Web セキュリティ アプライアンスの概要
Cisco Web セキュリティアプライアンス はインターネットトラフィックを代行受信してモニタし、ポリシーを適用することによって、マルウェア、機密データの漏洩、生産性の低下などのインターネットベースの脅威から内部ネットワークを保護します。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
Cisco Web セキュリティアプライアンス はインターネットトラフィックを代行受信してモニタし、ポリシーを適用することによって、マルウェア、機密データの漏洩、生産性の低下などのインターネットベースの脅威から内部ネットワークを保護します。
機能 |
説明 |
||||
---|---|---|---|---|---|
(Cisco AMP Threat Grid へのファイルのアップロードを減らす)事前分類の有効性の改善 |
アプライアンスのファイル分析サービスは、Cisco AMP Threat Grid でサポートされているすべてのファイルの種類をサポートするようになりました。これには、2 つの利点があります。次の操作を実行できます。
|
||||
ISE-PIC の統合 |
アプライアンスを設定して、ISE-PIC バージョン 2.4 および pxGrid バージョン 2.0 で透過的にユーザを特定できるようになりました。ISE-PIC でユーザ アイデンティティ情報(ユーザ名や Active Directory グループ)を取得し、設定されたポリシー内の透過的なユーザ ID でこれらのプロファイルを使用できるようになります。
詳細については、Identity Services Engine(ISE)/ ISE パッシブ ID コントローラ(ISE-PIC)サービスの概要を参照してください。 |
||||
カプセル化された URL の保護 |
URL カテゴリのフィルタリングは、translate.google.com を経由するすべてのトランザクションに適用され、さらにその機能を強化してすべてのトランザクションでアクションを特定し、実行します。 HTTPS プロキシを有効にして、HTTPS 要求の復号化を選択する必要があります。 |
||||
Web ベースのレピュテーション スコア(WBRS)エンジンの強化 |
WBRS エンジンが強化され、web レピュテーションおよび URL の Web カテゴリ情報の有効性が向上しました。 |
||||
レポートのサーバ名指定(SNI)情報 |
アプライアンスで、パススルー HTTPS トランザクションの SNI を提供できるようになりました。これにより、[Webトラッキング(Web Tracking)] ページの特定の Web サイトへのトランザクションを検索できます。 |
||||
カスタムおよび外部 URL カテゴリの外部ライブ フィードでフィード ファイル 30 個をサポート |
URL カテゴリの定義を使用して、各ファイルが最大 5,000 のエントリを含むフィード ファイルを 30 個まで使用できます。
|
||||
ログイン履歴の設定 |
ログイン履歴を保持する日数を設定するため、新しいサブコマンド loginhistory が CLI コマンド adminaccessconfig に追加されます。 デフォルト値は 1 日です。 これは FIPS モードおよび非 FIPS モードのときに使用可能です。 |
||||
最大同時ログイン セッション数の設定 |
コマンドライン インターフェイスや Web インターフェイスを使用したアプライアンスの同時セッションの最大数を設定するため、新しいサブコマンド maxsessions が CLI コマンド adminaccessconfig に追加されます。 FIPS モードのデフォルト値は 3 で、非 FIPS モードの場合は 10 です。 |
||||
ウォークスルーを使用したユーザ エクスペリエンスの強化 |
アプライアンスには、特定の設定タスクを実行するためのウォークスルーが用意されています。このリリースでは、次のウォークスルーがサポートされています。
ウォークスルーを有効にする方法については、「アプライアンスの割り当てに対するセキュリティ設定の追加」を参照してください。 |
||||
スマート ソフトウェア ライセンシングのサポート |
スマート ソフトウェア ライセンシングを使用すると、Cisco Web セキュリティ アプライアンスのライセンスをシームレスに管理およびモニタできます。スマート ソフトウェア ライセンスをアクティブ化するには、Cisco Smart Software Manager(CSSM)でアプライアンスを登録する必要があります。CSSM は、購入して使用するすべてのシスコ製品についてライセンスの詳細を管理する一元化されたデータベースです。
詳細については、スマート ソフトウェア ライセンシングを参照してください。 |
Web インターフェイスにアクセスするには、ブラウザが JavaScript および Cookie をサポートし、受け入れがイネーブルになっている必要があります。また、Cascading Style Sheet(CSS)を含む HTML ページをレンダリングできる必要があります。
Cisco Web セキュリティアプライアンス は YUI(http://yuilibrary.com/yui/environments/)で設定されたターゲット環境に準拠しています。
セッションは、非アクティブな状態が 30 分続くと自動的にタイムアウトします。
Web インターフェイス内の一部のボタンとリンクを使用すると、さらにウィンドウが開きます。そのため、Web インターフェイスを使用するには、ブラウザのポップアップ ブロックを設定する必要があります。
(注) |
アプライアンスの設定を編集する場合は、一度に 1 つのブラウザ ウィンドウまたはタブを使用します。また、Web インターフェイスおよび CLI を同時に使用してアプライアンスを編集しないでください。複数の場所からアプライアンスを編集すると、予期しない動作が発生するので、サポートされません。 |
GUI にアクセスするには、ブラウザが JavaScript および Cookie をサポートし、受け入れるよう設定されている必要があり、さらに、Cascading Style Sheet(CSS)を含む HTML ページを描画できる必要があります。
Windows XP オペレーティング システム上の Internet Explorer 6.0 と Opera 10.0.x、および Mac OS X 上の Safari 3.1 は、条件付きでサポートされています。条件付きサポートでは、重要な機能バグは対処されますが、マイナーな問題や表示上の問題は修正されない場合があります。
