ポリシー
ポリシーを使用して、組織のニーズに合わせてデフォルトポリシー設定を上書きできます。各ポリシーには、全体的な効果、「許可」、「ブロック」、または「警告」があり、これにより Web アクセスの処理方法が決まります。ポリシーを作成するには、全体的な効果を選択し、適用される条件を定義し、それらの条件に対する具体的なアクションを設定します。
たとえば、財務のユーザーグループがすべてのビジネス関連の Web サイトにアクセスできるポリシーを作成し、これらのサイトからファイルをダウンロードできるようにしますが、ファイルをアップロードしたり、保護されたブラウザの外にデータをコピーしたりすることはできません。
条件
条件は、ポリシーが適用される一致条件を指定します。
次のユーザーおよびデバイスの一致条件を指定できます。
- ユーザーグループ
- Windows や MAC デバイスなどのデバイスポスチャ
これらの 2つの一致条件は AND 演算を使用します。このため、ポリシーが適用されるには、両方の条件が一致する必要があります。
次の宛先一致条件を指定できます。
- アプリケーショングループ
- サイトリスト
- Web カテゴリ
宛先条件は OR 演算子を使用します。ブラウザは、いずれかの条件が一致する場合にポリシーを適用します。
ポリシーの一致条件として選択する前に、Sophos Central にユーザーグループを追加する必要があります。詳細は、ユーザーとディレクトリを設定を参照してくださ
ポリシーの一致条件として選択する前に、デバイスポスチャ、アプリケーショングループ、サイトリスト、および Web カテゴリをポリシーオブジェクトとして追加する必要があります。詳細は、ポリシーオブジェクトを参照してくださ
アクションプロファイル
アクションプロファイルを使用して、選択した条件にダウンロード、アップロード、およびデータ境界保護を適用できます。
ダウンロードの保護
選択した条件に対して、ファイルのダウンロードを許可、ブロック、またはスキャンできます。
次のいずれかのアクションプロファイルを指定できます。
- すべてのダウンロードをブロック (Block all downloads):すべてのファイルダウンロードをブロックします。
- スキャンなしですべてのダウンロードを許可 (Allow all downloads without scanning):すべてのファイルダウンロードをスキャンせず、URL のレピュテーションを確認せずに許可します。
- リスクのあるダウンロードをスキャンし、スキャンできない場合はブロックする (Scan risky downloads and block if unscannable):すべてのテキスト、Microsoft Office、および PDF ファイルをスキャンし、URL のレピュテーションを確認し、スキャンできないファイルをブロックします。
- リスクのあるダウンロードをスキャンし、スキャンできない場合は許可する (Scan risky downloads and allow if unscannable):すべてのテキスト、Microsoft Office、および PDF ファイルをスキャンし、URL のレピュテーションを確認し、スキャンできないファイルを許可します。
- 実行可能なダウンロードのみをスキャンする (Scan only executable downloads):すべてのバイナリおよび実行可能ファイルをスキャンし、URL のレピュテーションを確認し、スキャンできないファイルを許可します。
注
ブラウザは、Sophos Extensible List (SXL) を使用して、ファイルのレピュテーションに基づいてすべてのファイルをスキャンします。特定のケースでは、特定のファイルがオーバーライドされ、より深い解析のために Sophos Intellix によってスキャンされます。
アップロードの保護
選択した条件に対して、ファイルのアップロードを許可、ブロック、またはスキャンできます。
次のいずれかのアクションプロファイルを指定できます。
- すべてのアップロードをブロック (Block all uploads):すべてのファイルアップロードをブロックします。
- スキャンせずにすべてのアップロードを許可する (Allow all uploads without scanning):すべてのファイルアップロードをスキャンせず、URL のレピュテーションを確認せずに許可します。
- リスクのあるファイルアップロードをスキャンし、スキャンできない場合はブロックする (Scan risky file uploads and block if unscannable):すべてのテキスト、Microsoft Office、および PDF ファイルをスキャンし、URL のレピュテーションを確認し、スキャンできないファイルをブロックします。
- リスクのあるファイルアップロードをスキャンし、スキャンできない場合は許可する (Scan risky file uploads and allow if unscannable):すべてのテキスト、Microsoft Office、および PDF ファイルをスキャンし、URL のレピュテーションを確認し、スキャンできないファイルを許可します。
- ドキュメントおよびテキストのアップロードをブロックし、他のファイルタイプをスキャンする (Block document and text uploads, scan other file types):すべてのドキュメントまたはテキストファイルをブロックし、他のファイルタイプをスキャンして URL の検証チェックを実行し、スキャンできないファイルを許可します。
注
ブラウザは、Sophos Extensible List (SXL) を使用して、ファイルのレピュテーションに基づいてすべてのファイルをスキャンします。特定のケースでは、特定のファイルがオーバーライドされ、より深い解析のために Sophos Intellix によってスキャンされます。
データの境界
スクリーンショットや画面共有、印刷、Web ページの保存、カット、コピー、ペーストなどのクリップボードアクションに対して、許可、ブロック、または警告を表示できます。
注
クリップボード関連の境界は、ブラウザのアドレスバーには適用されません。
以下の表は、すべての利用可能なデータ境界アクションプロファイルを説明しています。
| データ境界アクション | 説明 |
|---|---|
| すべて許可 | すべてのアクションを許可します。 |
| このポリシーの宛先内にデータを保持する (Keep data within this policy's destinations) | ポリシーで選択した宛先内にデータを保持します。たとえば、「アプリケーショングループ」の下で、Jira と Salesforce を選択した場合、これらのアプリケーション内でデータを切り取り、コピー、貼り付けできます。他のアプリケーションにデータを貼り付けることはできません。 |
