Cisco Webセキュリティアプライアンス向けAsyncOS 11.0ユーザガイド

初版：2017年 4月 28日

最終更新：2017年 5月 24日

シスコシステムズ合同会社〒107-6227東京都港区赤坂9-7-1 ミッドタウン・タワーhttp://www.cisco.com/jpお問い合わせ先：シスココンタクトセンター

0120-092-255（フリーコール、携帯・PHS含む）電話受付時間：平日 10:00～12:00、13:00～17:00http://www.cisco.com/jp/go/contactcenter/

【注意】シスコ製品をご使用になる前に、安全上の注意（ www.cisco.com/jp/go/safety_warning/）をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照くだ

さい。また、契約等の記述については、弊社販売パートナー、または、弊社担当者にご確認ください。

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨事

項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用は、

すべてユーザ側の責任になります。

対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version ofthe UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコおよ

びこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証をは

じめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。

いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、間

接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものとしま

す。

このマニュアルで使用している IPアドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図

的なものではなく、偶然の一致によるものです。

Ciscoおよび Ciscoロゴは、シスコや米国および他の国の関連会社の商標です。シスコの商標の一覧は、https://www.cisco.com/go/trademarksで参照できます。本書に記載されているサードパーティの商標は、それぞれの所有者の財産です。「パートナー」という用語の使用はシスコと他社との間のパートナーシップ関係を意味するもので

はありません（1721R）

© 2018 Cisco Systems, Inc. All rights reserved.

