WatchGuard Cloud のコンテンツ スキャンを構成する

適用：クラウド管理の Firebox このトピックは、WatchGuard Cloud で構成する Firebox に適用されます。

クラウド管理の Firebox の場合は、以下のセキュリティ サービスを使用してコンテンツ フィルタを構成することができます。

• Gateway AntiVirus を構成する
• IntelligentAV を構成する
• APT Blocker を構成する
• spamBlockerを構成する

コンテンツ スキャンを Firebox 経由のトラフィックに適用するには、コンテンツ スキャンをファイアウォール ポリシーでも有効にしておく必要があります。ポリシー設定の詳細については、ファイアウォール ポリシーでセキュリティ サービスを構成する を参照してください。

Gateway AntiVirus を構成する

Gateway AntiVirus は、SMTP、IMAP、POP3、HTTP、HTTPS、FTP、および TCP-UDP を処理するポリシーで機能します。新たな攻撃が特定されると、そのウイルスに固有な特徴が記録されます。これらの記録された特徴は、署名と呼ばれます。Gateway AntiVirus では、コンテンツをスキャンする際に署名を使用してウイルスの検出を行います。Gateway AntiVirus を有効にすると、自動的に最新の署名が使用されます。

WatchGuard Cloud では、ウイルスが検出された場合、エラーが発生した場合、スキャンされたコンテ ンツが構成されているサイズ制限を超えた場合、またはスキャンされたコンテンツが暗号化されている場合に Gateway AntiVirus が実行するアクションを構成することができます。スキャン サイズ制限の設定方法の詳細については、次を参照してください：詳細設定の構成。ウイルスが検出された場合は アラーム オプションを選択することをお勧めします。

Gateway AntiVirus を構成するには、以下の手順を実行します。

1. 構成 > デバイス の順に選択します。
2. クラウド管理の Firebox を選択します。
   選択された Firebox のステータスと設定が表示されます。
3. デバイス構成 を選択します。
   デバイス構成ページが開き、そこに WatchGuard Cloud セキュリティ サービスが表示されます。



4. コンテンツ スキャン タイルをクリックします。
   コンテンツ スキャン ページが開きます。

5. 設定 タブで、Gateway AntiVirus を有効にします。

6. アクション 列にある各ステータスの ドロップ チェックボックスを選択して、Firebox が接続をドロップするタイミングを指定します。
• ウイルスが検知された場合 — Gateway AntiVirus が電子メール メッセージ、ファイル、Web ページ、または Web アップロードでウイルスを検出すると、Firebox はパケットと接続をドロップします。メッセージの発信元には情報は送信されません。
• スキャン エラーが発生した場合 — Firebox がオブジェクトや添付ファイルをスキャンできない場合、Firebox はパケットと接続をドロップします。メッセージの発信元には情報は送信されません。
• コンテンツがスキャン サイズ制限を超えた場合 — コンテンツのスキャン サイズが設定されている制限を超えた場合、Firebox はパケットと接続をドロップします。メッセージの発信元には情報は送信されません。
• コンテンツが暗号化されている場合 — ファイルが暗号化されている、パスワードで保護されている、 または Gateway AntiVirus でサポートしていないタイプの圧縮 (パスワードで保護された ZIP ファイルなど) が使用されているなどの理由で Gateway AntiVirus がスキャンを実行できない場合、Firebox はパケットと接続をドロップします。メッセージの発信元には情報は送信されません。

7. アラームを生成するには、アラーム チェックボックスを選択します。
   アラームを設定しない場合は、アラーム チェックボックスをクリアします。

8. 構成変更をクラウドに保存するには、保存 をクリックします。
   

IntelligentAV を構成する

Gateway AntiVirus セキュリティ サービスの保護を強化するには、IntelligentAV を有効化します。IntelligentAV が有効になっている場合、Gateway AntiVirus では 2 つのスキャン エンジンが連携して機能するため、マルウェアがネットワークに侵入する前に、Firebox でそれを検出・ブロックする機能が強化されます。

IntelligentAV では、署名ではなく人工知能を使用して、既知または未知のマルウェアが特定されてブロックされます。IntelligentAV は Gateway AntiVirus でサポートされているすべてのプロキシで動作します。詳細については、IntelligentAV について を参照してください。