| このポリシーの宛先内にデータを保持 - バイパスを許可してログを記録する (Keep data within this policy's destinations - allow and log bypass) | ポリシーで選択した宛先内にデータを保持しますが、許可されたアクションはログに記録されます。たとえば、「アプリケーショングループ」の下で、Jira と Salesforce を選択した場合、これらのアプリケーション内でデータを切り取り、コピー、貼り付けできます。他のアプリケーションにデータを貼り付けることはできません。切り取り、コピー、貼り付けのアクションはログに記録されます。 |
| このポリシーの宛先内にデータを保持 - 外部からの貼り付けを許可する (Keep data within this policy's destinations - allow pasting from outside) | ポリシーで選択した宛先内にデータを保持します。たとえば、「アプリケーショングループ」の下で、Jira と Salesforce を選択した場合、これらのアプリケーション内でデータを切り取り、コピーできます。他のアプリケーションからデータを貼り付けることができます。 |
| 保護されたブラウザ内にデータを保持する (Keep data within the Protected Browser) | すべてのデータをブラウザ内に保持します。ブラウザ内でのみデータを切り取り、コピー、貼り付けできます。外部からブラウザにテキストを貼り付けることができます。 |
以下の表は、各境界アクションプロファイルが許可またはブロックする内容を示しています。
| データ境界アクション | 設定 |
|---|---|
| すべて許可 | 画面キャプチャ、共有、録画:許可 印刷 :許可 ページの保存:許可 切り取り、コピー、貼り付け:許可 |
| このポリシーの宛先内にデータを保持する (Keep data within this policy's destinations) | 画面キャプチャ、共有、録画:ブロックしました エンドユーザーが一時的に画面キャプチャ、共有、録画の保護をバイパスできるようにする:いいえ 印刷 :ブロックしました ページの保存:ブロックしました 切り取り、コピー、貼り付け:すべて許可されているが、選択した宛先の外にテキストを貼り付けることはできません。 外部ソースからの貼り付けを許可する:いいえ |
| このポリシーの宛先内にデータを保持 - バイパスを許可してログを記録する (Keep data within this policy's destinations - allow and log bypass) | 画面キャプチャ、共有、録画:ブロックしました エンドユーザーが一時的に画面キャプチャ、共有、録画の保護をバイパスできるようにする:あり 印刷 :警告の後に許可される ページの保存:警告の後に許可される 切り取り、コピー、貼り付け:許可されているが、選択した宛先の外にテキストを貼り付けることはできません。 外部ソースからの貼り付けを許可する:いいえ |
| このポリシーの宛先内にデータを保持 - 外部からの貼り付けを許可する (Keep data within this policy's destinations - allow pasting from outside) | 画面キャプチャ、共有、録画:ブロックしました エンドユーザーが一時的に画面キャプチャ、共有、録画の保護をバイパスできるようにする:いいえ 印刷 :ブロックしました ページの保存:ブロックしました 切り取り、コピー、貼り付け:切り取りおよびコピーのアクションはブロックされています。貼り付けは許可されています。 外部ソースからの貼り付けを許可する:あり |
| 保護されたブラウザ内にデータを保持する (Keep data within the Protected Browser) | 画面キャプチャ、共有、録画:ブロックしました エンドユーザーが一時的に画面キャプチャ、共有、録画の保護をバイパスできるようにする:いいえ 印刷 :ブロックしました ページの保存:ブロックしました 切り取り、コピー、貼り付け:許可されているが、ブラウザ内のみ。 外部ソースからの貼り付けを許可する:あり |
ポリシー評価
保護されたブラウザは、ポリシーテーブルに表示されている順序でポリシーを評価し、指定された条件に一致する最初のポリシーを適用します。このため、ポリシーの「ランク」は、ブラウザがポリシーを評価する方法を決定します。ランク番号が低いほど、評価される可能性が高くなります。ポリシーが「1」にランク付けされている場合、テーブル内の他のすべてのポリシーの前に評価されます。ポリシー内のすべての条件が一致する場合、ブラウザはテーブル内の残りのポリシーを評価しません。
ブラウザがテーブル内で上に位置するポリシーの前に、テーブル内で下に位置するポリシーを評価するようにする必要がある場合は、ポリシーのランクを変更します。たとえば、ブラウザが「4」にランク付けされたポリシーを「2」および「3」にランク付けされたポリシーの前に評価するようにしたい場合は、そのポリシーのランクを「2」に変更します。
ポリシーの詳細
「ポリシー」タブには、デフォルトポリシーと作成したすべてのポリシーが表示されます。各ポリシーの次の詳細が表示されます。
- ランク :ポリシーのランクを表示します。
- 名前:ポリシーの名前が表示されます。
- アクセス:ポリシーの全体的な効果が「許可」、「ブロック」、または「警告」であるかどうかが表示されます。
- 状態:ポリシーが「アクティブ」か「非アクティブ」かどうかが表示されます。それがアクティブの場合、ブラウザはそのランクに基づいてポリシーを評価します。それが「非アクティブ」の場合、ブラウザはポリシーを評価しません。ポリシーの状態を変更するには、オンまたはオフに切り替え、「更新」をクリックします。
ポリシーの更新
ポリシーを次のように更新できます。
- ポリシーを編集するには、その名前をクリックするか、3つのドットをクリックして「編集」をクリックします。
- ポリシーを複製するには、3つのドットをクリックして「複製」をクリックします。
-
ポリシーを削除するには、3つのドットをクリックして「削除」をクリックします。
注
デフォルトポリシーを削除したり複製したり、ランクを変更することはできません。
-
ポリシーのランクを変更するには、次のようにします。
- そのポリシーの 3つのドットをクリックします。
-
「ランク #に移動」の下で、矢印を上または下に移動してランクを変更し、「適用」をクリックします。