https://www.cisco.com/go/trademarks

目次

製品およびリリースの概要 1第 1 章

Webセキュリティアプライアンスの概要 1

最新情報 2

AsyncOS 11.0の新機能 2

関連項目 3

アプライアンスWebインターフェイスの使用 3

Webインターフェイスのブラウザ要件 4

仮想アプライアンスでのWebインターフェイスへのアクセスのイネーブル化 4

アプライアンスWebインターフェイスへのアクセス 5

Webインターフェイスでの変更内容のコミット 5

Webインターフェイスでの変更内容のクリア 6

サポートされる言語 6

Cisco SensorBaseネットワーク 6

SensorBaseの利点とプライバシー 6

Cisco SensorBaseネットワークへの参加の有効化 7

接続、インストール、設定 9第 2 章

接続、インストール、設定の概要 9

操作モードの比較 10

接続、インストール、設定に関するタスクの概要 16

アプライアンスの接続 16

設定情報の収集 20

システムセットアップウィザード 22

システムセットアップウィザードの参照情報 24

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドiii

ネットワーク/システムの設定 24

ネットワーク/ネットワークコンテキスト 25

ネットワーク/クラウドコネクタの設定 26

ネットワーク/ネットワークインターフェイスおよび配線 26

ネットワーク/レイヤ 4トラフィックモニタの配線 27

管理およびデータトラフィックのネットワーク/ルートの設定 27

ネットワーク/透過的接続の設定 28

ネットワーク/管理の設定 29

セキュリティ/セキュリティ設定 30

アップストリームプロキシ 31

アップストリームプロキシのタスクの概要 31

アップストリームプロキシのプロキシグループの作成 32

ネットワークインターフェイス 33

IPアドレスのバージョン 33

ネットワークインターフェイスのイネーブル化または変更 34

ハイアベイラビリティを実現するためのフェールオーバーグループの設定 36

フェールオーバーグループの追加 36

高可用性グローバル設定の編集 37

フェールオーバーグループのステータスの表示 38

Webプロキシデータに対する P2データインターフェイスの使用 38

TCP/IPトラフィックルートの設定 39

発信サービストラフィック 40

デフォルトルートの変更 41

ルートの追加 41

ルーティングテーブルの保存およびロード 41

ルートの削除 42

トランスペアレントリダイレクションの設定 42

透過リダイレクションデバイスの指定 42

L4スイッチの使用 43

WCCPサービスの設定 44

VLANの使用によるインターフェイス能力の向上 50

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドiv

目次

VLANの設定と管理 50

リダイレクトホスト名とシステムホスト名 52

リダイレクトホスト名の変更 52

システムホスト名の変更 53

SMTPリレーホストの設定 53

SMTPリレーホストの設定 53

DNSの設定 54

スプリット DNS 54

DNSキャッシュのクリア 55

DNS設定の編集 55

接続、インストール、設定に関するトラブルシューティング 57

CiscoクラウドWebセキュリティプロキシへのアプライアンスの接続 59第 3 章

クラウドコネクタモードで機能を設定および使用する方法 59

クラウドコネクタモードでの展開 60

クラウドコネクタの設定 60

クラウドのディレクトリグループの使用によるWebアクセスの制御 64

クラウドプロキシサーバのバイパス 64

クラウドコネクタモードでの FTPおよび HTTPSの部分的サポート 65

セキュアデータの漏洩防止 66

グループ名、ユーザ名、IPアドレスの表示 66

クラウドコネクタログへの登録 66

クラウドWebセキュリティコネクタの使用による識別プロファイルと認証 66

ポリシーの適用に対するマシンの識別 67

未認証ユーザのゲストアクセス 68

Cisco Defense Orchestratorへのアプライアンスの接続 69第 4 章

Cisco Defense Orchestratorの統合の概要 69

Cisco Defense Orchestratorモードで機能を設定および使用する方法 69

Cisco Defense Orchestratorモードでの展開 70

Cisco Defense Orchestratorモードでの設定の変更と制約 70

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドv

目次

システムセットアップウィザードを使用したCisco Defense Orchestratorモードでのアプラ

イアンスの設定 72

Webインターフェイスを使用した Cisco Defense Orchestratorモードでの標準モードの設定73

Cisco Defense Orchestratorの無効化 75

Cisco Defense Orchestratorの有効化 75

Cisco Defense Orchestratorのレポート 76

Cisco Defense Orchestratorのレポートを有効にする方法 76

Cisco Defense Orchestratorモードの問題のトラブルシューティング 77

Cisco Defense Orchestratorを登録できない 77

Web要求の代行受信 79第 5 章

Web要求の代行受信の概要 79

Web要求の代行受信のためのタスク 79

Web要求の代行受信のベストプラクティス 81

Web要求を代行受信するためのWebプロキシオプション 81

Webプロキシの設定 82

Webプロキシキャッシュ 84

Webプロキシキャッシュのクリア 84

Webプロキシキャッシュからの URLの削除 84

Webプロキシによってキャッシュしないドメインまたは URLの指定 85

Webプロキシのキャッシュモードの選択 86

Webプロキシの IPスプーフィング 87

Webプロキシのカスタムヘッダー 88

Web要求へのカスタムヘッダーの追加 88

Webプロキシのバイパス 89

Webプロキシのバイパス（Web要求の場合） 89

Webプロキシのバイパス設定（Web要求の場合） 89

Webプロキシのバイパス設定（アプリケーションの場合） 90

Webプロキシ使用規約 90

Web要求をリダイレクトするためのクライアントオプション 90

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドvi

目次

クライアントアプリケーションによる PACファイルの使用 91

プロキシ自動設定（PAC）ファイルのパブリッシュオプション 91

プロキシ自動設定（PAC）ファイルを検索するクライアントオプション 91

PACファイルの自動検出 92

Webセキュリティアプライアンスでの PACファイルのホスティング 92

クライアントアプリケーションでの PACファイルの指定 93

クライアントでの PACファイルの場所の手動設定 93

クライアントでの PACファイルの自動検出 94

FTPプロキシサービス 94

FTPプロキシサービスの概要 94

FTPプロキシの有効化と設定 95

SOCKSプロキシサービス 96

SOCKSプロキシサービスの概要 97

SOCKSトラフィックの処理のイネーブル化 97

SOCKSプロキシの設定 97

SOCKSポリシーの作成 98

要求の代替受信に関するトラブルシューティング 99

エンドユーザクレデンシャルの取得 101第 6 章

エンドユーザクレデンシャルの取得の概要 101

認証タスクの概要 102

認証に関するベストプラクティス 102

認証の計画 103

Active Directory/Kerberos 104

Active Directory/基本 105

Active Directory/NTLMSSP 106

LDAP/基本 107

ユーザの透過的識別 107

透過的ユーザ識別について 108

透過的ユーザ識別のルールとガイドライン 111

透過的ユーザ識別の設定 112

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドvii

目次

CLIを使用した透過的ユーザ識別の詳細設定 112

シングルサインオンの設定 113

認証レルム 113

外部認証 113

LDAPサーバによる外部認証の設定 114

RADIUS外部認証のイネーブル化 114

Kerberos認証方式の Active Directoryレルムの作成 115

Active Directory認証レルムの作成（NTLMSSPおよび基本） 118

Active Directory認証レルムの作成の前提条件（NTLMSSPおよび基本） 118

複数の NTLMレルムとドメインの使用について 119

Active Directory認証レルムの作成（NTLMSSPおよび基本） 119

LDAP認証レルムの作成 121

複数の NTLMレルムとドメインの使用 126

認証レルムの削除について 126

グローバル認証の設定 127

認証シーケンス 134

認証シーケンスについて 134

認証シーケンスの作成 135

認証シーケンスの編集および順序変更 135

認証シーケンスの削除 136

認証の失敗 136

認証の失敗について 136

問題のあるユーザエージェントの認証のバイパス 137

認証のバイパス 138

認証サービスが使用できない場合の未認証トラフィックの許可 139

認証失敗後のゲストアクセスの許可 139

ゲストアクセスをサポートする識別プロファイルの定義 140

ゲストアクセスをサポートしている識別プロファイルのポリシーでの使用 140

