Web セキュリティのポリシールールの作成とテストのベストプラクティス

ルールを設定するときに、次のベストプラクティスを使います。
  • 必要に応じて後で簡単に追加できるように、明確なルール名を使って、ルール設定の記録を保持してください。
    たとえば、2 つのルールが 1 日の特定の時間に同じトラフィックに異なる処理を行う場合、それらのルールに特徴的な名前が付いていないと混乱の原因になることがあります。
  • ルールリストで類似したルールをグループ化すると、あるルールが変更された場合に、必要に応じて類似のルールを変更しやすくなります。
  • リストの最上位には、例外(
    スパイウェアとポルノを遮断する
    など)を持たないルールを配置します。
  • コンテンツの種類またはファイルの種類のみに基づいてアクセスを許可するルールに対して
    [許可]
    または
    [許可してログに記録]
    処理を選択しないようにします。そのようなルールが、特定のサイトに適用される[遮断]ルールよりもリスト内で上位に位置付けられている場合、[許可]ルールによってそのサイトに対するアクセスがユーザーに付与されます。[遮断]ルールが適用されなくなります。
    同様に、特定の Web サイトからのトラフィックを遮断するルールがルールリスト内でより高い位置にある場合、[許可]ルールが適用されなくなります。
  • ライブサービスのセットアップと同様に、以前のセットアップを無効にする前に新しい設定をテストすることをお勧めします。
    • 数台の PC で限定的な配備を実行してください。会社全体で配備をロールアウトする前に、これらのシステムから Web サイトにアクセスし、ダウンロードを実行して、すべてのルールをテストします。
    • ルールを初めて設定する場合は、
      [遮断してログ]
      [許可してログに記録]
      [クォータとログ]
      のいずれかを必ず選択します。これらの処理は、ルールが適用されたときに結果をログ記録します。また、システム統計に取り入れられます。詳細レポートを実行して、結果を表示し、ルールが期待どおりに動作することを確認できます。
    • カテゴリにより Web サイトに対するアクセスを遮断または許可するルールを作成する場合は、無害なカテゴリを選択して、ルールとポリシーリストにおける位置をテストします。ルールが期待どおりに機能することが確認できたら、無害なカテゴリを実際のカテゴリまたは遮断/許可するカテゴリに置換します。URL カテゴリツールを使って、ルールで指定したカテゴリに属する テスト Web サイトを検証できます。
    • ポリシールールは、
      [ポリシールール]
      表にリストされる順序で適用されます。ルールが正しいはずであるのに期待どおりに動作しない場合は、その表での順序を変更する必要がある場合があります。
    • すべてが正しく設定されていることが確認でき、ルールの適用頻度を追跡する必要がない場合は、ログ記録の処理を削除できます。ログ記録を削除するには、ルールを編集して、対応する
      [遮断]
      [許可]
      [クォータ]
      処理のいずれかを選択します。
  • ルールで特定のグループまたはユーザーを使うには、Client Site Proxy をダウンロードしてインストールするか、または Smart Connect か Remote Connect を配備する必要があります。同期ツールを使って、Active Directory グループ情報をサービスと同期することもできます。グループとユーザーの情報に基づいてルールを設定する前に、これらのコンポーネントがインストールされて、予想どおりに動作していることを確認します。
  • 複雑なポリシールールの集合により、必要不可欠な Web サイトへのアクセスが誤って遮断されることを防ぐため、次のサイトに対するアクセスを特別に許可するルールを作成できます。このルールはポリシーリストの最上部に配置してください。
    • Web セキュリティサービスのサプライヤの URL
    • 組織の Web サイトの URL
    • 組織のパートナーや子会社の Web サイトの URL
    • デスクトップ向けウイルス対策ソフトウェアの製造元 Web サイトの URL。コンピュータへのウイルス対策の署名の自動ダウンロードを有効にするため
    • spammanager-1.messagelabs.com、spammanager-3.messagelabs.com
    • spammanager-4.messagelabs.com、spammanager-5.messagelabs.com
    Web セキュリティは、Web セキュリティサービスの設定管理ポータルなど、特定のサイトに対するアクセスを常に許可します。ポリシールールはこれらのサイトを遮断しません。Windows Update、デスクトップソフトウェア、ウイルス対策ソフトウェア製造元のソフトウェアなどの関連ダウンロードサイトへのアクセスは常に許可しておくことを推奨します。これらのサイトの一部はインフラのホワイトリストにすでに含まれている場合があります。
    Windows Update で許可される URL は次のとおりです。
    • url 接頭辞 http://update.microsoft.com/
    • url 接頭辞 http://download.microsoft.com/
    • url 接頭辞 http://v5.windowsupdate.microsoft.com/
    • url 接頭辞 http://windowsupdate.microsoft.com/
    これらのサイトのいずれかを遮断する必要がある場合は、Client Site Proxy またはファイアウォールを使うことができる可能性があります。