コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/partner/help/ja-jp/index.html?contextId=HTTPS-decryption

HTTPS Web サイトの SSL/TLS 復号化

顧客用に、ソフォスが Web サイトを復号化して検索するかどうかを制御できます。これを選択すると、顧客が変更を行うことはできなくなります。

「Endpoint Protection の新機能」EAP に参加している顧客は、HTTPS Web サイトの復号化をオンまたはオフにできます。顧客は、ここで選択された設定をコンピュータのみに対して変更できます。サーバーに対して変更することはできません。

制限事項

この機能は、Windows コンピュータおよびサーバーのみに対応しています。

セキュアな Web サイト (HTTPS) は暗号化されているため、復号化が許可されている場合のみにコンテンツを検索できます。

ただし、一部またはすべてのサイトを復号化から除外することが望ましい場合もあります。これは、ソフォス製品で復号化する際、個人情報が記録され、ログエントリに表示される可能性があるためです。

HTTPS Web サイトの復号化をオンにすると、次のように個人情報が表示され、記録される場合があります。

  • フルの URL が表示されます (GET リクエストで使用される追加パラメータを含む)。
  • 個人情報 (PPI) を含む可能性のあるコンテンツをスキャンします。
  • 脅威を検知した場合は、SophosLabs にサンプルを送信することがあります。

Firefox と復号化

Firefox は独自の証明書ストアを使用するため、HTTPS Web サイトの復号化に影響を与えます。また、Windows DNS サーバーの代わりに、独自の DNS サーバーを使用します。

ソフォス製品の復号化が正しく機能するようにするには、Firefox で、Windows の証明書ストアを信頼するように設定する必要があります。これには、次の手順を実行します。

  1. アドレスバーに「about:config」と入力し、「Enter」キーを押します。

    警告ページが表示される場合があります。「危険性を承知の上で使用する」をクリックして、about:config ページを表示します。

  2. 「security.enterprise_roots.enabled」を「True」に設定します。

    これによって、Firefox は Windows のルート証明書ストアを信頼するようになります。

また Firefox で、Windows DNS サーバーを使用するように設定する必要もあります。これは、HTTPS 復号化がオフになっている際、HTTPS セッションの SNI (Server Name Indication) 情報を表示できるため、Web プロテクションに重要です。これに関するヘルプは、Firefox の DNS-over-HTTPSを参照してください。

復号化のオン/オフの切り替え

脅威対策ポリシーで、すべての Web サイトに対して HTTPS 復号化をオンまたはオフにできます。顧客とそのデバイスに適用されるポリシーを変更して適用する必要があります。

  1. 設定とポリシー > グローバルテンプレート」を参照します。
  2. 変更するテンプレートを選択するか、新しいテンプレートを作成するためにテンプレートを複製します。
  3. 対象の顧客がテンプレートに関連付けられていることを確認します。
  4. デフォルトポリシー」をクリックします。
  5. エンドポイント」に移動します。脅威対策 または サーバ:脅威対策

  6. HTTPS Web サイトの SSL/TLS 復号化」で設定を編集します。

    デバイスに適用される脅威対策ポリシーで復号化がオンになっている場合、そのデバイスにおける Web コントロールチェックでもオンになります。

  7. テンプレートをプッシュします。

Web サイトを復号化から除外

機密データを保護するために、一部の HTTPS Web サイトや Web サイトのカテゴリを復号化から除外できます。

TLS 1.2 以降を使用しない HTTPS Web サイトは、自動的にブロックされます。ほとんどの Web ブラウザ (Chrome、Firefox、Edge) でも、このようなページは自動的にブロックされます。

この場合、次のようなメッセージが表示されます: 「ポリシーに準拠するために、この URL へのアクセスをブロックしました。この URL をホストしているサーバーで使用されている暗号化は安全ではありません。」

これらの Web サイトに対する除外を追加できます。

除外された Web サイトに対して、「脅威対策」および「Web コントロール」ポリシーの一部の設定 (ダウンロードのスキャンや危険な種類のファイルのブロック) は適用されません。ただし、復号化を必要としないチェックは実行されます。

Chrome で TLS 1.0 および 1.1 を削除する方法については、次のサイトを参照してください。機能: TLS 1.0 および TLS 1.1 (削除済み)

Web サイトを復号化から除外するには、次の手順を実行します。

  1. 設定とポリシー > グローバルテンプレート」を参照します。
  2. 変更するテンプレートを選択するか、新しいテンプレートを作成するためにテンプレートを複製します。
  3. HTTPS Web サイトの SSL/TLS 復号化」をクリックします。

  4. HTTPS 復号化から除外されるカテゴリ」を参照します。

    一覧表示されているすべてのカテゴリは、デフォルトで除外されています。このような除外をオフにすることはできますが、カテゴリを追加したり削除したりすることはできません。

    特定のサイトを除外するには、次のステップに進みます。

  5. HTTPS/TLS 復号化から除外される Web サイト」で、「除外の追加」をクリックします。

  6. 除外の追加」ダイアログで、Web サイトの詳細を入力します。

    1. ドメイン名、IP アドレス、または IP アドレス範囲を入力します。
    2. 任意: サイトを除外した理由をコメントに追加します。
    3. 追加」をクリックします。