ゲストユーザの詳細の記録方法の設定 141

認証の失敗：異なるクレデンシャルによる再認証の許可 141

異なるクレデンシャルによる再認証の許可について 141

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドviii

目次

異なるクレデンシャルによる再認証の許可 141

識別済みユーザの追跡 142

明示的要求でサポートされる認証サロゲート 142

透過的要求でサポートされる認証サロゲート 142

再認証ユーザの追跡 143

資格情報 144

セッション中のクレデンシャルの再利用の追跡 144

認証および承認の失敗 145

クレデンシャルの形式 145

基本認証のクレデンシャルの暗号化 145

基本認証のクレデンシャルの暗号化について 145

クレデンシャル暗号化の設定 145

認証に関するトラブルシューティング 146

ポリシーの適用に対するエンドユーザの分類 147第 7 章

ユーザおよびクライアントソフトウェアの分類：概要 147

ユーザおよびクライアントソフトウェアの分類：ベストプラクティス 148

識別プロファイルの条件 148

ユーザおよびクライアントソフトウェアの分類 149

IDの有効化/無効化 155

識別プロファイルと認証 156

識別プロファイルのトラブルシューティング 158

SaaSアクセスコントロール 159第 8 章

SaaSアクセスコントロールの概要 159

IDプロバイダーとしてのアプライアンスの設定 160

SaaSアクセスコントロールと複数のアプライアンスの使用 162

SaaSアプリケーション認証ポリシーの作成 162

シングルサインオン URLへのエンドユーザアクセスの設定 165

Cisco Identity Services Engineの統合 167第 9 章

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドix

目次

Identity Services Engineサービスの概要 167

pxGridについて 167

ISEサーバの展開とフェールオーバーについて 168

Identity Services Engineの証明書 168

自己署名証明書の使用 169

CA署名付き証明書の使用 169

ISEサービスを認証および統合するためのタスク 170

ISEサービスへの接続 174

Identity Services Engineに関する問題のトラブルシューティング 176

ポリシーの適用に対する URLの分類 177第 1 0 章

URLトランザクションの分類の概要 177

失敗した URLトランザクションの分類 178

動的コンテンツ分析エンジンのイネーブル化 178

未分類の URL 179

URLと URLカテゴリの照合 179

未分類の URLと誤って分類された URLの報告 180

URLカテゴリデータベース 180

URLフィルタリングエンジンの設定 180

URLカテゴリセットの更新の管理 181

URLカテゴリセットの更新による影響について 181

URLカテゴリセットの変更によるポリシーグループメンバーシップへの影響 181

URLカテゴリセットの更新によるポリシーのフィルタリングアクションへの影響 182

マージされたカテゴリ：例 185

URLカテゴリセットの更新の制御 186

手動による URLカテゴリセットの更新 187

新規および変更されたカテゴリのデフォルト設定 187

既存の設定の確認または変更の実行 187

カテゴリおよびポリシーの変更に関するアラートの受信 188

URLカテゴリセットの更新に関するアラートへの応答 188

URLカテゴリによるトランザクションのフィルタリング 188

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドx

目次

アクセスポリシーグループの URLフィルタの設定 189

埋め込み/参照コンテンツのブロックの例外 191

復号化ポリシーグループの URLフィルタの設定 192

データセキュリティポリシーグループの URLフィルタの設定 194

カスタム URLカテゴリの作成および編集 196

カスタムおよび外部 URLカテゴリのアドレス形式とフィードファイル形式 202

外部フィードファイルの形式 202

アダルトコンテンツのフィルタリング 204

セーフサーチおよびサイトコンテンツレーティングの適用 205

アダルトコンテンツアクセスのロギング 205

アクセスポリシーでのトラフィックのリダイレクト 206

ロギングとレポート 207

ユーザへの警告と続行の許可 207

[エンドユーザフィルタリング警告（End-User Filtering Warning）]ページの設定 208

時間ベースの URLフィルタの作成 209

URLフィルタリングアクティビティの表示 209

フィルタリングされない未分類のデータについて 210

アクセスログへの URLカテゴリの記録 210

正規表現 210

正規表現の形成 211

検証エラーを回避するための注意事項 211

正規表現の文字テーブル 213

URLカテゴリについて 214

インターネット要求を制御するポリシーの作成 229第 1 1 章

ポリシーの概要：代行受信されたインターネット要求の制御 229

代行受信された HTTP/HTTPS要求の処理 230

ポリシータスクによるWeb要求の管理：概要 231

ポリシーによるWeb要求の管理：ベストプラクティス 231

ポリシー 231

ポリシータイプ 232

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxi

目次

ポリシーの順序 235

ポリシーの作成 236

ポリシーのセキュリティグループタグの追加と編集 240

ポリシーの設定 241

アクセスポリシー：オブジェクトのブロッキング 242

アーカイブ検査の設定 245

トランザクション要求のブロック、許可、リダイレクト 246

クライアントアプリケーション 248

クライアントアプリケーションについて 248

ポリシーでのクライアントアプリケーションの使用 249

クライアントアプリケーションによるポリシーメンバーシップの定義 249

クライアントアプリケーションによるポリシー制御設定の定義 249

認証からのクライアントアプリケーションの除外 250

時間範囲およびクォータ 250

ポリシーおよび使用許可コントロールの時間範囲 250

時間範囲の作成 251

時間およびボリュームクォータ 251

ボリュームクォータの計算 252

時間クォータの計算 253

時間およびボリュームクォータの定義 253

URLカテゴリによるアクセス制御 254

URLカテゴリによるWeb要求の識別 254

URLカテゴリによるWeb要求へのアクション 255

リモートユーザ 256

リモートユーザについて 256

リモートユーザの IDを設定する方法 257

リモートユーザの IDの設定 257

ASAのリモートユーザステータスと統計情報の表示 258

ポリシーに関するトラブルシューティング 259

HTTPSトラフィックを制御する復号ポリシーの作成 261第 1 2 章

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxii

目次

HTTPSトラフィックを制御する復号ポリシーの作成：概要 261

復号化ポリシータスクによる HTTPSトラフィックの管理の概要 262

復号化ポリシーによる HTTPSトラフィックの管理：ベストプラクティス 262

復号化ポリシー 263

HTTPSプロキシのイネーブル化 264

HTTPSトラフィックの制御 266

復号化オプションの設定 268

認証および HTTPS接続 268

ルート証明書 269

証明書の検証と HTTPSの復号化の管理 270

有効な証明書 270

無効な証明書の処理 270

ルート証明書およびキーのアップロード 271

HTTPSプロキシ用の証明書およびキーの生成 271

無効な証明書の処理の設定 272

証明書失効ステータスのチェックのオプション 273

リアルタイムの失効ステータスチェックの有効化 273

信頼できるルート証明書 275

信頼できるリストへの証明書の追加 275

信頼できるリストからの証明書の削除 275

HTTPSトラフィックのルーティング 276

暗号化/HTTPS/証明書のトラブルシューティング 276

発信トラフィックでの既存の感染のスキャン 277第 1 3 章

発信トラフィックのスキャンの概要 277

要求が DVSエンジンによってブロックされた場合のユーザエクスペリエンス 278

アップロード要求について 278

グループメンバーシップの基準 278

クライアント要求と発信マルウェアスキャンポリシーグループの照合 279

アウトバウンドマルウェアスキャンポリシーの設定 279

アップロード要求の制御 282

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxiii

目次

DVSスキャンのロギング 283

セキュリティサービスの設定 285第 1 4 章

セキュリティサービスの設定の概要 285

Webレピュテーションフィルタの概要 286

Webレピュテーションスコア 286

Webレピュテーションフィルタの動作のしくみについて 287

アクセスポリシーのWebレピュテーション 287

復号化ポリシーのWebレピュテーション 288

CiscoデータセキュリティポリシーのWebレピュテーション 288

マルウェア対策スキャンの概要 289

DVSエンジンの動作のしくみについて 289

複数のマルウェア判定の使用 289

Webrootスキャン 290

McAfeeスキャン 291

ウィルスシグニチャパターンの照合 291

ヒューリスティック分析 291

