zscaler 基本操作ガイド...9 基本操作ガイド 本書について 本書はzscaler...
TRANSCRIPT
基本操作ガイド
Zscaler 基本操作ガイド
Ver.5.6 対応版
Rev.1.0
2019 年 1 月 8 日
ノックス株式会社
2
基本操作ガイド
※ 本出版物の著作権はノックス株式会社が権利を保有しています。本出版物の配布は、Zscaler
サービスのサブスクリプション購入者による使用のみを目的としています。
※ 本出版物中に用いられている商標については、全て該当する会社が権利を保有しています。
※ 当社の許可なく、本出版物の複製・転載・配布を禁じます。
※ 本出版物は無保証で提供されるものであり、当社は本製品についてその商品性、特定の目的
に対する適合性、使用による権利侵害の不発生を保証するものではなく、かつこれに限定さ
れずいかなる事項についても明示的または暗示的に保証しません。
※ 本出版物には技術的内容に関して不適切な部分および誤植部分が含まれている恐れがあり
ます。当社は事前の通知なく本出版物の内容を改訂する場合があります。
Copyright(C)2019 ノックス株式会社
3
基本操作ガイド
目次
1. ZSCALER サービス設定の流れ ....................................................................................................................... 10
1-1. 概要 ........................................................................................................................................................... 10
1-2. ZSCALERサービス設定フロー ................................................................................................................... 10
2. ZSCALER サービスポータルへのログイン ..................................................................................................... 11
2-1. 概要 ........................................................................................................................................................... 11
2-2. ZSCALERサービスポータルへのログイン方法 .......................................................................................... 11
2-3. COMPANY PROFILE の記入方法 ................................................................................................................... 13
2-4. ZSCALERサービスポータルの管理者設定 ................................................................................................. 14
3. WEB トラフィックの転送設定 ........................................................................................................................ 16
3-1. 概要 ........................................................................................................................................................... 16
3-2. PAC ファイルでのトラフィック転送設定方法 ......................................................................................... 16
3-2-1 デフォルト PAC ファイル URL 確認方法 ......................................................................................... 16 .
Web トラフィックの転送設定方法(Internet Explorer) .................................................................................... 16
Web トラフィックの転送設定方法(Firefox) .................................................................................................... 18
Web トラフィックの転送設定方法(Google Chrome) ..................................................................................... 19
3-3. GRE でのトラフィックの転送設定方法 ................................................................................................... 20
3-3-1 GRE 接続についての概要 ................................................................................................................. 20 .
3-3-2 GRE 接続申請について ..................................................................................................................... 20 .
3-3-3 GRE 設定方法 ................................................................................................................................... 21 .
3-4. IPSECでのトラフィックの転送設定方法 .................................................................................................. 22
3-4-1 IPsec 接続についての概要 ................................................................................................................ 22 .
3-4-2 IPsec 接続申請について .................................................................................................................... 22 .
3-4-3 IPsec 設定方法 .................................................................................................................................. 23 .
Aggressive Mode の設定 ...................................................................................................................................... 23
Main Mode の設定 ................................................................................................................................................ 23
4. ユーザのプロビジョニングと認証 ................................................................................................................... 25
4-1. 概要 ........................................................................................................................................................... 25
4-2. プロビジョニング ..................................................................................................................................... 25
4
基本操作ガイド
4-3. ユーザ認証 ................................................................................................................................................ 25
5. グループ、部署、ユーザの設定 ....................................................................................................................... 26
5-1. 概要 ........................................................................................................................................................... 26
5-1-1 ポリシーのルックアップ条件 ........................................................................................................... 26 .
5-2. グループの設定方法.................................................................................................................................. 27
5-3. 部署の設定方法 ......................................................................................................................................... 28
5-4. ユーザの設定方法 ..................................................................................................................................... 29
6. ロケーション設定 ............................................................................................................................................. 32
6-1. 概要 ........................................................................................................................................................... 32
6-2. ロケーション設定方法 .............................................................................................................................. 32
6-2-1 Zscaler での静的グローバル IP アドレス申請 .................................................................................. 32 .
6-2-2 ロケーションの設定方法 ................................................................................................................... 32 .
7. ZSCALER サービスへのログイン ................................................................................................................... 35
7-1. 概要 ........................................................................................................................................................... 35
7-2. ZSCALERサービスへのログイン方法 ........................................................................................................ 35
8. SSL 複合化スキャンの設定 ............................................................................................................................. 38
8-1. 概要 ........................................................................................................................................................... 38
8-1-1 SSL 複合化スキャンの利用条件 ....................................................................................................... 38 .
8-2. ZSCALERの SSL 証明書の設定方法 .......................................................................................................... 39
8-2-1 Zscaler の SSL 証明書の入手方法 .................................................................................................... 39 .
8-2-2 証明書のインポート方法(Internet Explorer) ..................................................................................... 40 .
8-2-3 証明書のインポート方法(Firefox) ................................................................................................ 41 .
8-2-4 証明書のインポート方法(Google Chrome) .................................................................................... 42 .
8-3. SSL 通信ポート番号設定 .......................................................................................................................... 43
8-4. SSL 検査バイパス設定方法 ...................................................................................................................... 44
8-5. SSL 検査ポリシーの設定方法................................................................................................................... 46
8-6. モバイルトラフィックの SSL スキャニングの設定方法 .......................................................................... 47
9. URL フィルタリングポリシーの設定と動作確認 ............................................................................................ 48
9-1. 概要 ........................................................................................................................................................... 48
9-1-1 ルールの適用フロー .......................................................................................................................... 49 .
9-2. URL フィルタリングポリシーの設定方法 ................................................................................................ 49
9-3. URL フィルタリングポリシーの設定確認方法 ......................................................................................... 55
9-4. URL フィルタリングポリシーの確認方法 ................................................................................................ 55
9-5. 対象サイトが登録されている URL カテゴリ確認方法 ............................................................................. 56
9-6. カスタムカテゴリの設定方法 ................................................................................................................... 56
5
基本操作ガイド
10. クラウドのアプリケーションコントロールポリシーの設定と動作確認 ..................................................... 57
10-1. 概要 ....................................................................................................................................................... 57
10-2. クラウドのアプリケーションコントロールポリシーの設定方法 ......................................................... 58
10-3. クラウドのアプリケーションコントロールポリシーの動作確認方法 .................................................. 60
11. ファイルタイプコントロールの設定 ............................................................................................................ 61
11-1. 概要 ....................................................................................................................................................... 61
11-2. ファイルタイプコントロールの設定方法 ............................................................................................. 61
12. ブラウザコントロールの設定 ....................................................................................................................... 63
12-1. 概要 ....................................................................................................................................................... 63
12-2. ブラウザコントロールの設定方法 ........................................................................................................ 63
13. マルウェアプロテクションの設定 ............................................................................................................... 64
13-1. 概要 ....................................................................................................................................................... 64
13-2. マルウェアプロテクションの設定方法 ................................................................................................. 64
13-3. アンチウィルス保護の確認方法 ............................................................................................................ 65
14. 高度な脅威保護の設定 .................................................................................................................................. 66
14-1. 概要 ....................................................................................................................................................... 66
14-2. 高度な脅威保護の設定方法 ................................................................................................................... 66
15. 帯域幅コントロール ..................................................................................................................................... 67
15-1. 概要 ....................................................................................................................................................... 67
16. SANDBOX .................................................................................................................................................... 68
16-1. 概要 ....................................................................................................................................................... 68
17. DLP ............................................................................................................................................................... 69
17-1. 概要 ....................................................................................................................................................... 69
18. OFFICE365 ................................................................................................................................................... 70
18-1. 概要 ....................................................................................................................................................... 70
19. ファイアウォールコントロール ................................................................................................................... 72
19-1. 概要 ....................................................................................................................................................... 72
20. DNS コントロール ........................................................................................................................................ 73
20-1. 概要 ....................................................................................................................................................... 73
21. FTP 管理 ....................................................................................................................................................... 74
6
基本操作ガイド
21-1. 概要 ....................................................................................................................................................... 74
22. 情報通知設定 ................................................................................................................................................ 75
22-1. 概要 ....................................................................................................................................................... 75
22-2. 通知される情報の種類について ............................................................................................................ 75
22-3. 各種情報の入手方法 .............................................................................................................................. 75
22-4. 通知されるアップデート情報の種類について ...................................................................................... 75
22-5. 各アップデートの情報入手方法 ............................................................................................................ 76
23. トラフィック分析 ......................................................................................................................................... 77
23-1. 概要 ....................................................................................................................................................... 77
23-2. ダッシュボードの確認方法 ................................................................................................................... 77
23-3. ダッシュボードの編集方法 ................................................................................................................... 82
23-4. ANALYZE CHART の確認方法 ................................................................................................................... 83
23-5. ログの確認方法 ..................................................................................................................................... 84
24. レポート設定 ................................................................................................................................................ 85
24-1. 概要 ....................................................................................................................................................... 85
24-2. 標準レポートの確認 .............................................................................................................................. 85
24-3. カスタムレポートの作成 ...................................................................................................................... 86
24-4. 定期レポートの設定 .............................................................................................................................. 87
25. アラート設定 ................................................................................................................................................ 88
25-1. 概要 ....................................................................................................................................................... 88
25-2. アラート設定 ......................................................................................................................................... 88
26. バックアップおよびリストア ....................................................................................................................... 90
26-1. 概要 ....................................................................................................................................................... 90
26-2. バックアップ ......................................................................................................................................... 90
26-3. リストア ................................................................................................................................................ 91
27. ZSCALERAPP ............................................................................................................................................. 92
27-1. 概要 ....................................................................................................................................................... 92
27-2. インストール方法 ................................................................................................................................. 92
27-2-1 Windows 端末でのインストール方法 ............................................................................................ 92 .
