HTTPS Web サイトの SSL/TLS 復号化
Web サイトを復号化して検索するかどうかを制御できます。
セキュアな Web サイト (HTTPS) は暗号化されているため、復号化が許可されている場合にのみコンテンツを検索できます。
ただし、一部またはすべてのサイトを復号化から除外することが望ましい場合もあります。これは、ソフォス製品で復号化する際、個人情報が記録され、ログエントリに表示される可能性があるためです。
HTTPS Web サイトの復号化をオンにすると、次のように個人情報が表示され、記録される場合があります。
- フルの URL が表示されます (GET リクエストで使用される追加パラメータを含む)。
- 個人情報 (PPI) を含む可能性のあるコンテンツをスキャンします。
- 脅威を検知した場合は、SophosLabs にサンプルを送信することがあります。
Firefox と復号化
Firefox は独自の証明書ストアを使用するため、HTTPS Web サイトの復号化に影響を与えます。また、Windows DNS サーバーの代わりに、独自の DNS サーバーを使用します。
Windows 上でソフォス製品の復号化が正しく機能するようにするには、Firefox で、Windows の証明書ストアを信頼するように設定する必要があります。これには、次の手順を実行します。
-
アドレスバーに「about:config」と入力し、「Enter」キーを押します。
警告ページが表示される場合があります。「危険性を承知の上で使用する」をクリックして、about:config ページを表示します。
-
「security.enterprise_roots.enabled」を「True」に設定します。
これによって、Firefox は Windows のルート証明書ストアを信頼するようになります。
また Firefox で、Windows DNS サーバーを使用するように設定する必要もあります。これは、HTTPS 復号化がオフになっている際、HTTPS セッションの SNI (Server Name Indication) 情報を表示できるため、Web プロテクションに重要です。これに関するヘルプは、Firefox の DNS-over-HTTPSを参照してください。
復号化のオン/オフの切り替え
エンドポイントコンピュータまたはサーバーの脅威対策ポリシーで、すべての Web サイトに対して HTTPS 復号化をオンまたはオフにできます。
デフォルトで、エンドポイントコンピュータの HTTPS 復号化はオフになっています。
- 「エンドポイントプロテクション」または「サーバープロテクション」を参照します。
- 「ポリシー」をクリックします。
-
該当する「脅威対策ポリシー」をクリックし、「HTTPS Web サイトの SSL/TLS 復号化」の設定を編集します。
デバイスに適用される脅威対策ポリシーで復号化がオンになっている場合、そのデバイスにおける Web コントロールチェックでもオンになります。
Web サイトを復号化から除外
機密データを保護するために、一部の HTTPS Web サイトや Web サイトのカテゴリを復号化から除外できます。
TLS 1.2 以降を使用しない HTTPS Web サイトは、自動的にブロックされます。ほとんどの Web ブラウザ (Chrome、Firefox、Edge) でも、このようなページは自動的にブロックされます。
この場合、次のようなメッセージが表示されます: 「ポリシーに準拠するために、この URL へのアクセスをブロックしました。この URL をホストしているサーバーで使用されている暗号化は安全ではありません。」
これらの Web サイトに対する除外を追加できます。
注
除外された Web サイトに対して、「脅威対策」および「Web コントロール」ポリシーの一部の設定 (ダウンロードのスキャンや危険な種類のファイルのブロック) は適用されません。ただし、復号化を必要としないチェックは実行されます。
Chrome で TLS 1.0 および 1.1 を削除する方法については、次のサイトを参照してください。機能: TLS 1.0 および TLS 1.1 (削除済み)。
Web サイトを復号化から除外するには、次の手順を実行します。
- 「グローバル設定」を参照します。
-
「全般」で、「HTTPS Web サイトの SSL/TLS 復号化」をクリックします。
-
「HTTPS 復号化から除外されるカテゴリ」を参照します。一覧表示されているすべてのカテゴリは、デフォルトで除外されています。このような除外をオフにすることはできますが、カテゴリを追加したり削除したりすることはできません。
特定のサイトを除外するには、次のステップに進みます。
-
「HTTPS/TLS 復号化から除外される Web サイト」で、「除外の追加」をクリックします。
-
「除外の追加」ダイアログで、Web サイトの詳細を入力します。
- ドメイン名、IP アドレス、または IP アドレス範囲を入力します。例については、Web サイトの除外を参照してください。
- 任意: サイトを除外した理由をコメントに追加します。
- 「追加」をクリックします。