McAfeeカテゴリ 291

Sophosスキャン 292

適応型スキャンについて 292

適応型スキャンとアクセスポリシー 292

マルウェア対策とレピュテーションフィルタの有効化 293

ポリシーにおけるマルウェア対策およびレピュテーションの設定 294

アクセスポリシーにおけるマルウェア対策およびレピュテーションの設定 295

マルウェア対策およびレピュテーションの設定（適応型スキャンがイネーブルの場合）

295

マルウェア対策およびレピュテーションの設定（適応型スキャンがディセーブルの場

合） 297

Webレピュテーションスコアの設定 298

アクセスポリシーのWebレピュテーションスコアのしきい値の設定 298

復号化ポリシーグループのWebレピュテーションフィルタの設定 299

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxiv

目次

データセキュリティポリシーグループのWebレピュテーションフィルタの設定 299

データベーステーブルの保持 300

Webレピュテーションデータベース 300

Webレピュテーションフィルタリングアクティビティおよび DVSスキャンのロギング 300

適応型スキャンのロギング 300

キャッシング（Caching） 301

マルウェアのカテゴリについて 301

ファイルレピュテーションフィルタリングとファイル分析 303第 1 5 章

ファイルレピュテーションフィルタリングとファイル分析の概要 303

ファイル脅威判定のアップデート 304

ファイル処理の概要 304

ファイルレピュテーションおよび分析サービスでサポートされるファイル 306

アーカイブまたは圧縮されたファイルの処理 307

クラウドに送信される情報のプライバシー 307

ファイルレピュテーションと分析機能の設定 308

ファイルレピュテーションと分析サービスとの通信の要件 308

データインターフェイス経由でのファイルレピュテーションサーバおよびファイル分

析サーバへのトラフィックのルーティング 309

オンプレミスのファイルレピュテーションサーバの設定 311

オンプレミスのファイル分析サーバの設定 312

ファイルレピュテーションと分析サービスの有効化と設定 313

重要：ファイル分析設定に必要な変更 317

（パブリッククラウドファイル分析サービスのみ）アプライアンスグループの設定 317

分析グループ内のアプライアンスの確認 318

アクセスポリシーごとのファイルレピュテーションおよび分析サービスのアクションの

設定 319

高度なマルウェア防御の問題に関連するアラートの受信の確認 319

高度なマルウェア防御機能の集約管理レポートの設定 320

ファイルレピュテーションおよびファイル分析のレポートとトラッキング 321

SHA-256ハッシュによるファイルの識別 321

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxv

目次

ファイルレピュテーションとファイル分析レポートのページ 322

その他のレポートでのファイルレピュテーションフィルタデータの表示 323

Webトラッキング機能と高度なマルウェア防御機能について 323

ファイルの脅威判定の変更時のアクションの実行 324

ファイルレピュテーションと分析のトラブルシューティング 325

ログファイル（Log Files） 325

ファイルレピュテーションサーバまたはファイル分析サーバへの接続失敗に関する各種

アラート 325

APIキーのエラー（オンプレミスのファイル分析） 326

ファイルが予想どおりにアップロードされない 326

クラウド内のファイル分析の詳細が完全でない 327

分析のために送信できるファイルタイプに関するアラート 327

Webアプリケーションへのアクセスの管理 329第 1 6 章

Webアプリケーションへのアクセスの管理：概要 329

AVCエンジンの有効化 330

AVCエンジンのアップデートとデフォルトアクション 331

要求が AVCエンジンによりブロックされた場合のユーザエクスペリエンス 331

アプリケーション制御のポリシー設定 331

範囲要求の設定（Range Request Settings） 332

アプリケーション制御の設定のためのルールとガイドライン 333

アクセスポリシーグループのアプリケーション管理設定 334

帯域幅の制御 335

全体の帯域幅制限の設定 336

ユーザの帯域幅制限の設定 336

アプリケーションタイプのデフォルトの帯域幅制限の設定 337

アプリケーションタイプのデフォルトの帯域幅制限の無効化 337

アプリケーションの帯域幅制御の設定 338

インスタントメッセージトラフィックの制御 338

AVCアクティビティの表示 339

アクセスログファイルの AVC情報 339

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxvi

目次

機密データの漏洩防止 341第 1 7 章

機密データの漏洩防止の概要 341

最小サイズ以下のアップロード要求のバイパス 342

要求が機密データとしてブロックされた場合のユーザエクスペリエンス 343

アップロード要求の管理 343

外部 DLPシステムにおけるアップロード要求の管理 344

データセキュリティおよび外部 DLPポリシーグループのメンバーシップの評価 345

クライアント要求とデータセキュリティおよび外部 DLPポリシーグループとの照合 345

データセキュリティポリシーおよび外部 DLPポリシーの作成 346

アップロード要求の設定の管理 349

URLカテゴリ 349

Webレピュテーション 349

コンテンツのブロック 350

外部 DLPシステムの定義 351

外部 DLPサーバの設定 351

外部 DLPポリシーによるアップロード要求の制御 354

データ損失防止スキャンのロギング 355

エンドユーザへのプロキシアクションの通知 357第 1 8 章

エンドユーザ通知の概要 357

通知ページの一般設定項目の設定 358

エンドユーザ確認応答ページ 359

エンドユーザ確認ページによる HTTPSおよび FTPサイトへのアクセス 359

エンドユーザ確認応答ページについて 360

エンドユーザ確認応答ページの設定 360

エンドユーザ通知ページ 363

オンボックスエンドユーザ通知ページの設定 363

オフボックスエンドユーザ通知ページ 364

アクセスをブロックする理由に基づく適切なオフボックスページの表示 364

オフボックス通知ページの URL基準 365

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxvii

目次

オフボックスエンドユーザ通知ページのパラメータ 365

カスタム URLへのエンドユーザ通知ページのリダイレクト（オフボックス） 366

エンドユーザ URLフィルタリング警告ページの設定 367

FTP通知メッセージの設定 368

通知ページ上のカスタムメッセージ 368

通知ページのカスタムメッセージでサポートされる HTMLタグ 368

通知ページの URLとロゴに関する注意事項 369

通知ページ HTMLファイルの直接編集 370

通知 HTMLファイルを直接編集するための要件 370

通知 HTMLファイルの直接編集 371

通知 HTMLファイルでの変数の使用 371

通知 HTMLファイルのカスタマイズのための変数 372

通知ページのタイプ 374

エンドユーザのアクティビティをモニタするレポートの生成 397第 1 9 章

レポートの概要 397

レポートでのユーザ名の使用 397

レポートページ 398

レポートページの使用 398

時間範囲の変更 399

データの検索 400

チャート化するデータの選択 400

カスタムレポート 400

カスタムレポートに追加できないモジュール 401

カスタムレポートページの作成 401

レポートおよびトラッキングにおけるサブドメインとセカンドレベルドメインの比較

402

レポートページからのレポートの印刷とエクスポート 402

レポートデータのエクスポート 403

レポートの有効化 404

レポートのスケジュール設定 405

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxviii

目次

スケジュール設定されたレポートの追加 405

スケジュール設定されたレポートの編集 406

スケジュール設定されたレポートの削除 406

オンデマンドでのレポートの生成 406

アーカイブレポート 407

Webセキュリティアプライアンスのレポート 409第 2 0 章

[概要（Overview）]ページ 409

[ユーザ（Users）]ページ 411

[ユーザの詳細（User Details）]ページ 412

[Webサイト（Web Sites）]ページ 412

[URLカテゴリ（URL Categories）]ページ 413

URLカテゴリセットの更新とレポート 414

[アプリケーションの表示（Application Visibility）]ページ 414

[マルウェア対策（Anti-Malware）]ページ 415

[マルウェアカテゴリ（Malware Category）]レポートページ 416

[マルウェア脅威（Malware Threats）]レポートページ 416

[高度なマルウェア防御（Advanced Malware Protection）]ページ 416

[ファイル分析（File Analysis）]ページ 416

[AMP判定のアップデート（AMP Verdict Updates）]ページ 416

[クライアントマルウェアリスク（Client Malware Risk）]ページ 417

[Webプロキシ：マルウェアリスク別クライアント（Web Proxy: Clients by Malware Risk）]

