コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/partner/help/ja-jp/index.html?contextId=HTTPS-decryption

HTTPS Web サイトの SSL/TLS 復号

顧客用に、ソフォスが Web サイトを復号化して検索するかどうかを制御できます。これを選択すると、顧客が変更を行うことはできなくなります。

Note

「Endpoint Protection の新機能」EAP に参加している顧客は、HTTPS Web サイトの復号化をオンまたはオフにできます。顧客は、ここで選択された設定をコンピュータのみに対して変更できます。サーバーに対して変更することはできません。

制限事項

この機能は、Windows コンピュータおよびサーバーのみに対応しています。

セキュアな Web サイト (HTTPS) は暗号化されているため、復号化が許可されている場合にのみコンテンツを検索できます。

ただし、一部またはすべてのサイトを復号化から除外することが望ましい場合もあります。これは、ソフォス製品で復号化する際、個人情報が記録され、ログエントリに表示される可能性があるためです。

HTTPS Web サイトの復号化をオンにすると、次のように個人情報が表示され、記録される場合があります。

  • フルの URL が表示されます (GET リクエストで使用される追加パラメータを含む)。
  • 個人情報 (PPI) を含む可能性のあるコンテンツをスキャンします。
  • 脅威を検知した場合は、SophosLabs にサンプルを送信することがあります。

Firefox と復号化

Firefox は独自の証明書ストアを使用するため、HTTPS Web サイトの復号化に影響を与えます。また、Windows DNS サーバーの代わりに、独自の DNS サーバーを使用します。

ソフォス製品の復号化が正しく機能するようにするには、Firefox で、Windows の証明書ストアを信頼するように設定する必要があります。これには、次の手順を実行します。

  1. アドレスバーに「about:config」と入力し、「Enter」キーを押します。

    警告ページが表示される場合があります。「危険性を承知の上で使用する」をクリックして、about:config ページを表示します。

  2. 「security.enterprise_roots.enabled」を「True」に設定します。

    これによって、Firefox は Windows のルート証明書ストアを信頼するようになります。

また Firefox で、Windows DNS サーバーを使用するように設定する必要もあります。これは、HTTPS 復号化がオフになっている際、HTTPS セッションの SNI (Server Name Indication) 情報を表示できるため、Web プロテクションに重要です。これに関するヘルプは、Firefox の DNS-over-HTTPSを参照してください。

復号化のオン/オフの切り替え

脅威対策ポリシーで、すべての Web サイトに対して HTTPS 復号化をオンまたはオフにできます。顧客とそのデバイスに適用されるポリシーを変更して適用する必要があります。

  1. 「設定とポリシー」アイコン 「設定とポリシー」アイコン。 をクリックします。
  2. 顧客のグローバル設定」の下で「グローバルテンプレート」をクリックします。

  3. テンプレートを選択します。

    Note

    これによって、このテンプレート内のすべての顧客の SSL/TLS 復号がオンになります。

  4. デフォルトポリシー」をクリックします。

  5. エンドポイントプロテクション」または「サーバープロテクション」「脅威対策」をクリックします。

  6. HTTPS Web サイトの SSL/TLS 復号 」で、「SSL/TLS を使用している HTTPS Web サイトを復号する」をオンにします。

    デバイスの脅威対策ポリシーで復号がオンになっている場合、そのデバイスにおける Web コントロールチェックでもオンになります。

  7. デフォルトポリシー」で、「顧客にプッシュ」をクリックします。

  8. 顧客にプッシュ」ダイアログで、「プッシュ」をクリックして確定します。

Web サイトを復号化から除外

機密データを保護するために、一部の HTTPS Web サイトや Web サイトのカテゴリを復号化から除外できます。

TLS 1.2 以降を使用しない HTTPS Web サイトは、自動的にブロックされます。ほとんどの Web ブラウザ (Chrome、Firefox、Edge) でも、このようなページは自動的にブロックされます。

この場合、次のようなメッセージが表示されます: 「ポリシーに準拠するために、この URL へのアクセスをブロックしました。この URL をホストしているサーバーで使用されている暗号化は安全ではありません。」

これらの Web サイトに対する除外を追加できます。

Note

除外された Web サイトに対して、「脅威対策」および「Web コントロール」ポリシーの一部の設定 (ダウンロードのスキャンや危険な種類のファイルのブロック) は適用されません。ただし、復号化を必要としないチェックは実行されます。

Chrome で TLS 1.0 および 1.1 を削除する方法については、次のサイトを参照してください。機能:TLS 1.0 および TLS 1.1 (削除済み)

Web サイトを復号化から除外するには、次の手順を実行します。

  1. 「設定とポリシー」アイコン 「設定とポリシー」アイコン。 をクリックします。
  2. 顧客のグローバル設定」の下で「グローバルテンプレート」をクリックします。

  3. テンプレートを選択します。

    Note

    これによって、このテンプレート内のすべての顧客の Web サイトが復号から除外されます。

  4. グローバル設定」をクリックし、「HTTPS の SSL/TLS 復号」をクリックします。

  5. HTTPS 復号化から除外されるカテゴリ」を参照します。

    一覧表示されているすべてのカテゴリは、デフォルトで除外されています。このような除外をオフにすることはできますが、カテゴリを追加したり削除したりすることはできません。

    特定のサイトを除外するには、次のステップに進みます。

  6. HTTPS/TLS 復号化から除外される Web サイト」で、「除外の追加」をクリックします。

  7. 除外の追加」ダイアログで、次の詳細を入力します。

    1. ドメイン名、IP アドレス、または IP アドレス範囲を入力します。
    2. (任意) Web サイトを除外した理由をコメントに追加します。
    3. 追加」をクリックします。

  8. HTTPS の SSL/TLS 復号」ページで、「保存」をクリックします。