/HTTPS 分離を有効にする] チェックボックスをオンにし、[保存] をクリックします。
    ステップ 6   [Web フィルタリング] > [管理] > [フィルタ] を選択し、ブロックする Web サイトに対する HTTPS フィルタを作成します。
    ステップ 7   [Web フィルタリング] > [管理] > [フィルタ] を選択し、すべてのカテゴリに対する「HTTPS warn」という名前の HTTPS フィルタを作成します。
    ステップ 8   [Web フィルタリング] > [管理] > [ポリシー] を選択し、ブロック ルールを作成し、ブロックする Web サイトに対する HTTPS フィルタを追加します。
    ステップ 9   [Web フィルタリング] > [管理] > [ポリシー] を選択し、警告ルールを作成し、スケジュールを [常時] に設定した「HTTPS warn」フィルタを追加します。
    ステップ 10   HTTPS ブロック ルールよりも HTTPS 警告ルールの方が優先順位が低くなっていることを確認してから、両方のルールに対する [アクティブ化] チェック ボックスをオンにします。

    プライバシー関連法規を順守できるように、SSL 接続が確立する前にユーザに通知が表示されます。

    銀行の Web サイトなど、特定の Web サイトをトラフィック安全性検査の対象から除外することができます。 除外した Web サイトに対するトラフィック安全性検査は実行されません。ユーザは、これらの Web サイトに SSL で直接接続されます。

    注意        プライバシー関連法規を順守するため、ログ記録は保持されません。 ただし、コンテンツの復号と暗号化が閉ループ内で実行され、コンテンツがキャッシュに格納されないことを保証する責任があります。

    SSL 証明書

    Cisco ScanCenter で SSL 証明書を生成する場合、シスコが認証局(CA)になります。 自社を CA にするには、Cisco ScanCenter で証明書署名要求(CSR)を生成し、この CSR を使用して証明書を生成して、Cisco ScanCenter にアップロードします。

    手順
      ステップ 1   [管理] タブをクリックして、管理メニューを表示します。
      ステップ 2   [HTTPS トラフィック検査] メニューの [証明書] をクリックして、証明書ページを表示します。

      Cisco ScanCenter での証明書の作成

      手順
        ステップ 1   [証明書の作成] タブをクリックします。
        ステップ 2   [証明書の作成] をクリックします。
        ステップ 3   [期間] ドロップダウンで、証明書の有効年数を選択します。 選択できるオプションは、1 年、3 年、5 年、または 7 年です。
        ステップ 4   [識別子] ボックスに識別子を入力します。
        ステップ 5   [説明] に説明を入力します。
        ステップ 6   [保存] をクリックして変更を適用します。 または、そのまま別のページに移動すると、変更が破棄されます。

        ScanCenter 以外で生成された証明書の使用

        はじめる前に

        自社を認証局(CA)とする独自の SSL 証明書を生成するには、Microsoft Certificate Services(Windows Server オペレーティング システムのコンポーネント)や OpenSSL(ほとんどの UNIX および UNIX 系オペレーティング システムに含まれているツールキット)などの SSL ソフトウェアが必要です。 SSL ソフトウェアに詳しくない方は、Cisco ScanCenter を使用して SSL 証明書を作成してください。

        手順
          ステップ 1   [証明書の作成] タブをクリックします。
          ステップ 2   [CSRの作成] をクリックします。
          ステップ 3   [識別子] ボックスに証明書署名要求(CSR)の一意の名前を入力します。
          ステップ 4   [説明] ボックスに CSR の説明を入力します。
          ステップ 5   [Generate(生成)] をクリックして CSR を生成します。
          ステップ 6   [CSR をダウンロード] をクリックして CSR をダウンロードします。
          ステップ 7   SSL ソフトウェアで、ダウンロードした CSR を使用して SSL 証明書を生成します。 詳細については、ご使用の SSL ソフトウェアのベンダー ドキュメントを参照してください。 証明書を生成してアップロードするのに 30 分かかります。
          ステップ 8   [参照] をクリックし、CSR に関連付ける SSL 証明書を指定します。
          ステップ 9   [アップロード] をクリックします。

          証明書の説明の編集

          手順
            ステップ 1   [編集] アイコンをクリックします。
            ステップ 2   [説明] ボックスに新しい説明を入力します。
            ステップ 3   [保存] をクリックして変更を適用します。 または、そのまま別のページに移動すると、変更が破棄されます。

            証明書の削除

            SSL 証明書を削除するには、[削除] アイコンをクリックします。 操作を確認するダイアログ ボックスが表示されます。

            フィルタ

            フィルタを使用することにより、HTTPS トラフィック検査の対象にする Web サイトおよびカテゴリを設定できます。 フィルタ管理の詳細については、フィルタの管理を参照してください。 次の HTTPS フィルタを使用できます。

            • カテゴリ
            • ドメイン/URL
            • 例外
            • アプリケーション
            手順
              ステップ 1   [管理] タブをクリックして、管理メニューを表示します。
              ステップ 2   [HTTPS トラフィック検査] メニューの [フィルタ] をクリックして、フィルタ ページを表示します。

              HTTPS トラフィック検査をすべてのトラフィックに対して有効にするか、アプリケーションの復号化を有効にしないと、HTTPS プロトコルを使用するアプリケーションがアプリケーション フィルタと照合されません。 HTTPS トラフィック検査をすべてのトラフィックに対して有効にしておらず、アプリケーションの復号化を有効にしたい場合は、[アプリケーション復号の有効化] チェックボックスをオンにします。


              ポリシー

              ポリシーを使用することにより、HTTPS フィルタ適用ルールを設定できます。 ポリシーの管理に関する詳細については、ポリシーの管理を参照してください。

              手順
                ステップ 1   [管理] タブをクリックして、管理メニューを表示します。
                ステップ 2   [HTTPS 検査] メニューの [ポリシー] をクリックして、ポリシー ページを表示します。 ルールの優先順位を設定するには、[移動] 列の上向き矢印アイコンおよび下向き矢印アイコンをクリックし、[変更内容を適用] をクリックします。