27-2-2 MAC 端末でのインストール方法 .................................................................................................. 93 .
27-2-3 Android 端末でのインストール方法 .............................................................................................. 94 .
27-2-4 iOS 端末でのインストール方法 .................................................................................................... 95 .
27-3. FORWARDINGPROFILE の設定 ................................................................................................................. 96
27-4. APP PROFILE の設定 ............................................................................................................................... 99
7
基本操作ガイド
27-5. ZSCALER APP 操作方法 ........................................................................................................................ 101
27-5-1 Zscaler App 起動 ......................................................................................................................... 101 .
27-5-2 Zscaler App 操作画面 .................................................................................................................. 103 .
27-5-3 Zscaler App FAIL OPEN の設定 ................................................................................................. 105 .
28. その他 ......................................................................................................................................................... 106
28-1. エスカレーション代行サポートについて ........................................................................................... 106
28-2. ご不明点は下記までお問い合わせください........................................................................................ 106
8
基本操作ガイド
改版履歴
文書番号 日付 ページ 内容
Rev1.0 2019/01/08 ALL 初版
9
基本操作ガイド
本書について
本書は Zscaler の導入時にスムーズに設定が行えることを目指した導入マニュアルです。
本書は基本的な設定・流れの把握を目的としています。また、難解さを極力避けるようにしていますので、一
部内容に関して不足や補足が必要な箇所がある場合がありますが、本書の主旨をご理解の上、ご利用頂きます
ようお願い申し上げます。
なお、詳細な内容解説については、恐れ入りますが英語版の各種ドキュメントおよびヘルプをご参照ください
ますようお願い申し上げます。
10
基本操作ガイド
1. Zscaler サービス設定の流れ 1-1. 概要
Zscaler サービスの利用手順を説明します。
1-2. Zscaler サービス設定フロー
2. Zscaler サービスポータルへのログイン(必須)
6. Zscaler サービスへのログイン(必須)
3. Web トラフィックの転送設定(必須)
4. グループ、部署、ユーザの設定
5. ロケーション設定
7. SSL 復号化スキャンの設定
8. URL フィルタリングポリシーの設定と動作確認
9. クラウドのアプリケーションコントロールポリシーの設定と動作確認
10. ファイルタイプコントロールの設定
11. ブラウザコントロールの設定
12. マルウェアプロテクションの設定
13. 高度な脅威保護の設定
16. レポート設定
15. トラフィック分析
17. アラート設定
Bus
Ent
Pro
基本設定
ポリシー
設定
運用・監視
設定
14.情報通知設定
セキュリティ
設定
Bus
Ent
Bus
Ent
Bus
Ent
Bus
Ent
Bus
Ent
Bus
Ent
Pro
11
基本操作ガイド
2. Zscaler サービスポータルへのログイン
2-1. 概要
Zscaler サービスポータルへログインし、利用情報の入力情報を説明します。
2-2. Zscaler サービスポータルへのログイン方法
弊社からご連絡した URL ログイン ID、パスワードを使用して Zscaler サービスポータルへロ(1)
グインします。ポータルサイトの URL は「admin.zscloud.net」(※)です。
(※) admin.zscloud.net の赤字部分は、ご契約のクラウド名を入力してください。
プルダウンより管理画面の表示言
語を選択可能
12
基本操作ガイド
初回ログイン時は以下の The End User Subscription Agreement(EUSA)が表示されるので、(2)
「Accept」をクリックします。
「Cancel」を選択した場合もサービスを継続し、ポリシー設定やユーザ追加は可能ですが、
EUSAの承認を行うまでは設定が有効化されずZscalerサービスを経由したインターネットの
接続はできません。
13
基本操作ガイド
2-3. Company Profile の記入方法
Zscaler サービスポータルの「管理」→「設定」→「会社情報」を選択します。 (1)
使用者の情報を入力し、「保存」をクリックします。 (2)
14
基本操作ガイド
2-4. Zscaler サービスポータルの管理者設定
Zscaler サービスポータルの「管理」→「管理コントロール」→「管理」→「追加管理者のロー(1)
ル」より管理者に与えられる権限を設定します。
「ユーザ名」項目の「難読化」を
選択することで、ログに表示され
るユーザ名を暗号化可能
15
基本操作ガイド
Zscaler サービスポータルの「管理」→「管理コントロール」→「管理者のマネジメント」→(2)
「追加 管理者」より必要項目を設定し、管理者を追加します。
既存で設定されているロールから選択
管理者が管理できる範囲をロケーション、
部署単位で選択します。全てのユーザ範囲
で適用する場合は、「組織」を選択
16
基本操作ガイド
3. Web トラフィックの転送設定 3-1. 概要
Zscaler サービスを使用するために、管理対象の Web トラフィックを Zscaler クラウドに転送しま
す。以下は、Zscaler への Proxy 方法です。
- Pac ファイル
- GRE/VPN Tunnel でのフォワーディング
- Zscaler App(Zscaler が提供するプロキシエージェント)
3-2. PAC ファイルでのトラフィック転送設定方法
デフォルト PAC ファイル URL 確認方法 3-2-1.
デフォルトの PAC ファイルを表示するには、サービスポータルにログインし、次の操作を行
います。
Zscaler サービスポータルの「管理」→「リソース」→「PAC ファイル」を選択します。 (1)
Web 向けのデフォルト PAC ファイルの URL をコピーします。 (2)
17
基本操作ガイド
Web トラフィックの転送設定方法(Internet Explorer)
Internet Explorer を開き、「ツール」→「インターネット オプション」を選択します。 (1)
「インターネット オプション」ウィンドウの「接続」→「LAN の設定」をクリックします。 (2)
PAC ファイルを使用する場合、「ローカルエリアネットワーク(LAN)の設定」ウィンドウを
開き、「自動構成スクリプトを使用する」にチェックを入れ、PAC file URL を貼り付けます。
PAC ファイルを使用する場合、「自動構
成スクリプトを使用する」にチェック
を入れ、PAC ファイルの URL を指定
18
基本操作ガイド
Web トラフィックの転送設定方法(Firefox)
Firefox を開き、「オプション」→「詳細」→「ネットワーク」→「接続設定」をクリックします。 (1)
「インターネット」ウィンドウ→「接続」→「LAN の設定」を選択します。PAC ファイルを(2)
使用する場合、「ローカルエリアネットワーク(LAN)の設定」ウィンドウを開き、「自動構成ス
クリプトを使用する」にチェックを入れ、PAC file URL を貼り付けます。
PAC ファイルを使用する場合、「自動構
成スクリプトを使用する」にチェックを
入れ、PAC ファイルの URL を指定
19
基本操作ガイド
Web トラフィックの転送設定方法(Google Chrome)
Chrome を開き、「設定」→「詳細設定を表示」→「プロキシ設定の変更」をクリックします。 (1)
「インターネットのプロパティ」ウィンドウ→「接続」→「LAN の設定」を選択します。PAC(2)
ファイルを使用する場合、「ローカルエリアネットワーク(LAN)の設定」ウィンドウを開き、「自
動構成スクリプトを使用する」にチェックを入れ、PAC file URL を貼り付けます。
PAC ファイルを使用する場合、「自動構
成スクリプトを使用する」にチェックを
入れ、PAC ファイルの URL を指定
20
基本操作ガイド
3-3. GRE でのトラフィックの転送設定方法
GRE 接続についての概要 3-3-1.