の [クライアントの詳細（Client Detail）]ページ 417

[Webレピュテーションフィルタ（Web Reputation Filters）]ページ 418

[L4トラフィックモニタ（L4 Traffic Monitor）]ページ 419

[SOCKSプロキシ（SOCKS Proxy）]ページ 419

[ユーザロケーション別のレポート（Reports by User Location）]ページ 419

[Webトラッキング（Web Tracking）]ページ 421

Webプロキシによって処理されるトランザクションの検索 421

L4トラフィックモニタによって処理されたトランザクションの検索 424

SOCKSプロキシによって処理されるトランザクションの検索 424

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxix

目次

[システム容量（System Capacity）]ページ 425

[システムステータス（System Status）]ページ 425

非標準ポートでの不正トラフィックの検出 427第 2 1 章

不正トラフィックの検出の概要 427

L4トラフィックモニタの設定 427

既知のサイトのリスト 428

L4トラフィックモニタのグローバル設定 429

L4トラフィックモニタアンチマルウェアルールのアップデート 429

不正トラフィック検出ポリシーの作成 429

有効な形式 431

L4トラフィックモニタのアクティビティの表示 431

モニタリングアクティビティとサマリー統計情報の表示 431

L4トラフィックモニタのログファイルのエントリ 432

ログによるシステムアクティビティのモニタ 433第 2 2 章

ロギングの概要 433

ロギングの共通タスク 434

ロギングのベストプラクティス 434

ログによるWebプロキシのトラブルシューティング 435

ログファイルのタイプ 436

ログサブスクリプションの追加および編集 443

W3Cログフィールドの非匿名化 448

別のサーバへのログファイルのプッシュ 449

ログファイルのアーカイブ 449

ログのファイル名とアプライアンスのディレクトリ構造 450

ログファイルの閲覧と解釈 450

ログファイルの表示 451

アクセスログファイル内のWebプロキシ情報 452

トランザクション結果コード 456

ACLデシジョンタグ 457

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxx

目次

アクセスログのスキャン判定エントリの解釈 464

W3C準拠のアクセスログファイル 473

W3Cフィールドタイプ 473

W3Cアクセスログの解釈 473

W3Cログファイルのヘッダー 473

W3Cフィールドのプレフィックス 474

アクセスログのカスタマイズ 475

アクセスログのユーザ定義フィールド 475

標準アクセスログのカスタマイズ 476

W3Cアクセスログのカスタマイズ 477

CTA固有のカスタムW3Cログの設定 477

トラフィックモニタのログファイル 479

トラフィックモニタログの解釈 479

ログファイルのフィールドとタグ 480

アクセスログのフォーマット指定子とW3Cログファイルのフィールド 480

マルウェアスキャンの判定値 494

ロギングのトラブルシューティング 496

システム管理タスクの実行 497第 2 3 章

システム管理の概要 497

アプライアンス設定の保存、ロード、およびリセット 498

アプライアンス設定の表示と印刷 498

アプライアンス設定ファイルの保存 498

アプライアンス設定ファイルのロード 499

アプライアンス設定の出荷時デフォルトへのリセット 500

機能キーの使用 500

機能キーの表示と更新 500

機能キーの更新設定の変更 501

仮想アプライアンスのライセンス 501

仮想アプライアンスのライセンスのインストール 502

リモート電源再投入の有効化 502

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxi

目次

ユーザアカウントの管理 503

ローカルユーザアカウントの管理 504

ローカルユーザアカウントの追加 504

ユーザアカウントの削除 505

ユーザアカウントの編集 506

パスフレーズの変更 506

RADIUSユーザ認証 506

RADIUS認証のイベントのシーケンス 506

RADIUSを使用した外部認証の有効化 507

ユーザプリファレンスの定義 509

管理者の設定 509

管理ユーザのパスフレーズ要件の設定 509

アプライアンスの割り当てに対するセキュリティ設定の追加 510

ユーザネットワークアクセス 512

管理者パスフレーズのリセット 513

生成されたメッセージの返信アドレスの設定 513

アラートの管理 513

アラートの分類と重大度 514

アラートの分類 514

アラートの重大度 514

アラート受信者の管理 514

アラート受信者の追加および編集 515

アラート受信者の削除 515

アラート設定値の設定 515

アラートリスト 516

機能キーアラート 516

ハードウェアアラート 517

ロギングアラート 517

レポートアラート 519

システムアラート 521

アップデータアラート 523

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxii

目次

マルウェア対策アラート 524

FIPS Compliance 524

FIPS証明書の要件 524

FIPS証明書の検証 525

FIPSモードの有効化または無効化 525

システムの日時の管理 526

タイムゾーンの設定 526

NTPサーバによるシステムクロックの同期 527

SSLの設定 527

証明書の管理（Certificate Management） 529

厳格な証明書検証について 529

証明書およびキーについて 530

信頼できるルート証明書の管理 530

証明書の更新 531

ブロックされた証明書の表示 531

証明書とキーのアップロードまたは生成 531

証明書およびキーのアップロード 531

証明書およびキーの生成 532

証明書署名要求 533

中間証明書 533

AsyncOS for Webのアップグレートとアップデート 534

AsyncOS for Webをアップグレードするためのベストプラクティス 534

AsyncOSおよびセキュリティサービスコンポーネントのアップグレードとアップデート534

アップグレードのダウンロードとインストール 534

バックグラウンドダウンロードのキャンセルまたは削除ステータスの表示 536

自動および手動によるアップデート/アップグレードのクエリー 537

セキュリティサービスのコンポーネントの手動による更新 538

ローカルおよびリモートアップデートサーバ 538

Ciscoアップデートサーバからのアップデートとアップグレード 539

ローカルサーバからのアップグレード 540

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxiii

目次

ローカルとリモートにおけるアップグレード方法の相違 541

アップグレードおよびサービスアップデートの設定 542

以前のバージョンの AsyncOS for Webへの復元 543

仮想アプライアンスの AsyncOSを復元した場合のライセンスへの影響 543

復元プロセスでのコンフィギュレーションファイルの使用 544

SMAによって管理されるアプライアンスの AsyncOSの復元 544

以前のバージョンへのWeb用の AsyncOSの復元 544

SNMPを使用したシステムの状態のモニタリング 545

MIBファイル 546

SNMPモニタリングのイネーブル化と設定 546

ハードウェアオブジェクト 547

SNMPトラップ 547

SNMPの connectivityFailureトラップについて 547

CLIの例：snmpconfig 548

トラブルシューティング 551付録 A：

一般的なトラブルシューティングとベストプラクティス 551

FIPSモードの問題 552

CSP暗号化 552

証明書の検証 552

認証に関する問題 553

認証の問題のトラブルシューティングツール 553

認証の失敗による通常動作への影響 553

LDAPに関する問題 553

NTLMSSPに起因する LDAPユーザの認証の失敗 553

LDAP参照に起因する LDAP認証の失敗 554

基本認証に関する問題 554

基本認証の失敗 554

シングルサインオンに関する問題 554

エラーによりユーザがクレデンシャルを要求される 555

オブジェクトのブロックに関する問題 555

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxiv

目次

一部のMicrosoft Officeファイルがブロックされない 555

DOSの実行可能オブジェクトタイプをブロックすると、Windows OneCareのアップデー

トがブロックされる 555

ブラウザに関する問題 555

FirefoxでWPADを使用できない 556

DNSに関する問題 556

アラート：DNSキャッシュのブートに失敗（Failed to bootstrap the DNS cache） 556

フェールオーバーの問題 556

フェールオーバーの誤った設定 557

仮想アプライアンスでのフェールオーバーに関する問題 557

機能キーの期限切れ 557

FTPに関する問題 557

URLカテゴリが一部の FTPサイトをブロックしない 558

大規模 FTP転送の切断 558

ファイルのアップロード後に FTPサーバにゼロバイトファイルが表示される 558

Chromeブラウザが FTP-over-HTTP要求でユーザエージェントとして検出されない 558

アップロード/ダウンロード速度の問題 558

ハードウェアに関する問題 560

アプライアンスの電源の再投入 560

アプライアンスの状態およびステータスインジケータ 560

アラート：380または680ハードウェアでバッテリ再学習タイムアウト（RAIDイベント）

（Battery Relearn Timed Out (RAID Event) on 380 or 680 Hardware） 560

HTTPS/復号化/証明書に関する問題 560

URLカテゴリ基準を使用しているルーティングポリシーによるHTTPSサイトへのアクセ

ス 561

HTTPS要求の失敗 561

IPベースのサロゲートと透過的要求を含む HTTPS 561

カスタムおよびデフォルトカテゴリの異なるクライアントの「Hello」動作 561

特定Webサイトの復号化のバイパス 562

埋め込み/参照コンテンツのブロックの例外に対する条件および制約事項 562

アラート：セキュリティ証明書に関する問題（Problem with Security Certificate） 563

Identity Services Engineに関する問題 563

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxv

目次

ISE問題のトラブルシューティングツール 563

ISEサーバの接続に関する問題 564

証明書の問題 564

ネットワークの問題 565

ISEサーバの接続に関するその他の問題 565

ISE関連の重要なログメッセージ 566

カスタム URLカテゴリおよび外部 URLカテゴリに関する問題 567

外部ライブフィードファイルのダウンロードに関する問題 567

.CSVファイルの IISサーバでのMIMEタイプに関する問題 568

コピーアンドペーストの後にフィードファイルの形式が不正になる 568

ロギングに関する問題 568

アクセスログエントリにカスタム URLカテゴリが表示されない 569

HTTPSトランザクションのロギング 569

アラート：生成データのレートを維持できない（Unable to Maintain the Rate of Data Being

Generated） 569

W3Cアクセスログでサードパーティ製ログアナライザツールを使用する場合の問題 570

ポリシーに関する問題 570

HTTPSに対してアクセスポリシーを設定できない 570

オブジェクトのブロックに関する問題 570

一部のMicrosoft Officeファイルがブロックされない 571

DOSの実行可能オブジェクトタイプをブロックすると、WindowsOneCareのアップデー

トがブロックされる 571

識別プロファイルがポリシーから削除される 571

ポリシーの照合に失敗 571

ポリシーが適用されない 571

HTTPSおよび FTP over HTTP要求が、認証を必要としないアクセスポリシーにのみ一

致する 572

HTTPS要求および FTP over HTTP要求の場合にユーザがグローバルポリシーに一致572

ユーザに誤ったアクセスポリシーが割り当てられる 572

ポリシーのパラメータを変更した後のポリシートレースの不一致 573

ポリシーのトラブルシューティングツール：ポリシートレース 573

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxvi

目次

ポリシートレースツールについて 573

クライアント要求のトレース 574

詳細設定：要求の詳細 575

詳細設定：レスポンスの詳細の上書き 576

ファイルレピュテーションとファイル分析に関する問題 576

リブートの問題 576

KVMで動作する仮想アプライアンスがリブート時にハングアップ 577

ハードウェアアプライアンス：アプライアンスの電源のリモートリセット 577

サイトへのアクセスに関する問題 578

認証をサポートしていない URLにアクセスできない 578

POST要求を使用してサイトにアクセスできない 578

アップストリームプロキシに関する問題 579

アップストリームプロキシが基本クレデンシャルを受け取らない 579

クライアント要求がアップストリームプロキシで失敗する 579

アップストリームプロキシ経由で FTP要求をルーティングできない 579

仮想アプライアンス 580

AsyncOSの起動中に強制リセット、電源オフ、リセットのオプションを使用しないでくだ

さい 580

KVM展開でネットワーク接続が最初は機能するが、その後失敗する 580

KVM展開におけるパフォーマンスの低下、ウォッチドッグ問題、および高CPU使用率580

Linuxホスト上で実行されている仮想アプライアンスの一般的なトラブルシューティング581

WCCPに関する問題 581

最大ポートエントリ数 581

パケットキャプチャ 581

パケットキャプチャの開始 581

パケットキャプチャファイルの管理 583

パケットキャプチャファイルのダウンロードまたは削除 583

サポートの使用 583

効率的なサービス提供のための情報収集 583

テクニカルサポート要請の開始 584

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxvii

目次

仮想アプライアンスのサポートの取得 584

アプライアンスへのリモートアクセスのイネーブル化 585

コマンドラインインターフェイス 587付録 B：

コマンドラインインターフェイスの概要 587

コマンドラインインターフェイスへのアクセス 587

初回アクセス 588

以降のアクセス 588

コマンドプロンプトの使用 588

コマンドの構文 589

選択リスト 589

Yes/Noクエリー 589

サブコマンド 589

サブコマンドのエスケープ 590

コマンド履歴 590

コマンドのオートコンプリート 590

CLIを使用した設定変更の確定 590

汎用 CLIコマンド 591

CLIの例：設定変更の確定 591

CLIの例：設定変更のクリア 591

CLIの例：コマンドラインインターフェイスセッションの終了 591

CLIの例：コマンドラインインターフェイスでのヘルプの検索 591

Webセキュリティアプライアンスの CLIコマンド 592

その他の情報 611付録 C：

Cisco通知サービス 611

ドキュメントセット 611

トレーニング（Training） 612

ナレッジベースの記事（TechNotes） 612

シスコサポートコミュニティ 612

カスタマーサポート 612

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxviii

目次

リソースにアクセスするためのシスコアカウントの登録 613

マニュアルに関するフィードバック 613

サードパーティコントリビュータ 613

エンドユーザライセンス契約書 615付録 D：

Cisco Systemsエンドユーザライセンス契約書 615

Ciscoコンテンツセキュリティソフトウェア用エンドユーザライセンス契約補則 622

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxix

目次

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxx

目次

第 1 章製品およびリリースの概要

この章は、次の項で構成されています。

• Webセキュリティアプライアンスの概要（1ページ）•最新情報（2ページ）•アプライアンスWebインターフェイスの使用（3ページ）•サポートされる言語（6ページ）• Cisco SensorBaseネットワーク（6ページ）

