Web URL フィルタのポリシールールの作成

連携する複数のポリシールールを作成して Web 参照を制御し、レポートを作成することで、企業セキュリティポリシーまたはその他の要件とのコンプライアンスを遵守できます。
  1. ポリシールールを作成するには
  2. [サービス]
    [Web セキュリティサービス]
    [Web URL フィルタ]
    の順にクリックします。
  3. [新しいルール]
    をクリックします。
  4. [ルール]
    タブに、このルールの分かりやすい名前を入力します。このルール名は、
    [ポリシールール]
    表、統計、レポート、X-Header に表示されます。ルール名は、Web サイトが遮断されたときにユーザーに表示される警告にも表示されます。
  5. このルールの処理を選択します。
    • [許可]
      は Web サイトに対するアクセスを許可します。
    • [許可してログに記録]
      はアクセスを許可します。ルールが適用されるごとに詳細をログに記録するため、アクティビティを追跡できます。ルールのアクティビティはシステム統計にも反映されます。
    • [遮断]
      はアクセスを拒否します。ユーザーには、
      [サービス]
      [Web セキュリティサービス]
      [Web URL フィルタ]
      [警告]
      [ユーザー警告]
      タブで定義したユーザー警告メッセージが表示されます。
    • [遮断してログ]
      はアクセスを拒否します。ルールが適用されるごとに詳細をログに記録するため、アクティビティを追跡できます。ユーザーにはユーザー警告メッセージが表示されます。ルールのアクティビティはシステム統計にも反映されます。
    • [クォータ]
      は、指定した時間制限または帯域幅制限に基づいてアクセスを許可または拒否します。ユーザーには、
      [サービス]
      [Web セキュリティサービス]
      [Web URL フィルタ]
      [警告]
      [クォータアラート]
      タブで定義したクォータアラートメッセージが表示されます。
    • [クォータとログ]
      は、指定した制限に基づいてアクセスを許可または拒否します。ルールが適用されるごとに詳細をログに入力するため、アクティビティを追跡できます。ユーザーにはクォータアラートメッセージが表示されます。ルールのアクティビティはシステム統計にも反映されます。
    新しいルールを作成するたびに、ログ記録を含む処理を選択することで、ルールがうまく機能しているかを確認し、必要に応じて変更を加えることができます。ルールが期待どおりに適用されることが確認できたら、ルールを編集して、ログ記録を含まない処理を選択できます。
  6. 追加のタブをクリックして、ルールのフィルタを定義します。タブ間を移動しても、選択した設定は失われません。
    ポリシールールのフィルタ」では、各タブのフィルタについて説明します。
  7. ルールの作成が終了したら、
    [保存と終了]
    をクリックします。新しいルールが
    [ポリシールール]
    リストの最下部に表示されます。
  8. [優先度の変更]
    列で、上矢印をクリックして、ルールをリスト内の適当な位置に移動します。
    複数のリストがある場合は、表に表示される順序でルールが適用されます。たとえば、1 つのルールによって
    [遮断]
    処理がトリガされると、後続の
    [許可]
    処理は無視されます。
  9. [ルールの状態]
    列で、
    [非アクティブ]
    リンクをクリックして、ルールをアクティブ化します。
  10. Web セキュリティインフラで変更が反映されるまで 10 分ほど待機してから、ルールセットをテストします。
ポリシールールのフィルタ
タブ
フィルタの説明
時間
ルールを 1 日の特定の時間のみに適用する場合は、
[時間]
をクリックして1 つ以上の期間条件を追加します。
たとえば、月曜日から金曜日までの営業時間のみに特定の Web サイトに対するトラフィックを遮断することが必要になる場合があります。
Web クォータルールを設定するときは、異なる時間帯ごとに異なるクォータを設定すると便利な場合があります。たとえば、業務ピーク時のユーザーによる Web 参照を最小限に制限することが必要になる場合があります。Web クォータは、毎日 00:00(デフォルトのタイムゾーン)に再設定されます。
Web セキュリティネットワークはグローバルであるため、ルールを適用するタイムゾーンを指定する必要があります。すべてのルールを同じタイムゾーンに設定してください。深夜 0 時をわたるルールを設定する場合は、深夜 0 時までの時間帯(19:00 から 00:00 など)と深夜 0 時からの時間帯(00:00 から 07:00 など)に対応する 2 つの期間を設定します。
異なるタイムゾーンのルールを設定する必要がある場合は、サポートチームにお問い合わせください。
グループ
[グループ]タブに表示される任意のグループに対してルールを割り当てることができます。通常、これらのグループは、サービスに追加された Active Directory グループで、同期ツールによって保持されます。
Active Directory の外部のユーザーの情報または ID を要求するルールが必要な場合は、
[Web URL フィルタ]
[カスタムグループ]
タブでカスタムグループを作成できます。
クォータ
ルールに[クォータ]または[クォータとログ]処理を選択すると、[クォータ]タブがアクティブになります。このタブをクリックして、ルールのクォータを設定します。