社内ゲートウェイの機器(ルータ)にて、ZEN へ GRE トンネルを接続します。上図のように、
ZEN 障害に対応するためプライマリとセカンダリの冗長構成にて接続してください。GRE 接
続開始時には、Zscaler 社に申請することで GRE 接続先の情報を得ることができます。
GRE 接続申請について 3-3-2.
ロケーション登録申請 (1)
管理ポータルの企業 ID 及び企業名、ルータのグローバル IP をご連絡ください。
GRE 接続申請 (2)
接続拠点の地域(国、地名)をご連絡ください。
21
基本操作ガイド
GRE 設定方法 3-3-3.
Zscaler サービスポータルの「管理」→「リソース」→「トラフィック転送」→「ロケーション」(1)
をクリックします。
Zscalers 社より、GRE 接続先情報として以下のような情報が提供されます。接続するルータ(2)
にて GRE 接続の設定を行ってください。
接続先情報の例
ルータ設定例
Cisco 881 ISR
https://help.zscaler.com/zia/gre-configuration-example-cisco-881-isr
Juniper SRX
https://help.zscaler.com/zia/gre-configuration-example-juniper-srx
ロケーション名を指定 国名、タイムゾーンを指定
ロケーション登録申請した
IP をプルダウンより選択
Tunnel Source IP: 192.0.2.2
Internal Range: 172.18.58.120 - 172.18.58.127
Primary Destination: 216.66.5.49
Internal Router IP: 172.18.58.121/30
Internal ZEN IP: 172.18.58.122/30
Secondary Destination: 199.168.149.179
Internal Router IP: 172.18.58.125/30
Internal ZEN IP: 172.18.58.126/30
22
基本操作ガイド
3-4. IPsec でのトラフィックの転送設定方法
IPsec 接続についての概要 3-4-1.
社内ゲートウェイの機器(ファイアウォール)にて、ZENへ IPSecVPNトンネルを接続します。
上図のように、ZEN 障害に対応するためプライマリとセカンダリの冗長構成にて接続してく
ださい。IPSec 接続は、Aggressive モード(動的 IP)および Main モード(固定 IP)での接続が可
能です。
IPSec トンネルの制限は、トンネルあたり 200Mbps です。
IPsec 接続申請について 3-4-2.
ロケーション登録申請 (1)
管理ポータルの企業 ID および企業名、ゲートウェイ機器(ファイアウォール)のグローバル IP
をご連絡ください。
IPsec 接続先情報 (2)
https://ips.zscloud.net/cenr (※)のページより設置拠点に近い接続先国のVPN Host Nameを確
認し、VPN 装置から接続してください。Zscaler 社への申請は不要です。
(※)https://ips.zscloud.net/cenr の赤字部分は、管理ポータル URL のクラウド名を入力してく
ださい。管理ポータル URL : https://admin.zscloud.net
23
基本操作ガイド
IPsec 設定方法 3-4-3.
Zscaler サービスポータルの「管理」→「リソース」→「トラフィック転送」→「VPN 属性」(1)
をクリックします。
Aggressive Mode の設定
Main Mode の設定
FQDN を選択し FQDN を入力
Pre-Shared Keyを設定
IP を選択し
IP アドレスを入力
Pre-Shared Keyを設定
24
基本操作ガイド
Zscaler サービスポータルの「管理」→「リソース」→「トラフィック転送」→「ロケーション」(2)
をクリックします。
IPSec 機器にて IPSec の設定を行ってください。 (3)
設定例
Cisco ASA
https://help.zscaler.com/zia/ipsec-vpn-configuration-example-cisco-asa-5505
Cisco ISR
https://help.zscaler.com/zia/ipsec-vpn-configuration-example-cisco-isr-appliance
Juniper SRX
https://help.zscaler.com/zia/ipsec-vpn-configuration-example-juniper-srx
Juniper SSG5
https://help.zscaler.com/zia/ipsec-vpn-configuration-example-juniper-ssg5
Fortigate 60D
https://help.zscaler.com/zia/ipsec-vpn-configuration-example-fortigate-60d-firewall
Paloalto
https://help.zscaler.com/zia/ipsec-vpn-configuration-example-palo-alto-networks-appliance
サポートパラメータ等 参考情報
https://help.zscaler.com/zia/about-ipsec-vpn
表示名を入力 国とタイムゾーンを入力
プルダウンより、申請し
た IP アドレスを選択
(Aggressive Mode の
場合は設定不要)
プルダウンより、作成
した VPN 属性を選択
25
基本操作ガイド
4. ユーザのプロビジョニングと認証 4-1. 概要
Zscaler ではユーザ/グループ単位のルールを適用するため、ユーザごとのアクセスログを記録する
ために Zscaler クラウド上に利用ユーザ用のアカウント情報の展開が必要になります。利用時にユー
ザ ID・パスワードを基本とする認証が必要で、プロビジョニングと認証それぞれどのように実現する
か検討が必要です。
4-2. プロビジョニング
以下のいずれかの手法で Zscaler 上にユーザ情報を展開します。
• 手動管理
• CSV アップロード
• AD/LDAP
• Authentication Bridge
• SCIM
• SAML(要ユーザ ID、部署、グループ)
4-3. ユーザ認証
以下のいずれかの手法でクライアント端末を認証します。
• ローカル DB(Zscaler 上)
• One-Time Password/Link
• AD/LDAP
• SAML
26
基本操作ガイド
5. グループ、部署、ユーザの設定 5-1. 概要
ユーザベースのポリシーを実装し、サービスの詳細なレポート機能を活用するには、Zscaler デー
タベースでユーザを設定し、Zscaler サービスでそれらを認証に使用できるようにする必要があり
ます。ロケーション登録(グローバル IP の登録)をした拠点ではユーザの設定と認証は必須では
ありませんが、有効にすることを強く推奨します。ユーザ設定では、ユーザ名、グループおよび
部署の設定が必要です。 認証を有効にすることで、部署、グループおよびユーザに対してポリシー
を適用したり、ユーザおよび部署のログとレポートを提供したりすることができます。本項では、
グループ、部署、ユーザの設定方法を説明します。
ポリシーのルックアップ条件 5-1-1.
ポリシーのルックアップは以下の条件で実施されます。
ポリシールックアップ条件
アクション
URL カテゴリなど ユーザー ロケーション グループ 時間 部署
Allow、Block、Caution
等
27
基本操作ガイド
5-2. グループの設定方法
Zscaler サービスポータルの「管理」→「認証設定」→「ユーザ管理」→「GROUPS」タブ→「追
加グループ」をクリックします。
「追加グループ」ウィンドウに必要情報を入力し、「保存」をクリックします。
CSV 形式でグループ情報をインポートおよびエクスポートすることができます。
28
基本操作ガイド
5-3. 部署の設定方法
Zscaler サービスポータルの「管理」→「認証」→「ユーザ管理」→「部署」タブ→「追加 部署」
をクリックします。
「追加 部署」ウィンドウに必要情報を入力し、「保存」をクリックします。
CSV 形式で部署情報をインポートおよびエクスポートすることができます。
29
基本操作ガイド
5-4. ユーザの設定方法
ユーザ情報は、内部データベースでの運用以外にも、AD サーバや LDAP サーバとの連携が可能で
す。本書では、内部データベースでの運用方法について説明します。
Zscaler サービスポータルの「管理」→「認証設定」→「認可」から認証プロファイルを設定します。
・ 認証頻度: ユーザが Zscaler サービスの認証を受ける頻度を選択
・ パスワードの強度: 「Medium」8 文字以上の英字以外の文字を少なくとも 1 つ含む
「Strong」8 文字以上、数字、英字大文字、特殊文字を含む
*ASCII 文字のみ使用可能
30
基本操作ガイド
Zscaler サービスポータルの「管理」→「認証設定」→「ユーザ管理」→「ユーザ」タブ→「追加
ユーザ」をクリックします。
「追加 ユーザ」ウィンドウに必要情報を入力し、「保存」をクリックします。
・ ユーザ ID: 電子メールフォーマットでユーザ名を入力、ドメインを選択
・ ユーザ表示名: ポリシー設定のユーザ指定に使用
・ 一時的な認証 Email: ワンタイムトークンまたはリンクを有効にしている場合、
送付先の Email アドレスを入力
空欄の場合、ユーザ ID に送付
31
基本操作ガイド
CSV 形式でユーザ情報をインポートおよびエクスポートすることができます。
32
基本操作ガイド
6. ロケーション設定 6-1. 概要
ロケーションを設定することにより、ロケーションベースのポリシー適用やレポート機能を活用す
ることができます。ロケーションを追加するには、静的グローバル IP アドレスを Zscaler サポート
に申請する必要があります。
本項では、ロケーションの設定方法を説明します。
6-2. ロケーション設定方法
Zscaler での静的グローバル IP アドレス申請 6-2-1.