Webセキュリティアプライアンスの概要CiscoWebセキュリティアプライアンスはインターネットトラフィックを代行受信してモニタし、ポリシーを適用することによって、マルウェア、機密データの漏洩、生産性の低下などの

インターネットベースの脅威から内部ネットワークを保護します。

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド1

最新情報

AsyncOS 11.0の新機能説明機能

アプライアンスを Cisco Defense Orchestratorに接続し、アプライアンスのセキュリティポリシー設定を分析することで、ポリシー

の不整合を特定および解決し、ポリシーの変更をモデル化してそ

の影響を検証し、ポリシーの変更を調整してセキュリティポス

チャの整合性を実現し、その明瞭さを維持することができます。

Cisco Defense Orchestratorはクラウドベースのプラットフォームであり、ネットワーク運用スタッフがシスコのセキュリティデバ

イスに対するセキュリティポリシーを管理することで、エンド

ツーエンドセキュリティポスチャを確立および維持できます。

詳細については、Cisco Defense Orchestratorへのアプライアンスの接続（69ページ）を参照してください。

Cisco Defense Orchestratorの統合

[CTAテンプレート（CTA Template）]オプションを使用して、W3Cログを Cisco Cognitive Threat Analytics（CTA）システムに送信するために必要なフィールドと基準を自動的に選択できます。

詳細については、CTA固有のカスタムW3Cログの設定（477ページ）を参照してください。

CTAでのアプライアンス登録の簡素化

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド2

製品およびリリースの概要

最新情報

説明機能

プライマリネームサーバで解決できなかったホスト名クエリを

解決するためのセカンダリ DNSサーバを指定できるようになりました。サーバの優先レベルも設定できます。プライマリ DNSサーバから次のエラーが返されると、セカンダリ DNSサーバがホスト名クエリを受信します。

•エラーなし、応答セクションを受信しませんでした。（NoError, no answer section received.）

•サーバが要求を完了できませんでした。応答セクションがありません。（Server failed to complete request, no answer section.）

•名前エラー、応答セクションを受信しませんでした。（NameError, no answer section received.）

•実装されていない機能です。（Function not implemented.）

•サーバがクエリへの応答を拒否しました。（ServerRefused toAnswer Query.）

詳細については、DNS設定の編集（55ページ）を参照してください。

セカンダリ DNSサーバ

supportrequestコマンドを使用してオプションのステップでサー

ビス要求番号を指定した場合、サービス要求に自動的に追加する

システム情報と設定情報のセットを送信できます。

詳細については、Webセキュリティアプライアンスの CLIコマンド（592ページ）を参照してください。

supportrequestコマンドの

機能拡張

仮想アプライアンスをMicrosoft Hyper-Vバージョン 5.0に導入できるようになりました。

『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.htmlから入手できます。

仮想アプライアンスの機能

拡張

関連項目• http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-release-notes-list.html

アプライアンスWebインターフェイスの使用• Webインターフェイスのブラウザ要件（4ページ）

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド3

製品およびリリースの概要

関連項目

http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.htmlhttp://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.htmlhttp://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.htmlhttp://www.cisco.com/c/en/us/support/security/web-security-appliance/products-release-notes-list.html

•仮想アプライアンスでのWebインターフェイスへのアクセスのイネーブル化（4ページ）

•アプライアンスWebインターフェイスへのアクセス（5ページ）• Webインターフェイスでの変更内容のコミット（5ページ）• Webインターフェイスでの変更内容のクリア（6ページ）

Webインターフェイスのブラウザ要件Webインターフェイスにアクセスするには、ブラウザが JavaScriptおよび Cookieをサポートし、受け入れがイネーブルになっている必要があります。また、Cascading Style Sheet（CSS）を含む HTMLページをレンダリングできる必要があります。

Cisco Webセキュリティアプライアンスは YUI（http://yuilibrary.com/yui/environments/）で設定されたターゲット環境に準拠しています。

セッションは、非アクティブな状態が 30分続くと自動的にタイムアウトします。

Webインターフェイス内の一部のボタンとリンクを使用すると、さらにウィンドウが開きます。そのため、Webインターフェイスを使用するには、ブラウザのポップアップブロックを設定する必要があります。

アプライアンスの設定を編集する場合は、一度に1つのブラウザウィンドウまたはタブを使用します。また、WebインターフェイスおよびCLIを同時に使用してアプライアンスを編集しないでください。複数の場所からアプライアンスを編集すると、予期しない動作が発生するの

で、サポートされません。

（注）

仮想アプライアンスでのWebインターフェイスへのアクセスのイネーブル化

デフォルトでは、HTTPおよび HTTPSインターフェイスは仮想アプライアンスで有効化されません。これらのプロトコルを有効にするには、コマンドラインインターフェイスを使用する

必要があります。

ステップ 1 コマンドラインインターフェイスにアクセスします。コマンドラインインターフェイスへのアクセス（587ページ）を参照してください。

ステップ 2 interfaceconfigコマンドを実行します。

プロンプトで Enterキーを押すと、デフォルト値が受け入れられます。

HTTPおよび HTTPSのプロンプトを検索し、使用するプロトコルをイネーブルにします。

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド4

製品およびリリースの概要

Webインターフェイスのブラウザ要件

アプライアンスWebインターフェイスへのアクセス仮想アプライアンスを使用している場合は、仮想アプライアンスでのWebインターフェイスへのアクセスのイネーブル化（4ページ）を参照してください。

ステップ 1 ブラウザを開き、Webセキュリティアプライアンスの IPアドレス（またはホスト名）を入力します。アプライアンスが事前に設定されていない場合は、デフォルト設定を使用します。

https://192.168.42.42:8443

または

http://192.168.42.42:8080

ここで、192.168.42.42はデフォルト IPアドレス、8080は HTTPのデフォルトの管理ポートの設定、8443は HTTPSのデフォルトの管理ポートです。

アプライアンスが現在設定されている場合は、M1ポートの IPアドレス（またはホスト名）を使用します。

アプライアンスに接続するときはポート番号を使用する必要があります（デフォルトはポート

8080）。Webインターフェイスにアクセスするときにポート番号を指定しないと、デフォルトポート 80になり、[ライセンスなしプロキシ（ProxyUnlicensed）]エラーページが表示されます。

（注）

ステップ 2 アプライアンスのログイン画面が表示されたら、アプライアンスにアクセスするためのユーザ名とパスフレーズを入力します。

デフォルトで、アプライアンスには以下のユーザ名とパスフレーズが付属します。

•ユーザ名：admin•パスフレーズ：ironport

adminのユーザ名でログインするのが初めての場合は、パスフレーズをすぐに変更するよう求められます。

ステップ 3 自分のユーザ名での最近のアプライアンスへのアクセス試行（成功、失敗を含む）を表示するには、アプリケーションウィンドウの右上の [ログイン（Logged in as）]エントリの前にある [最近のアクティビティ（recent-activity）]アイコン（成功は i、失敗は !）をクリックします。

Webインターフェイスでの変更内容のコミット

ステップ 1 [変更を確定（Commit Changes）]ボタンをクリックします。

ステップ 2 選択する場合、[コメント（Comment）]フィールドにコメントを入力します。

ステップ 3 [変更を確定（Commit Changes）]をクリックします。

すべてをコミットする前に、複数の設定変更を行うことができます。（注）

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド5

製品およびリリースの概要

アプライアンスWebインターフェイスへのアクセス

Webインターフェイスでの変更内容のクリア

ステップ 1 [変更を確定（Commit Changes）]ボタンをクリックします。

ステップ 2 [変更を破棄（Abandon Changes）]をクリックします。

サポートされる言語AsyncOSは次の言語のいずれかで GUIおよび CLIを表示できます。

•ドイツ語

•英語

•スペイン語

•フランス語

•イタリア語

•日本語

• Korean

•ポルトガル語

•ロシア語

•中国語

•台湾語

Cisco SensorBaseネットワークCisco SensorBaseネットワークは、世界中の何百万ものドメインを追跡し、インターネットトラフィックのグローバルウォッチリストを維持する脅威の管理データベースです。SensorBaseは、既知のインターネットドメインの信頼性の評価をシスコに提供します。Webセキュリティアプライアンスは、SensorBaseデータフィードを使用して、Webレピュテーションスコアを向上させます。