ブラウザは、そのブラウザの公式なサポート対象オペレーティング システムに対してのみサポートされます。
インターフェイスの一部のボタンまたはリンクからは追加のウィンドウがオープンされるため、GUI を使用するには、ブラウザのポップアップ ブロックの設定が必要な場合があります。
デフォルトでは、HTTP および HTTPS インターフェイスは仮想アプライアンスで有効化されません。これらのプロトコルを有効にするには、コマンドライン インターフェイスを使用する必要があります。
ステップ 1 |
コマンドライン インターフェイスにアクセスします。コマンドライン インターフェイスへのアクセスを参照してください。 |
ステップ 2 |
プロンプトで Enter キーを押すと、デフォルト値が受け入れられます。 HTTP および HTTPS のプロンプトを検索し、使用するプロトコルをイネーブルにします。 |
仮想アプライアンスを使用している場合は、仮想アプライアンスでの Web インターフェイスへのアクセスのイネーブル化 を参照してください。
ステップ 1 |
ブラウザを開き、Cisco Web セキュリティアプライアンス の IP アドレス(またはホスト名)を入力します。アプライアンスが事前に設定されていない場合は、デフォルト設定を使用します。
または ここで、 アプライアンスが現在設定されている場合は、M1 ポートの IP アドレス(またはホスト名)を使用します。
|
||
ステップ 2 |
(新しい Web インターフェイスのみ)レガシー Web インターフェイスにログインし、Web セキュリティアプライアンスをクリックして新しい外観を取得します。お試しください! リンクで新しい Web インターフェイスにアクセスできます。このリンクをクリックすると、Web ブラウザの新しいタブが開き、
|
||
ステップ 3 |
アプライアンスのログイン画面が表示されたら、アプライアンスにアクセスするためのユーザ名とパスフレーズを入力します。 デフォルトで、アプライアンスには以下のユーザ名とパスフレーズが付属します。
admin のユーザ名でログインするのが初めての場合は、パスフレーズをすぐに変更するよう求められます。 |
||
ステップ 4 |
自分のユーザ名での最近のアプライアンスへのアクセス試行(成功、失敗を含む)を表示するには、アプリケーション ウィンドウの右上の [ログイン(Logged in as)] エントリの前にある [最近のアクティビティ(recent-activity)] アイコン(成功は i、失敗は !)をクリックします。 |
ステップ 1 |
[変更を確定(Commit Changes)] ボタンをクリックします。 |
||
ステップ 2 |
選択する場合、[コメント(Comment)] フィールドにコメントを入力します。 |
||
ステップ 3 |
[変更を確定(Commit Changes)] をクリックします。
|
ステップ 1 |
[変更を確定(Commit Changes)] ボタンをクリックします。 |
ステップ 2 |
[変更を破棄(Abandon Changes)] をクリックします。 |
AsyncOS は次の言語のいずれかで GUI および CLI を表示できます。
ドイツ語
英語
スペイン語
フランス語
イタリア語
日本語
韓国語
ポルトガル語
ロシア語
中国語
台湾語
Cisco SensorBase ネットワークは、世界中の何百万ものドメインを追跡し、インターネット トラフィックのグローバル ウォッチ リストを維持する脅威の管理データベースです。SensorBase は、既知のインターネット ドメインの信頼性の評価をシスコに提供します。Cisco Web セキュリティアプライアンス は、SensorBase データフィードを使用して、Web レピュテーションスコアを向上させます。
Cisco SensorBase ネットワークへの参加は、シスコがデータを収集して、SensorBase 脅威管理データベースとそのデータを共有することを意味します。このデータには要求属性に関する情報およびアプライアンスが要求を処理する方法が含まれます。
シスコはプライバシーを維持する重要性を理解しており、ユーザ名やパスフレーズなどの個人情報または機密情報も収集または使用しません。また、ファイル名とホスト名に続く URL 属性は、機密性を保証するために難読化されます。復号化された HTTPS トランザクションでは、SensorBase ネットワークは IP アドレス、Web レピュテーション スコア、および証明書内のサーバ名の URL カテゴリのみを受信します。
SensorBase ネットワークへの参加に同意する場合、アプライアンスから送信されたデータは HTTPS を使用して安全に転送されます。データを共有すると、Web ベースの脅威に対応して、悪意のあるアクティビティから企業環境を保護するシスコの機能が向上します。
(注) |
システムの設定時にデフォルトで [標準 SensorBase ネットワークに参加(Standard SensorBase Network Participation)] がイネーブルにされています。 |
ステップ 1 |
[セキュリティ サービス(Security Services)] > [SensorBase(SensorBase)] を選択します。 |
ステップ 2 |
[SensorBase ネットワークに参加(SensorBase Network Participation)] がイネーブルであることを確認します。 ディセーブルの場合、アプライアンスが収集するデータは SensorBase ネットワーク サーバには戻されません。 |
ステップ 3 |
[加入レベル(Participation Level)] セクションで、以下のレベルのいずれかを選択します。
|
ステップ 4 |
[AnyConnectネットワークへの参加(AnyConnect Network Participation)] フィールドで、Cisco AnyConnect クライアントを使用して Cisco Web セキュリティアプライアンス に接続するクライアントから収集された情報を含めるかどうかを選択します。 AnyConnect クライアントは、Secure Mobility 機能を使用してアプライアンスに Web トラフィックを送信します。 |
ステップ 5 |
[除外されたドメインと IP アドレス(Excluded Domains and IP Addresses)] フィールドで、任意でドメインまたは IP アドレスを入力して、SensorBase サーバに送信されたトラフィックを除外します。 |
ステップ 6 |
変更を送信し、保存します。 |