静的グローバル IP アドレス申請は弊社サポートサービスにて代行できます。
ロケーションの設定方法 6-2-2.
Zscaler サービスポータルの「管理」→「リソース」→「ロケーション」→「追加ロケーション」
をクリックします。
33
基本操作ガイド
「追加ロケーション」ウィンドウに必要情報を入力し、「保存」をクリックします。
タイムゾーン:ポリシーでロケーションを指定している場合、それぞれの場所のタイムゾーンに従ってポリシーを
適用することができます。ポリシー内の場所を指定すると、サービスはその場所のタイムゾーンに
従ってポリシーを適用します。例えば、クラウドアプリケーションコントロールポリシーが、午
前 8 時から午後 5 時の間に Facebook への投稿をブロックし、そのルールが東京とカリフォル
ニアの地域に適用された場合、各地域のユーザはそれぞれの午前 8 時から午後 5 時の間ブロッ
クされます。
34
基本操作ガイド
SSL スキャニングを有効化
サービスで HTTPS トランザクションを複合化して、データ漏洩、悪意のあるコンテンツおよび
ウィルスを検証し、ポリシーを適用できるようにするには「SSL スキャニングを有効化」を選択
します。
グローバル IP アドレス
Zscaler に登録した IP アドレスが表示されるので、作成するロケーション用の IP アドレスを選
択します。サブロケーションを作成する場合は、サブロケーションとして内部 IP アドレスを入
力します。
プロキシポート (Dedicated Proxy Port オプション)
選択可能なプロキシポートが表示されるので、作成するロケーションに関連付けるポートを選択
します。「認証を適用」を有効化する必要があります。
VPN 属性
VPN Credentials ページで入力した FQDN が表示されます。作成するロケーションのピアを識別
する FQDN を選択します。
代理 IP の有効化
内部 IP アドレスがパブリック IP アドレスから割り出せる場合に、ユーザから端末へのマッピン
グを有効にします。これは cookie が有効でないトラフィックに対してポリシーを適用する場合
に利用されます。
認証を適用
ユーザ認証メカニズムを適用することで、個人ユーザトラフィックの認証を強制的に適用します。
35
基本操作ガイド
7. Zscaler サービスへのログイン 7-1. 概要
Zscaler サービスへのログイン方法を説明します。
7-2. Zscaler サービスへのログイン方法
ブラウザ上で Proxy を設定後、HTTP サイトにアクセスしようとすると以下のログイン認証画(1)
面が表示されます。ユーザ名およびパスワードを入力します。
<ユーザ名入力>
<パスワード入力>
36
基本操作ガイド
パスワード入力後、アクセス先のページが表示されることを確認します。
<Web ページ表示確認>
37
基本操作ガイド
「http://ip.zscaler.com」にアクセスし、現在の Zscaler へのログイン状態を確認します。
Zscaler で変換されて宛先サイトへの
通信に利用される IP アドレス
38
基本操作ガイド
8. SSL 複合化スキャンの設定 8-1. 概要
Zscaler は独自技術により、リアルタイムで SSL の複合化、スキャン、再暗号化を実現します。本
項では、SSL 復号化スキャンを設定する方法について説明します。
SSL 複合化スキャンの利用条件 8-1-1.
証明書のインストール
SSL 復号化スキャンは Man-In-The-Middle の方式で動作し、クライアントからの SSL を一度
Zscalerで終端した上で、Zscalerと サーバ間で新たにSSLを張る動作になるため、クライアン
ト側で Zscaler の証明書をインストールしておく必要があります。
Zscaler による SSL スキャンの仕組み
ブラウザの SSL 通信先ポート番号の指定:
クライアントのブラウザの SSL 通信先ポート番号を指定する必要があります。ロケーション
登録の有無により、指定する宛先ポート番号が異なります。
39
基本操作ガイド
8-2. Zscaler の SSL 証明書の設定方法
Zscaler の SSL 証明書の入手方法 8-2-1.
Zscaler サービスポータルの「ポリシー」→「Web」→「SSL インスペクション」をクリックし
ます。「SSL スキャンの中間ルート証明機関」項目の「Zscaler のルート証明書をダウンロード」
をクリックし、「ZscalerRootCerts.zip」ファイルをダウンロードします。
「ZscalerRootCerts.zip」ファイルを解凍し、ユーザのブラウザの認証ストアにインポートし
ます。AD 環境の場合、GPO 機能を使用してユーザに自動的に展開することができます。
40
基本操作ガイド
証明書のインポート方法(Internet Explorer) 8-2-2.
「インターネット オプション」→「コンテンツ」→「証明書」をクリックします。
「証明書」ウィンドウの「信頼されたルート証明機関」タブ→「インポート」から、証明書
のインポートを実施します。
41
基本操作ガイド
証明書のインポート方法(Firefox) 8-2-3.
「オプション」→「詳細」→「証明書」タブ→「証明書を表示」をクリックします。
「証明書マネージャ」ウィンドウの「認証局証明書」タブ→「インポート」から、証明書の
インポートを実施します。
42
基本操作ガイド
証明書のインポート方法(Google Chrome) 8-2-4.
「設定」→「詳細設定を表示」→「証明書の管理」をクリックします。
「証明書」ウィンドウの「信頼されたルート証明期間」タブ→「インポート」から、証明書
のインポートを実施します。
43
基本操作ガイド
8-3. SSL 通信ポート番号設定
ロケーション登録の有無により、以下の通り SSL 通信先ポート番号を指定します。
- ロケーション登録有りの場合 -
SSL 通信先ポートは 80 番/443 番/9400 番ポートを指定
ロケーション設定にて SSL スキャニングの有効化
- ロケーション登録無しの場合 -
宛先ポートは 9443 番ポートを指定
ただし、ポータルの SSL バイパス設定が適用できない点から、本番環境でのご利用は推奨
いたしません。
※ロケーション登録無しの場合は、「7-4.SSL 検査バイパス設定方法」は不可です。
44
基本操作ガイド
8-4. SSL 検査バイパス設定方法
Zscaler サービスポータルの「ポリシー」→「Web」→「SSL インスペクション」を選択します。
「SSL 検査ポリシーの設定」ウィンドウで必要な項目を設定します。
Do Not Inspect Sessions to these URL Categories: SSL 検査しないカテゴリを選択
Do Not Inspect Sessions to these Hosts: SSL 検査しないホストを追加
Do Not Inspect these Applications: SSL 検査しないアプリケーションを追加
「保存」をクリックします。
45
基本操作ガイド
Zscaler サービスポータルトップ画面の左下の有効化から変更を有効化します。
46
基本操作ガイド
8-5. SSL 検査ポリシーの設定方法
Zscaler サービスポータルの「ポリシー」→「Web」→「SSL インスペクション」を選択します。
「SSL 検査ポリシーの設定」ウィンドウで必要な項目を設定します。
許可: 信頼されていない証明書を持つサイトへのアクセスを許可
証明書の警告はユーザに表示されません
パススルー: 証明書の警告がユーザに表示され、サイトに進むことを選択可能
ブロック: 信頼できない証明書を持つサイトへのアクセスをブロック
無効なサーバ証明書のサイトをブロックしました:
無効なサーバ証明書のサイトへのアクセスをブロック
47
基本操作ガイド
8-6. モバイルトラフィックの SSL スキャニングの設定方法
Zscaler サービスポータルの「ポリシー」→「Web」→「SSL インスペクション」を選択します。
「SSL 検査ポリシーの設定」ウィンドウで必要な項目を設定します。
モバイルトラフィックの SSL スキャニングを有効化
ご利用の OS の箇所を有効化
Zscaler App から送信されたトラフィックに対して SSL 検査を実行するには、この設定を有効化
48
基本操作ガイド
9. URL フィルタリングポリシーの設定と動作
確認 9-1. 概要
URL フィルタリングポリシーは、URLカテゴリ単位にルールを作成し、適用することができます。
URL カテゴリに対してアクセス許可/ブロック/警告のアクションを適用できます。
ポリシーの構成要素およびアクションのイメージは以下の通りです。
49
基本操作ガイド
ルールの適用フロー 9-1-1.