SensorBaseの利点とプライバシーCisco SensorBaseネットワークへの参加は、シスコがデータを収集して、SensorBase脅威管理データベースとそのデータを共有することを意味します。このデータには要求属性に関する情

報およびアプライアンスが要求を処理する方法が含まれます。

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド6

製品およびリリースの概要

Webインターフェイスでの変更内容のクリア

シスコはプライバシーを維持する重要性を理解しており、ユーザ名やパスフレーズなどの個人

情報または機密情報も収集または使用しません。また、ファイル名とホスト名に続く URL属性は、機密性を保証するために難読化されます。復号化されたHTTPSトランザクションでは、SensorBaseネットワークは IPアドレス、Webレピュテーションスコア、および証明書内のサーバ名の URLカテゴリのみを受信します。

SensorBaseネットワークへの参加に同意する場合、アプライアンスから送信されたデータはHTTPSを使用して安全に転送されます。データを共有すると、Webベースの脅威に対応して、悪意のあるアクティビティから企業環境を保護するシスコの機能が向上します。

Cisco SensorBaseネットワークへの参加の有効化

システムの設定時にデフォルトで [標準 SensorBaseネットワークに参加（Standard SensorBaseNetwork Participation）]がイネーブルにされています。

（注）

ステップ 1 [セキュリティサービス（Security Services）] > [SensorBase（SensorBase）]を選択します。

ステップ 2 [SensorBaseネットワークに参加（SensorBase Network Participation）]がイネーブルであることを確認します。

ディセーブルの場合、アプライアンスが収集するデータはSensorBaseネットワークサーバには戻されません。

ステップ 3 [加入レベル（Participation Level）]セクションで、以下のレベルのいずれかを選択します。

• [制限（Limited）]。基本的な参加はサーバ名情報をまとめ、SensorBaseネットワークサーバにMD5ハッシュパスセグメントを送信します。

•標準。拡張された参加は、unobfuscatedパスセグメントを使用したURL全体を SensorBaseネットワークサーバに送信します。このオプションは、より強力なデータベースの提供を支援し、継続的にWebレピュテーションスコアの整合性を向上させます。

ステップ 4 [AnyConnectネットワークへの参加（AnyConnect Network Participation）]フィールドで、Cisco AnyConnectクライアントを使用してWebセキュリティアプライアンスに接続するクライアントから収集された情報を含めるかどうかを選択します。

AnyConnectクライアントは、Secure Mobility機能を使用してアプライアンスにWebトラフィックを送信します。

ステップ 5 [除外されたドメインと IPアドレス（Excluded Domains and IP Addresses）]フィールドで、任意でドメインまたは IPアドレスを入力して、SensorBaseサーバに送信されたトラフィックを除外します。

ステップ 6 変更を送信し、保存します。

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド7

製品およびリリースの概要

Cisco SensorBaseネットワークへの参加の有効化

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド8

製品およびリリースの概要

Cisco SensorBaseネットワークへの参加の有効化

第 2 章接続、インストール、設定

この章は、次の項で構成されています。

•接続、インストール、設定の概要（9ページ）•仮想アプライアンスの展開（10ページ）•操作モードの比較（10ページ）•接続、インストール、設定に関するタスクの概要（16ページ）•アプライアンスの接続（16ページ）•設定情報の収集（20ページ）•システムセットアップウィザード（22ページ）•アップストリームプロキシ（31ページ）•ネットワークインターフェイス（33ページ）•ハイアベイラビリティを実現するためのフェールオーバーグループの設定（36ページ）• Webプロキシデータに対する P2データインターフェイスの使用（38ページ）•リダイレクトホスト名とシステムホスト名（52ページ）• DNSの設定（54ページ）•接続、インストール、設定に関するトラブルシューティング（57ページ）

接続、インストール、設定の概要Webセキュリティアプライアンスの動作モードは、標準、クラウドWebセキュリティコネクタ、および Cisco Defense Orchestratorの 3種類です。

• Webセキュリティアプライアンスの標準動作モードには、オンサイトのWebプロキシサービスとレイヤ4トラフィックモニタリングが含まれます。これらのサービスはクラウドWebセキュリティコネクタモードでは使用できません。

•クラウドWebセキュリティコネクタモードでは、アプライアンスは、Webセキュリティポリシーが適用されているCiscoCloudWebSecurity（CWS）プロキシに接続してトラフィックをルーティングします。

• Cisco Defense Orchestratorモードでは、アプライアンスは Cisco Defense Orchestratorにオンボーディングされています。ポリシー管理とオプションのレポートは、Cisco Defense

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド9

Orchestratorを介して実行されます。設定の変更と制約の詳細については、Cisco DefenseOrchestratorモードでの設定の変更と制約（70ページ）を参照してください。

アプライアンスには複数のポートが搭載されており、各ポートは割り当てられた1つ以上の特定のデータ型を管理します。

アプライアンスは、ネットワークルート、DNS、VLAN、およびその他の設定とサービスを使用して、ネットワーク接続とトラフィック代行受信を管理します。システムセットアップウィ

ザードでは基本的なサービスと設定項目をセットアップすることができ、アプライアンスの

Webインターフェイスでは、設定の変更や追加オプションの設定を行うことができます。

仮想アプライアンスの展開仮想Webセキュリティアプライアンスの展開については、『Cisco Content Security VirtualAppliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html[英語]から入手できます。

物理アプライアンスから仮想アプライアンスへの移行

物理アプライアンスから仮想アプライアンスに展開を移行するには、前のトピックで言及した

『Virtual Appliance Installation Guide』、および使用している AsyncOSのバージョンに応じたリリースノートを参照してください。

操作モードの比較以下の表では、標準モードとクラウドコネクタモードで使用可能なさまざまなメニューコマ

ンドを示し、それにより各モードで使用可能なさまざまな機能について説明します。

Cisco Defense Orchestratorモードで使用できる機能を確認するには、Cisco Defense Orchestratorモードでの設定の変更と制約（70ページ）を参照してください。