すべてのクォータは、このタブに表示される
[期間]
に適用されます。
[タイムゾーン]
または
[期間]
を変更する必要がある場合は、
[時間]
タブをクリックして必要な変更を行います。
クォータのフィルタを設定します。
  1. 各ユーザーにクォータを適用するには
    [ユーザーごと]
    を選択して、すべてのユーザーの累積アクティビティにクォータを適用するには
    [共有]
    を選択します。
  2. Web の参照時間の長さでユーザーを制限する場合は、
    [期間クォータの適用]
    を選択して合計参照時間の時間と分を指定します。
  3. 参照時にユーザーが使う帯域幅によりユーザーを制限するには、
    [帯域幅クォータの適用]
    を選択します。最大 1,000,000,000 MB(1PB)で転送データの最大 MB (メガバイト単位)を入力します。
時間と帯域幅のクォータを指定した場合は、いずれかの限度に達するとルールが適用されます。
URL カテゴリ
Web セキュリティサービスは、Web サイトをカテゴリに分類します。ルールに適用する URL カテゴリを選択します。たとえば、企業ポリシーを遵守しないカテゴリの遮断ルールを作成できます。
[未分類]
カテゴリには、まだ分類されていないすべての Web サイトが含まれます。これらは新しい Web サイトである場合があります。望ましくないコンテンツを含む場合があるため、このカテゴリの Web サイトに対するトラフィックを許可しないようにします。ポリシーリストの上位周辺に
未分類
の URL の
[遮断]
ルールを作成できます。Web セキュリティサービスはカテゴリを頻繁に更新します。サイトが許可カテゴリに分類されると、そのサイトは遮断されなくなります。
特定 URL
カテゴリに関係なく、特定の Web サイトを遮断または許可できます。
[特定の URL]
で、遮断または許可するサイトのサイトアドレスまたは IP アドレスを入力します。このルールは[URL カテゴリ]ルールと切り離す必要があります。[特定の URL]ルールは、
[ポリシールール]
リストで必ず[URL カテゴリ]の前に配置します。
ポータルは、URL 形式、およびプロファイルに特定の URL を追加するために使われる文字についての制限を設定します。
  1. IP アドレスはホスト名として使うことができますが、IP アドレスの後にパスを追加することはできません。たとえば、
    10.10.10.1
    を追加することはできますが、
    10.10.10.1/dir/
    は許可されません。
  2. パスの一部としてスラッシュ「
    /
    」の後にアスタリスク「
    *
    」が含まれる URL は追加できません。たとえば、
    symantec.com/dir*/
    は追加できません。
  3. ティルダ文字「
    ~
    」は URL のどの部分にも使うことはできません。
  4. ?
    」および「
    =
    」など一部の文字は、URL のパスの一部として許可されません。たとえば、
    www.symantec.com/batch?sbqmi=l7xsjiKIE
    をポリシーに追加することはできません。
  5. ホスト名のラベルに使えるのは ASCII 文字と数字のみであることに注意してください。
コンテンツの種類
[コンテンツの種類]
は遮断ルールにのみ指定する必要があります。許可ルールは、通常受け入れ可能な MIME の種類を使う、望ましくないトラフィックを簡単に許可してしまう可能性があります。
[コンテンツの種類]
タブには、MIME の種類とファイルの種類という明確に区別された 2 つのセクションがあります。
  • MIME の種類とは、Web サーバーがデータをブラウザに送信するときに宣言するデータの種類(IANA の MIME の種類)を指します。
    表示されていない MIME の種類を遮断する場合は、カスタム MIME の種類として
    [新しい MIME の種類を追加する]
    ボックスに入力し、
    [追加]
    をクリックします。新しい MIME の種類を選択して、ルールに追加します。
  • ルールにファイルの種類を選択すると、そのルールにより、指定したファイル拡張子を持つすべてのファイルが特定の Web サイトからダウンロードできなくなります。ファイルの拡張子は URL の末尾に対して調べられるため、拡張子「exe」を含むルールは「www.exampleURL.com/games/fun.exe」という URL に一致します。ダウンロード中のファイルがアーカイブファイル(zip ファイルなど)である場合、ファイル拡張子はアーカイブ内のファイルに対しても調べられます。
    表示されていない拡張子を持つファイルを遮断するには、
    [カスタムファイルの種類]
    として入力し、
    [追加]
    をクリックします。新しいファイルの種類を選択して、ルールに追加します。
    欺くために「doc.url」や「doc.exe」などの二重拡張子のファイルの種類が使われることがあります。ユーザーは、自分がクリックしている対象が Web サイトのリンクやプログラムではなく、「doc」ファイルであると思う可能性があります。マルウェアを Web スパイウェア対策とマルウェア対策サービスによって遮断すると同時に、これらの拡張子はそれら独自のルールで遮断する必要があります。このルールはポリシーリストの上位周辺に配置する必要があります。
ポリシーで不要になったカスタム MIME とファイルの種類はリストから削除できます。ルールで不要な場合は、その選択を解除できます。