上位(数字の昇順)のルールから順番に条件のマッチングが行われ、最初に適合したルール
のアクションが実行されます
9-2. URL フィルタリングポリシーの設定方法
Zscaler サービスポータルの「ポリシー」→「Web」→「URL/クラウドアプリケーションコント
ロール」を選択します。
「URL フィルタリングのポリシー」タブ→「URL フィルターのルールを追加」をクリックします。
50
基本操作ガイド
「項目」欄から、必要項目の登録を行います。
ルールの順番
ポリシールールは昇順に評価され(ルール 2 の前にルール 1 など)、反映されます。変更する際、割り
当てられた管理者のランクによって、選択できる Rule Order 値が異なります。
管理者のランク
1~7 の値を入力します(1 が最高ランク)。割り当てられた管理者のランクによって、選択できる値が
決まります。自分のランクよりも高いランクは選択できません。ルールの Admin Rank は、Rule Order
で選択できる値を決定します。そのため、Admin Rank が高いルールは常に Admin Rank が低いルール
よりも優先されます。
ルールのステータス
有効なルールが実行され、無効のルールはスキップされます。無効にした場合もルールは削除されま
せん。
許可
指定したサイトへのアクセスを許可します。
警告
指定したサイトへのアクセス時に警告画面を表示し、アクセスを許可します。
ブロック
指定したサイトへのアクセス時に警告画面を表示し、アクセスをブロックします
51
基本操作ガイド
A) 「URL カテゴリ」ウィンドウから対象とする URL カテゴリを選択します。
+ボタンから URL カテゴリを追加することが可能です
B) 「ユーザ」ウィンドウから対象とするユーザを選択します。
+ボタンからユーザを追加することができます。
52
基本操作ガイド
C) 「部署」ウィンドウから対象とする部署を選択します。
+ボタンから部署を追加することができます。
D) 「時間」ウィンドウから対象とする時間を選択します。
+ボタンから時間を追加することができます。
53
基本操作ガイド
E) 「HTTP リクエスト」ウィンドウから「全て」か「POST」を選択します。
F) 「Groups」ウィンドウから対象とするグループを選択します。
+ボタンからグループを追加することができます。
G) 「ロケーション」ウィンドウから対象とするロケーションを選択します。
+ボタンからロケーションを追加することができます。
54
基本操作ガイド
H) 「アクション」欄から、Web トラフィックに対する動作を指定します。
- 「警告」の設定項目 -
- 「許可」の設定項目 -
- 「ブロック」の設定項目 -
I) 「保存」をクリックします。
J) Zscaler サービスポータルトップ画面の右上のアイコンから変更を有効化します。
55
基本操作ガイド
9-3. URL フィルタリングポリシーの設定確認方法
Zscaler サービスポータルの「ポリシー」→「Web」→「URL/クラウドアプリケーションコン(1)
トロール」→「URL フィルタリングのポリシー」タブを選択します。
9-4. URL フィルタリングポリシーの確認方法
Zscaler クライアントの Web ブラウザから、URL フィルタリングポリシー設定項目に抵触す(1)
るサイトにアクセスを行い、以下のようなメッセージが表示されることを確認します。
「アクション」が「ブロック」設定の場合
URL ポリシーに関しては上か
ら順番に参照していく
それぞれのポリシー内容を確認
56
基本操作ガイド
「アクション」が「警告」設定の場合
9-5. 対象サイトが登録されている URL カテゴリ確認方法
「ヘルプ」→「URL ルックアップ」の「URL 参照の識別」項目に URL を入力し、「URL 参照」(1)
ボタンをクリックします。
9-6. カスタムカテゴリの設定方法
「管理」→「アクセスコントロール」→「URL カテゴリ」から URL ポリシーで使用するカス(1)
タムカテゴリの設定が可能です。
57
基本操作ガイド
10. クラウドのアプリケーションコントロー
ルポリシーの設定と動作確認 10-1. 概要
クラウドのアプリケーションコントロールポリシーはアプリケーション単位にルール作成を作成
し、適用することができます。
アプリケーションに対してアクセス許可/ブロックもしくは特定アクションの許可/ブロック
(アプリケーションによる)を適用できます。
ポリシーの構成要素およびアクションのイメージは以下の通りです。
58
基本操作ガイド
クラウドのアプリケーションコントロールポリシーは、URL フィルタリングのポリシーよりも優
先されます。
URL フィルタリングポリシーを設定する方法について説明します。
10-2. クラウドのアプリケーションコントロールポリシーの設定方法
Zscaler サービスポータルの「ポリシー」→「Web」→「URL/クラウドアプリケーションコン(1)
トロール」を選択します。
「クラウドのアプリケーションコントロールポリシー」タブ→「追加」をクリックし、対象の(2)
クラウドアプリケーションカテゴリを選択します。
選択可能なカテゴリ
SNS/ブログ(2-チャンネル、Facebook、Twitter など)
Web メール(Gmail、Outlook、Yahoo!メールなど)
インスタントメッセージ(Facebook-Webim、Google Talk、MSN Web Messenger など)
コンシューマー(Amazon、Groupon、PayPal など)
システム/デベロップメント(BrowserStack、Cloudant、SWIG など)
ストリーミングメディア/ファイル共有(Amazon Drive、Dropbox、YouTube など)
セールス/マーケティング(Bazaarvoice、Oracle Eloqua、IBM Silverpop など)
企業のコラボレーション(Adobe Connect、Microsoft SharePoint Online、Cisco WebEx など)
企業生産性(Evernote、Salesforce、Zimbra など)
59
基本操作ガイド
必要項目の登録を行います。 (3)
クラウドアプリケーション:
[全て]を選択するか、必要なクラウドアプリケーションを選択します。アプリケー
ションを検索することもできます。
閲覧: 選択したアプリケーションのコンテンツを視聴することを許可またはブロックし
ます。
Uploading:アプリケーションにコンテンツをアップロードすることを許可またはブロックし
ます。
1 日当たりの利用時間(分):
時間割り当ては、データをアップロードおよびダウンロードする際にセッション
で経過した時間に基づいています。セッションアイドル時間は無視されます。入
力できる最小値は 15 分で、最大値は 600 分です。
60
基本操作ガイド
1 日当たりの利用帯域幅(MB):
帯域幅のクォータには、アップロードとダウンロードされるデータが含まれます。
各場所でクォータを適用するには、特定のユーザ、グループまたは部署を選択し
ないでください。特定のユーザ、グループまたは部署に対してクォータを適用す
るには、SSL 検査と認証を有効にする必要があります。ユーザのアクセスが既知
の場所から来た場合、クォータは場所のタイムゾーンに基づいて真夜中にリセッ
トされます。入力できる最小値は 10 MB で、最大値は 2500 MB です。
学校向けの YouTube のフィルター:
学校が選択した教育用動画のみを表示できます。学校のネットワークに割り当て
られている YouTube の ID を入力します。Zscaler サービスは、YouTube がユーザ
の学校を識別できるように、YouTube のユーザの HTTP リクエストにこの ID のカ
スタムヘッダーを挿入します。
「保存」をクリックします。 (4)
Zscaler サービスポータルトップ画面の右上のアイコンから変更を有効化します。 (5)
10-3. クラウドのアプリケーションコントロールポリシーの動作確認方法
Zscaler クライアントの Web ブラウザから、クラウドのアプリケーションコントロールポリシー(1)
設定項目に抵触するサイトにアクセスを行い、以下のようなメッセージが表示されることを確認
します。
「アクション」が「ブロック」設定の場合
61
基本操作ガイド
11. ファイルタイプコントロールの設定 11-1. 概要
ファイルタイプコントロールは、ファイルタイプ単位にルールを作成し、アップロード/ダウン
ロードを制御することができます。
ファイルタイプ単位にアップロード/ダウンロードの許可/ブロック/警告のアクションを適用でき
ます。ファイルタイプコントロールの構成要素およびアクションのイメージは以下の通りです。
ファイルタイプコントロールを設定する方法について説明します。
11-2. ファイルタイプコントロールの設定方法
Zscaler サービスポータルの「ポリシー」→「アクセスコントロール」→「ファイルタイプの(1)
コントロール」を選択します。
62
基本操作ガイド
「ファイルタイプコントロールのルールを追加」をクリックし、「ファイルタイプコントロール(2)
のルールを追加」ウィンドウで必要項目の設定を行い保存します。
ファイルタイプ:ルールを適用するファイルタイプを選択
URL カテゴリ :ルールを適用する URL カテゴリを選択