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド10

接続、インストール、設定

仮想アプライアンスの展開

http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html

クラウドコネクタモードで使用可能標準モードで使用可能メニュー

システムステータス（SystemStatus）システムステータス（SystemStatus）

概要

Users

ユーザ数（User Count）

Webサイト（Web Sites）

URLカテゴリ（URL Categories）

アプリケーションの表示（ApplicationVisibility）

マルウェア対策（Anti-Malware）

高度なマルウェア防御（AdvancedMalware Protection）

ファイル分析（File Analysis）

AMP判定のアップデート（AMPVerdict Updates）

クライアントマルウェアリスク

（Client Malware Risk）

Webレピュテーションフィルタ（Web Reputation Filters）

レイヤ 4トラフィックモニタ（Layer-4 Traffic Monitor）

ユーザの場所別レポート（Reports byUser Location）

Webトラッキング（Web Tracking）

システム容量（System Capacity）

システムステータス（SystemStatus）

スケジュール設定されたレポート

（Scheduled Reports）

アーカイブレポート（ArchivedReports）

レポート

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド11

接続、インストール、設定

操作モードの比較

クラウドコネクタモードで使用可能標準モードで使用可能メニュー

識別プロファイル（IdentificationProfiles）

クラウドルーティングポリシー

（Cloud Routing Policies）

外部データ消失防止（External DataLoss Prevention）

カスタムURLカテゴリ（CustomURLCategories）

識別プロファイル（IdentificationProfiles）

クラウドルーティングポリシー

（Cloud Routing Policies）

SaaSポリシー（SaaS Policies）

復号ポリシー（Decryption Policies）

ルーティングポリシー（RoutingPolicies）

アクセスポリシー（Access Policies）

全体の帯域幅の制限（OverallBandwidth Limits）

Ciscoデータセキュリティ（CiscoData Security）

発信マルウェアスキャン（OutboundMalware Scanning）

外部データ消失防止（External DataLoss Prevention）

SOCKSポリシー（SOCKS Policies）

カスタムURLカテゴリ（CustomURLCategories）

時間範囲およびクォータの定義

（Define Time Ranges and Quotas）

バイパス設定（Bypass Settings）

レイヤ 4トラフィックモニタ（Layer-4 Traffic Monitor）

Webセキュリティマネージャ

（Web SecurityManager）

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド12

接続、インストール、設定

操作モードの比較

クラウドコネクタモードで使用可能標準モードで使用可能メニュー

Webプロキシ（Web Proxy）Webプロキシ（Web Proxy）

FTPプロキシ（FTP Proxy）

HTTPSプロキシ（HTTPS Proxy）

SOCKSプロキシ（SOCKS Proxy）

PACファイルホスティング（PACFile Hosting）

使用許可コントロール（AcceptableUse Controls）

マルウェア対策とレピュテーション

（Anti-Malware and Reputation）

データ転送フィルタ（Data TransferFilters）

AnyConnectセキュアモビリティ（AnyConnect Secure Mobility）

ユーザ通知（End-User Notification）

L4トラフィックモニタ（L4 TrafficMonitor）

SensorBase

レポート

Cisco Cloudlock

Cisco Cognitive Threat Analytics

セキュリティ

サービス

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド13

接続、インストール、設定

操作モードの比較

クラウドコネクタモードで使用可能標準モードで使用可能メニュー

インターフェイス

透過リダイレクション（TransparentRedirection）

ルート

DNS

高可用性

内部 SMTPリレー（Internal SMTPRelay）

外部 DLPサーバ（External DLPServers）

証明書の管理（CertificateManagement）

認証

マシン IDサービス（Machine IDService）

クラウドコネクタ（CloudConnector）

インターフェイス

透過リダイレクション（TransparentRedirection）

ルート

DNS

高可用性

内部 SMTPリレー（Internal SMTPRelay）

上位プロキシ（Upstream Proxy）

外部 DLPサーバ（External DLPServers）

証明書の管理（CertificateManagement）

認証

SaaSのアイデンティティプロバイダー

Identity Services Engine

ネットワーク

（Network）

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド14

接続、インストール、設定

操作モードの比較

クラウドコネクタモードで使用可能標準モードで使用可能メニュー

アラート（Alerts）

ログサブスクリプション（LogSubscriptions）

SSLの設定（SSL Configuration）

Users

Network Access

タイムゾーン

時刻設定（Time Settings）

設定の概要

設定ファイル（Configuration File）

ライセンスキー（Feature Keys）

アップグレードとアップデートの設

定（Upgrade and Update Settings）

システムアップグレード（SystemUpgrade）

システムセットアップウィザード

（System Setup Wizard）

ポリシートレース（Policy Trace）

アラート（Alerts）

ログサブスクリプション（LogSubscriptions）

返信先アドレス（Return Addresses）

SSLの設定（SSL Configuration）

Users

Network Access

タイムゾーン

時刻設定（Time Settings）

設定の概要

設定ファイル（Configuration File）

機能キーの設定（Feature KeySettings）

ライセンスキー（Feature Keys）

アップグレードとアップデートの設

定（Upgrade and Update Settings）

システムアップグレード（SystemUpgrade）

システムセットアップウィザード

（System Setup Wizard）

FIPSモード（FIPS Mode）

次の手順

システム管理

該当なし該当なしCiscoCWSポータル（Cisco CWSPortal）（ハイブリッドWebセキュリティモー

ドでのみ使用可

能）

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド15

接続、インストール、設定

操作モードの比較

接続、インストール、設定に関するタスクの概要

詳細情報タスク

アプライアンスの接続（16ページ）•アプライアンスをインターネットトラフィックに接続する。

設定情報の収集（20ページ）•設定情報を収集して記録する。

システムセットアップウィザード（22ページ）

•システムセットアップウィザードを実行する。

HTTPSプロキシのイネーブル化（264ページ）

認証レルム（113ページ）

識別プロファイルと認証（156ページ）

• HTTPSプロキシ設定、認証レルム、識別プロファイルを設定する。この手順はハイブ

リッドWebセキュリティモードで実行する必要があります。

アップストリームプロキシ（31ページ）•（任意）アップストリームプロキシを接続する。

アプライアンスの接続

始める前に

•アプライアンスを設置するには、管理用アプライアンスにケーブルを配線して電源に接続し、そのアプライアンスのハードウェアガイドの手順に従います。ご使用のモデルのマ

ニュアルの場所については、ドキュメントセット（611ページ）を参照してください。•透過リダイレクションのためにアプライアンスを物理的にWCCP v2ルータに接続する場合は、まず、WCCPルータがレイヤ 2リダイレクションに対応していることを確認します。

•以下のシスコ推奨設定に注意してください。

•パフォーマンスとセキュリティの向上のために、可能な場合はシンプレックスケーブル（着信と発信トラフィック用の個別のケーブル）を使用します。

ステップ 1 管理インターフェイスを接続します（まだ接続していない場合）。

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド16

接続、インストール、設定

接続、インストール、設定に関するタスクの概要

注記（Notes）イーサネットポート

接続可能な場所にM1を接続します。

•管理トラフィックを送受信します。•（任意）Webプロキシデータトラフィックを送受信します。

M1にラップトップを直接接続して、アプライアンスを管理できます。

ホスト名（http://hostname:8080）を使用して管理インターフェイスに接続するには、アプライアンスのホスト名と IPアドレスをDNSサーバデータベースに追加します。

M1

•発信方向の管理サービストラフィックで使用可能ですが、管理には使用できません。

• [ポートM1は管理目的でのみ使用（Use M1 port for management only）]（[ネットワーク（Network）] > [インターフェイス（Interfaces）]ページ）をイネーブルにします。

•データインターフェイスを使用するように、サービスのルーティングを設定します。

P1および P2（任意）

ステップ 2 （任意）アプライアンスをデータトラフィックに直接接続するか、透過リダイレクションデバイスを介して接続します。

Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド17

接続、インストール、設定

アプライアンスの接続

透過リダイレクション明示的な転送イーサネット

ポート

デバイス：WCCP v2ルータ：

•レイヤ2リダイレクションの場合は、ルータを物理的に P1/P2に接続します。

•レイヤ 3リダイレクションの場合は、総称ルーティングカプセル化（GRE）でパフォーマンス上の問題が発生する可能性

があるので注意してください。

•アプライアンス上にWCCPサービスを作成します。

デバイス：レイヤ 4スイッチ：

•レイヤ 2リダイレクションの場合は、スイッチを物理的に P1/P2に接続します。

•レイヤ 3リダイレクションの場合は、総称ルーティングカプセル化（GRE）でパフォーマンス上の問題が発生する可能性

があるので注意してください。

アプライアンスはインラインモード

をサポートしていません。

（注）

P1のみ：

• [ポートM1は管理目的でのみ使用（Use M1 port for management only）]をイネーブルにします。

• P1とM1を異なるサブネットに接続します。

•着信と発信の両方のトラフィックを受信できるように、デュプレックス

ケーブルを使用してP1を内部ネットワークとインターネットに接続しま

す。

P1および P2

• P1をイネーブルにします。• M1、P1、P2を異なるサブネットに接続します。

• P2をインターネットに接続し、着信インターネットトラフィックを受信

します。

システムセットアップウィザードの実行

後、P2をイネーブルにします。

P1/P2

該当なし[ポートM1は管理目的でのみ使用（UseM1 port formanagement only）]がディセーブルの場合は、M1がデフォルトのデータトラフィック用ポートになります。

M1（任意）

ステップ 3 （任意）レイヤ 4トラフィックをモニタするには、プ