このサービスは、ユーザが選択したカテゴリのサイトにファイルをアップロードおよび/
またはダウンロードする時にルールを適用します。ルールを全てのカテゴリに適用する場
合は[全て]を選択します。URL カテゴリを検索したり、[追加]アイコンをクリックしてカス
タムカテゴリを追加することもできます。
圧縮拡張子、マイクロソフト拡張子、
動画像拡張子、FLASH ファイルなど幅
広いメディア形式に対応
63
基本操作ガイド
12. ブラウザコントロールの設定 12-1. 概要
ブラウザコントロールは、各種ブラウザ別に使用禁止するバージョンを指定することができます。
本項では、ブラウザコントロールを設定する方法について説明します。
12-2. ブラウザコントロールの設定方法
Zscaler サービスポータルの「ポリシー」→「セキュリティ」→「ブラウザコントロール」を(1)
選択します。
「ブラウザ管理ポリシーの設定」ウィンドウで必要項目の設定を行い保存します。 (2)
指定したブラウザのバージョンをブロック設定
64
基本操作ガイド
13. マルウェアプロテクションの設定 13-1. 概要
Zscaler はシグネチャベースでのマルウェアプロテクションが可能です。
本項では、マルウェアプロテクションの設定およびアンチウイルス保護の動作を確認する方法に
ついて説明します。
13-2. マルウェアプロテクションの設定方法
Zscaler サービスポータルの「ポリシー」→「セキュリティ」→「マルウェアプロテクション」(1)
を選択します。
「マルウェアのポリシー」ウィンドウで必要項目の設定を行い保存します。 (2)
65
基本操作ガイド
13-3. アンチウィルス保護の確認方法
ブラウザを開き、http://www.eicar.org/download/eicar.com にアクセスします。 (1)
テストウイルスをダウンロードすると、サービスはそれをブロックし、次のようなメッセージ(2)
を表示します。ブラウザにキャッシュされたファイルはブロックされないため、保護の有効化
と無効化の両方をテストする場合は、ブラウザのキャッシュをクリアする必要があります。
※サービスポータルで[管理]> [リソース]> [エンドユーザ通知]に移動して、ユーザに表示する通知
ページをカスタマイズできます。
※HTTPS のテストウイルスをブロックするには SSL スキャンを有効にしておく必要があります。
66
基本操作ガイド
14. 高度な脅威保護の設定 14-1. 概要
Zscaler は従来のシグネチャベースでは検知できないような悪意あるアクティブコンテンツ(ボッ
トネット、フィッシングなど)を検知可能です。本項では、高度な脅威保護を設定する方法につ
いて説明します。
14-2. 高度な脅威保護の設定方法
Zscaler サービスポータルの「ポリシー」→「セキュリティ」→「高度な脅威保護」を選択し(1)
ます。
「高度な脅威ポリシー」ウィンドウで必要項目の設定を行い保存します。 (2)
Web サイト毎に様々な要素をベースとして
危険度を数値化。指定されたスコアリングを
超えるようなサイトに関しては、ブロック
67
基本操作ガイド
15. 帯域幅コントロール 15-1. 概要
帯域幅コントロールを使用すると、ビジネスクリティカルなアプリケーションへの利用帯域を維持
することができます。これにより、ソーシャルメディアやストリーミングメディアの周りに対して
より厳しいルールを設定することができます。例えば、最大 10%の帯域幅をストリーミングメディ
ア、ファイル共有に割り当てた場合、これらの利用は帯域幅の最大 10%以下に制限されます。
設定例
帯域幅は2つのレベルで設定可能
・ロケーション単位(サブロケーション単位)
・各ロケーション毎に、URL カテゴリやアプリケーション単位
最大帯域幅の指定
68
基本操作ガイド
16. Sandbox 16-1. 概要
Sandbox は、統合されたファイルの動作分析によって、ゼロデイ脅威と高度な永続的脅威(APT)
に対するセキュリティを追加で提供します。Zscaler サービスは、仮想環境内のファイルを実行、
分析し、悪意のある動作を検出します。クラウド全体の Zscaler Enforcement Nodes(ZEN)に悪
意のあるファイルのハッシュを伝播させることで、リアルタイムのブラックリストを効果的に管
理し、世界中のどこのユーザにも悪質なファイルのダウンロードを防ぐことができます。
設定例
2 種類の動作モードを用意
・許可してスキャン ・・・
初見のファイルは無条件にダウンロード許可。バックグラウンドで Sandbox による動
的解析実施。2度目以降はハッシュ値(MD5)により許可/ブロックが判断されます。
・検疫 ・・・
Sandbox による解析により安全と判断されるまでダウンロードは許可されません。
69
基本操作ガイド
17. DLP 17-1. 概要
DLP エンジンを使用すると、複数の辞書を含むコンテンツを検出するルールを作成できます。たと
えば、社会保障番号とクレジットカード番号を保護したい場合、クレジットカードと社会保障番号
辞書を含む PCI エンジンを使用してルールを作成することができます。また、任意のキーワード、
辞書を追加することもできます。
スキャン可能なファイルの最大サイズは 100MB です。
DLP ポリシールールを定義するときは、DLP 辞書ではなく DLP エンジンを参照する必要がありま
す。このサービスは4つの DLP 定義済みエンジンを提供しています。
HIPAA(Health Insurance Portability and Accountability Act)
GLBA(Gramm-Leach-Bliley Act)
PCI(Payment Card Industry)
攻撃的な言語(アダルトコンテンツ辞書を利用)
設定例
70
基本操作ガイド
18. Office365 18-1. 概要
Office 365 は SSL の暗号化トラフィックを採用しているためログの取得やアクセス制御を実施す
るには SSL 復号化処理が必要です。しかしながら、認証処理や Skype の一部のトラフィックに代
表されるように SSL 復号化処理により Office 365 が正常に利用できなくなるトラフィックがあり
ます。
そのため、Office 365 の動作に支障をきたす SSL トラフィックを監視、管理し、Proxy 除外する
必要があります。
Zscaler は Office365 が利用するトラフィックを SSL 復号化処理から自動的に除外する「Office365
ワンクリック設定」機能を提供しています。
また、Office365 のテナント制御機能についても、テナント情報を入力するだけで簡単に設定する
ことができます。
設定例
ディレクトリ ID の指定
アクセス許可するテナントの指定
71
基本操作ガイド
72
基本操作ガイド
19. ファイアウォールコントロール 19-1. 概要
Zscaler は、ロケーションから GRE/IPSec トンネル経由でのアウトバウンド TCP/UDP、および
ICMP トラフィックを制御できるファイアウォール機能を提供しています。
また、アプリケーション(L7)ベースの次世代ファイアウォール機能を実装することにより、ア
プリケーション単位での制御も可能です。
Zscaler では次のファイアウォールポリシーが設定可能です。
ファイアウォールフィルタリングポリシー
ネットワークからインターネットへの特定の種類のトラフィックを許可またはブロックする
ルールを設定できます。セッションの記録方法を指定することもできます。
NAT 制御ポリシー
宛先 NAT を実行するためのルールを設定できます。トラフィックを特定の IP アドレスおよ
びポートにリダイレクトが可能です。
DNS 制御ポリシー
DNS 要求を許可またはブロックするルールを設定したり、要求を別の DNS サーバにリダイ
レクトしたり、DNS 応答の IP アドレスを事前定義済みの IP アドレスに置換して DNS 応答
をリダイレクトすることができます。
設定例
73
基本操作ガイド
20. DNS コントロール 20-1. 概要
Zscaler はファイアウォール機能の一部として DNS の制御ポリシーを設定することができます。
DNS 要求を許可またはブロックするルールを設定したり、要求を別の DNS サーバにリダイレク
トしたり、DNS 応答の IP アドレスを事前定義済みの IP アドレスに置換して DNS 応答をリダイレ
クトすることができます。
設定例
74
基本操作ガイド
21. FTP 管理 21-1. 概要
既定では、Zscaler サービスは、ある場所のユーザが HTTP 経由で FTP を使用する FTP サイトか
らファイルをアップロードまたはダウンロードすることを許可していません。ネイティブ FTP ト
ラフィックのみが許可されます。Standard Firewall サブスクリプションでは、ネイティブ FTP ト
ラフィックを許可またはブロックできます。FTP コントロールを使用すると、Zscaler はネイティ
ブ FTP および HTTP トラフィックに対する FTP へのアクセス制御を提供します。また、FTP
Control はファイルを抽出し、セキュリティスキャンを実行します。
尚、Z-App または PAC ベースのデプロイメントを使用している場合、HTTP over FTP トラフィッ
クのみをサポートします。
設定例
75
基本操作ガイド
22. 情報通知設定 22-1. 概要
本項では、Zscaler の情報通知内容および方法を説明します。
詳細につきましては以下のページをご参照ください。
https://help.zscaler.com/zia/about-customer-notifications
22-2. 通知される情報の種類について
Data Center Maintenance (1)
- Zscaler サービスのメンテナンス情報
Date Center Incedent (2)
- Zscaler サービスの障害情報
Security Advisort (3)
- 脆弱性や脅威についての情報
22-3. 各種情報の入手方法
Zscaler のサイトで閲覧 (1)
- https://trust.zscaler.com ページにて各情報が閲覧可能
メールでの配信 (2)
- https://trust.zscaler.com ページ右上の Sign In をクリックしメールアドレスを登録
- 登録方法の詳細は https://support.nox.co.jp/zscaler/INFORMATION/ZS メール通知につ
いて _Rev01.pdf をご参照ください。
22-4. 通知されるアップデート情報の種類について
Security Update (1)
- 脆弱性や脅威についての情報
Service Update (2)
- 新しいサービスや機能拡張、新バージョンのリリース情報、Data Center の Notification
情報
Product Update (3)
- 重要な変更やサービスの Update 情報
76
基本操作ガイド
22-5. 各アップデートの情報入手方法
メールでの配信 (以下のいずれかの方法で配信先登録) (1)
- 「管理」→「設定」→「会社情報」ページの「組織」タブの「技術担当者」タブまたは「ビ
ジネス担当者」タブに登録
- 「管理」→「管理コントロール」→「管理者のマネジメント」ページの登録されている管理
者アカウントにて、アラート情報配信の有効・無効を設定
77
基本操作ガイド
23. トラフィック分析 23-1. 概要
本項ではトランザクションのグラフとログの表示方法を説明します。
23-2. ダッシュボードの確認方法
Zscaler サービスポータルの「サマリー」→「Web の概要」を選択します。 (1)
各ウィジェットは、トラフィックの様々な項目を表示します。
Zscaler サービスポータルの「サマリー」から、各種サービスのダッシュボードを選択できます。 (2)
カーソルを合わせる
と項目の内容を表示
項目の内容を表示
78
基本操作ガイド
- セキュリティ -
- Web ブラウジング -
79
基本操作ガイド
- クラウドアプリケーション -
- モバイルアプリケーション -
80
基本操作ガイド
- DNS 概要 -
- ファイアウォールの概要 -
81
基本操作ガイド
- 帯域幅コントロール -
- Office365 -
82
基本操作ガイド
23-3. ダッシュボードの編集方法
Zscaler サービスポータルの「サマリー」→「Web の概要」を選択します。 (1)
「Web の概要」ウィンドウの期間をクリックし、表示データの期間を設定します。 (2)
「Web の概要」ウィンドウの各ウィジェットの編集アイコンから編集、削除を実施します。 (3)
「Web の概要」ウィンドウの+アイコンを選択し、「新しいウィジェット」ウィンドウの必要(4)
項目を入力し、ウィジェットを追加します。
(3) 各ウィジェットの編集、削除 (2) 表示データの期間を設定
24、48 時間、3、5、7 日間を
選択可能
(4) ウィジェットの追加
ウィジェットのタイプ、データタイプ、
ユニット、グラフのタイプを選択
フィルターは複数選択可能
83
基本操作ガイド
23-4. Analyze Chart の確認方法
ウィジェットの対象項目をクリックして、「チャートの分析」を選択します。 (1)
Web Insight では、左パネルでフィルターの定義、データ型を選択して特定のトランザクション(2)
に対話的にドリルダウンすることができます。
グラフタイプ、データ期間、
フィルタータイプを選択可能
84
基本操作ガイド
23-5. ログの確認方法
ウィジェットの対象項目をクリックして、「ログを閲覧」を選択します。 (1)
ウィジェットの対象項目をクリックして、「ログを閲覧」を選択します。 (2)
ログは、サービスが賭博 URL をブロックし、注意通知の後にショッピング URL へのアクセス
を許可したことを示しています。
③右上部カラムにて、出力ログの詳細情報の
絞り込みが可能
※トラブルシュート時は「全選択」を指定
①ログの出力形式を選択
グラフ形式で出力する場合は上の各種図形アイコンを選択
右図のように文字形式で出力する場合は「ログ」を選択
②タイムテーブルおよび各種フィルターを設定し、取得ログを絞り込む
85
基本操作ガイド
24. レポート設定 24-1. 概要
本項では、Zscaler のレポート設定方法を説明します。
24-2. 標準レポートの確認
Zscaler サービスポータルの「解析」→「レポート」→「対話型レポート」→「標準レポート」(1)
から対象の項目を選択します。
86
基本操作ガイド
24-3. カスタムレポートの作成
Zscaler サービスポータルの「解析」→「レポート」→「対話型レポート」→「新しいレポー(1)
ト」からレポートのデータクラスを選択します。
「ウィジェットを追加」をクリックし、「新しいウィジェット」ウィンドウから必要項目を設(2)
定します。
レポートは、各種グラフや統計情報などのウィジェットを
視覚的に配置して、設定編集を行う
ウィジェット毎にデータ取得時間を設定することも可能
87
基本操作ガイド
24-4. 定期レポートの設定
Zscaler サービスポータルの「解析」→「レポート」→「定期レポート」→「追加」を選択し(1)
ます。
「追加 定期レポート」ウィンドウから必要項目を設定します。 (2)
送信する対話型レポートを指定
レポートの送信先を指定(複数指定可)
レポートが管理者に送信される頻度、日時を指定
「毎週」は毎週月曜日 AM9:00 に送信
「毎月」は 1 日に送信
88
基本操作ガイド
25. アラート設定 25-1. 概要
本項では、Zscaler のアラート設定方法を説明します。
25-2. アラート設定
Zscaler サービスポータルの「管理」→「アラート」→「アラートの定義」→「追加 アラート(1)
の解説」を選択します。
「追加 アラートの解説」ウィンドウで必要項目の設定を行います。 (2)
Zscaler サービスポータルの「管理」→「アラート」→「アラートの発行」→「追加 アラート(3)
のサブスクリプション」を選択します。
トリガーとなる発生回数を指定
アラートに関するクラスはデフォ
ルトで設定(変更不可)
トリガーの時間間隔を指定
適用範囲を指定
全てのユーザーに適用する場合は「組織」
を指定
89
基本操作ガイド
「追加 アラートのサブスクリプション」ウィンドウで以下の設定を行います。アラート毎に、(4)
受信するアラートの重大度を選択できます。(クリティカル、メジャー、マイナー、情報、デ
バッグの 5 段階)
アラートの送信先を設定
各クラスのレベル別で送信するアラートの内容を制限
90
基本操作ガイド
26. バックアップおよびリストア 26-1. 概要
本項では、バックアップおよびリストアの方法を説明します。
設定変更を実施する際には、事前のバックアップをお勧めします。
26-2. バックアップ
Zscaler サービスポータルの「管理」→「管理コントロール」→「バックアップ/リストア」(1)
→「追加 リストアポイント」を選択します。
「追加 リストアポイント」ウィンドウで必要項目の設定を行います。 (2)
リストアポイント名を入力
91
基本操作ガイド
26-3. リストア
Zscaler サービスポータルの「管理」→「管理コントロール」→「バックアップ/リストア」(1)
→「リストアするリストアポイントの名前」を選択します。
「表示リストアポイント」ウィンドウで「リストアポリシー」をクリックします。 (2)
「リストア」をクリックします。 (3)
92
基本操作ガイド
27. ZscalerApp 27-1. 概要
Zscaler は独自のエージェントソフトとして、Zscaler App を公開しています。
本項では、Zscaler App のインストール方法及び設定項目について説明します。
27-2. インストール方法
Windows 端末でのインストール方法 27-2-1.
Zscaler サービスポータルの「ポリシー」→「Zscaler アプリの設定」→「Zscaler アプリのポー(1)
タル」をクリックし、Zscaler App のポータルにアクセスします。
Zscaler App のポータルの「Administration」→「Zscaler App Store」をクリックし、「Windows」(2)
の該当バージョンのインストーラをダウンロードします。
93
基本操作ガイド
ダウンロードしたファイルを解凍し、クライアント端末にインポートします。AD環境の場合、(3)
GPO 機能を使用してユーザに自動的に展開することができます。
MAC 端末でのインストール方法 27-2-2.
「Zscaler サービスポータルの「ポリシー」→「Zscaler アプリの設定」→「Zscaler アプリの(1)
ポータル」をクリックし、Zscaler App のポータルにアクセスします。
Zscaler App のポータルの「Administration」→「Zscaler App Store」をクリックし、「Mac OS (2)
X」の該当バージョンのインストーラをダウンロードします。
ダウンロードしたファイルを解凍し、クライアント端末にインポートします。 (3)
94
基本操作ガイド
Android 端末でのインストール方法 27-2-3.
Google Play Store より「Zscaler」と検索し「Zscaler App」をインストールします。 (1)
95
基本操作ガイド
iOS 端末でのインストール方法 27-2-4.
Apple Store より「Zscaler」と検索し、「Zscaler App」をインストールします。 (1)
96
基本操作ガイド
27-3. ForwardingProfile の設定
Zscaler App のポータルにて「Administration > Settings > Forwarding Profile」から Forwarding (1)
Profile の設定画面に遷移します。
「Add Forwarding Profile」をクリックし、新規プロファイルの設定を行います。 (2)
97
基本操作ガイド
Profile Name: Forwarding Profile の名前を指定
Trusted Network Criteria: Trusted Network を定義
DNS Servers:
クライアントが参照する DNS サーバの IP アドレスを基に Trusted
Network に所属しているか判断します。
DNS Search Domains:
クライアントが参照する検索ドメイン情報を基に
Trusted Netwrok に所属しているか判断します。
Host Name and IP:
指定されたホスト名に対する名前解決の IP アドレスを基に
Trusted Network に所属しているか判断します。
Forwarding Profile Action: 各 NW 帯においての Proxy アクションを設定
各 Network 帯の概要
On Trusted Network: 「Trusted Network Criteria」に定義した NW 帯
VPN Trusted Network: VPN 経由でアクセスした Trusted Network(ios は非対応)
Off Trusted Network: Trusted Network 以外の NW 帯
Proxy 方法の概要
Tunnel
Zscaler App が ZEN と簡易的な HTTP トンネルを確立し、HTTP、HTTPS
トラフィックについてはトンネル経由で ZEN にフォワーディングされます。
ユーザ識別については、確立されたトンネル ID にて識別されます。
SSL バイパスの設定は適用されます。
Tunnel With Local Proxy
基本的に Tunnel モードと同じ動作ですが、VPN クライアントソフトや他の Proxy サー
バとの併用ができるようになります。
また当該モードを利用する際は参照する PAC ファイルでの Proxy 先を必ず変数
${ZAPP_LOCAL_PROXY}として設定する必要があります。
SSL バイパスの設定は適用されます。iOS 及び Android では利用できません。
98
基本操作ガイド
Enforce PAC
指定した PAC ファイルをシステムプロキシとして強制的に参照させる設定です。
Zscaler App を介した通信にならないため、ブラウザによる Cookie ベースのユーザ認証
が必要です。
iOS 及び Android では利用できません。
None
Zscaler App による Proxy は発生しません。
ブラウザ等で別途 Proxy 設定が読み込まれている場合は、そちらの設定を参照するよう
になります。
「Save」をクリックします。 (3)
Tunnel With Local Proxy で指定する PAC ファイルの設定
※指定する PAC ファイルについては Zscaler 上にホスティングされている必要があります。
99
基本操作ガイド
「管理 > PAC ファイル」より PAC ファイルの追加および変更が可能です。
設定例
if ( shExpMatch(host, "www.dailymotion.com"))
return "DIRECT";
---- > 「www.dailymotion.com」へのアクセスについては、直接アクセスする。
if (localHostOrDomainIs(host, "www.sanspo.com"))
return “PROXY 52.229.160.222:8080”;
---- > 「www.sanspo.com」へのアクセスについては、
社内 Proxy サーバ(52.229.160.222:8080)へ Proxy する。
return "PROXY ${ZAPP_LOCAL_PROXY}; DIRECT";
---- > その他のアクセスについては、Zscaler App が確立したトンネル経由で
Zscaler に Proxy する。
27-4. App Profile の設定
Zscaler App のポータルにて「App Profile」から App Profile の設定画面に遷移します。 (1)
100
基本操作ガイド
App profile の追加ウィンドウで必要な項目を設定します。 (2)
Groups: Profile を適用するユーザグループを指定
Logout Password: アプリ上で認証ログアウトしようとした際に入力が必要なパスワード
Disable Password: アプリを Disable しようとした際に入力が必要なパスワード
Custom PAC URL: 宛先ノードを指定するための PAC ファイルの URL
※Proxy 除外の設定は適用されない
Forwarding Profile: App Profile に紐付ける Forwarding Profile を指定
Install Zscaler SSL Certificate:
アプリインストール時にSSLクライアント証明書を自動インストールする設定
Log Mode: 内部に蓄積するログについて、ログモードの設定(推奨は Debug)
Log File Size in MIB: 内部蓄積するログの容量を指定
Disable Loopback Restriction:
「Forwarding Profile」の設定にて、「Tunnel With Local Proxy」を指定して
いる時に、他アプリケーションの制約による Loopback I/F との通信のブロ
ックを回避
Override WPAD: 「Forwarding Profile」の設定にて、「Tunnel With Local Proxy」を指定して
101
基本操作ガイド
いる時の、WPAD によりインポートされた PAC ファイルの設定の上書き
Restart WinHTTP service:
「Forwarding Profile」の設定にて、「Tunnel With Local Proxy」を指定し
ている時の、キャッシュされたWPAD の設定削除と Zscaler App の Proxy
設定の読み込み
「Save」をクリックします。 (3)
27-5. Zscaler App 操作方法
Zscaler App 起動 27-5-1.
Zscaler App を起動し、ログイン ID を入力します。 (1)
102
基本操作ガイド
ログイン ID の入力後、パスワードを入力します。 (2)
パスワード入力後、ログインが完了しますので、「Username」が入力したユーザ名になって(3)
いるか確認してください。
103
基本操作ガイド
Zscaler App 操作画面 27-5-2.
Username:Zscaler App にログインしているユーザ ID 情報
Status: 現在の NW ステータス(Trusted Network/VPN Trusted Network/Off Trusted Network)
Turn OFF:クリックすることで一時的に Zscaler への Proxy を無効化
Server: Tunnel の接続先ノードの IP アドレス
Client: Tunnel の接続元クライアントの IP アドレス
104
基本操作ガイド
Export Logs: 内部蓄積されているログの出力(ENC 形式)
※解凍できるのは Zscaler TAC エンジニアのみ
Restart Service: Zscaler App の再起動
Repair App: アプリケーションの修復
Clear Logs: 内部蓄積されているログの削除
Log Mode: ログモードの選択(Error/Warn/Info/Debug)
Update App: 手動でのバージョンアップを実施
Update Policy: App ポリシーのアップデートを実施
無効なサーバ証明書のサイトをブロックしました:
無効なサーバ証明書のサイトへのアクセスをブロック
105
基本操作ガイド
Zscaler App FAIL OPEN の設定 27-5-3.
「Administration > Zscaler App Support > APP FAIL OPEN」をクリックします。 (1)
各項目を設定 (2)
「If Captive Portal Detected, then disable Web Security for」:
ホテル Wifi などを利用する際、Zscaler では Captive Portal を検知し、ポータルでの認証を実施
できるよう、Zscaler App における Proxy を一定時間停止。停止時間はデフォルトで 10 分に設定
されていますが、上記画面で変更可能
「If Zscaler Proxy Node (ZEN) is not reachable, then」:
Zscaler ノードへのアクセス不可が発生した場合のトラフィック処理を選択
「If Zscaler App Tunnel Setup Fails, then」:
Tunnel の確立に失敗した際のトラフィック処理を選択
106
基本操作ガイド
28. その他 28-1. エスカレーション代行サポートについて
弊社がご提供する NOX コンシェルジュサービスご契約のお客様で、Zscaler 社へエスカレーショ
ン代行サポートをご希望の方は、管理ポータルにて以下の設定が必要です。(Zscaler 社が弊社から
の代行依頼を受理するため)
Zscaler サービスポータルの「管理」→「会社情報」→「組織」を選択します。 (1)
画面下部の 「技術担当者」タブにて、名前「NOX Support」、Email「[email protected]」 と(2)
入力し、「保存」をクリックします。
28-2. ご不明点は下記までお問い合わせください
ノックス株式会社 技術本部
TEL: 03-5731-5551
E-mail: [email protected]
107
基本操作ガイド
発行者
ノックス株式会社
東京都目黒区八雲 2-23-13
Tel. 03-5731-5551
Fax. 03-5731-5552