APT Blocker を有効にするには、まず Gateway AntiVirus を有効にする必要があります。

IntelligentAV を構成するには、以下の手順を実行します。

1. 構成 > デバイス の順に選択します。
2. クラウド管理の Firebox を選択します。
   選択された Firebox のステータスと設定が表示されます。
3. デバイス構成 を選択します。
4. コンテンツ スキャン タイルをクリックします。
   
   コンテンツ スキャン ページが開きます。

5. 設定 タブで、IntelligentAV を有効にします。
   IntelligentAV について、個別に設定する項目はありません。

6. 構成変更をクラウドに保存するには、保存 をクリックします。

APT Blocker を構成する

高度な持続的脅威 (APT) は、高度なマルウェアやゼロデイ エクスプロイトを悪用してネットワークや機密データに長期間侵入するネットワーク攻撃の一種です。APT Blocker は、フル システム エミュレーション分析を利用する登録サービスで、ネットワーク内に入り込んだファイルやメール添付ファイル内の APT マルウェアの特性や動作を特定します。APT Blocker は、ウイルス対策プログラムのような他の従来型のスキャナとは異なり、署名を使用しません。詳細については、APT Blocker について を参照してください。

APT Blocker により、脅威の重大度に基づいて APT アクティビティが分類されます。WatchGuard Cloud では、脅威のレベル (高、中、低) ごとに取るべきアクションを設定することができます。クリーン脅威レベルは、APT Blocker が分析したファイルで、クリーンでありマルウェアを含まないと判定されたもののステータスを追跡するのに役立ちます。すべての脅威レベルに対し、APT Blocker 構成で アラーム オプションを選択し、APT Blocker アクティビティを監視することをお勧めします。

APT Blocker を有効にするには、まず Gateway AntiVirus を有効にする必要があります。

APT Blocker を構成するには、以下の手順を実行します。

1. 構成 > デバイス の順に選択します。
2. クラウド管理の Firebox を選択します。
   選択された Firebox のステータスと設定が表示されます。
3. デバイス構成 を選択します。
4. コンテンツ スキャン タイルをクリックします。
   コンテンツ スキャン ページが開きます。

5. 設定 タブで、APT Blocker を有効にします。

6. アクション 列で、APT Blocker が接続をドロップする脅威レベルごとに ドロップ チェックボックスを選択します。
7. 脅威のレベルのアラームをトリガするには、アラーム チェックボックスを選択します。
   アラームを設定しない場合は、その脅威のレベルの アラーム チェックボックスをクリアします。
8. 構成変更をクラウドに保存するには、保存 をクリックします。

詳細設定の構成

ファイル スキャン の設定は、Gateway AntiVirus と IntelligentAV でスキャンできるファイルの最大サイズを制御します。スキャン制限により、APT Blocker から分析のために送信されるファイルの最大サイズも制御されます。Gateway AntiVirus の既定のスキャン サイズは、各 Firebox モデルのハードウェア機能に基づいて設定されます。すべてのモデルの最小スキャン サイズは 1 MB です。

スキャン制限の詳細については、Gateway AntiVirus スキャン制限について を参照してください。

ファイルのスキャン サイズを構成するには、以下の手順を実行します。

1. 詳細 タブを選択します。
   ファイル スキャンの既定値と最大値は、Firebox のモデルによって異なり、既定では推奨値に設定されています。

2. スキャン サイズ制限 テキスト ボックスに、ファイルのスキャン サイズ制限をキロバイト単位で入力します。
   
3. 構成変更をクラウドに保存するには、保存 をクリックします。

spamBlockerを構成する

大量のスパムにより、帯域幅が消費され、従業員の生産性も低下します。また、ネットワーク リソースも浪費されます。spamBlocker は、ルール、パターンの一致、送信者の評価の組み合わせを用いて、スパム メッセージを正確に特定およびブロックし、これらを電子メール サーバーから遮断するサブスクリプション サービスです。spamBlocker サービスを構成するには、まず POP3、IMAP、または SMTP トラフィックを管理するポリシーを少なくとも 1 つ構成する必要があります。特定の送信者と受信者の電子メールが spamBlocker スキャンをバイパスすることを許可するように例外を定義できます。

WatchGuard Cloud で spamBlocker を構成するには、以下の手順を実行します。

1. 構成 > デバイス の順に選択します。
2. クラウド管理の Firebox を選択します。
   選択された Firebox のステータスと設定が表示されます。
3. デバイス構成 を選択します。
4. コンテンツ スキャン タイルをクリックします。
   コンテンツ スキャン ページが開きます。
5. 設定 タブで、spamBlocker を有効化します。

6. サーバー リージョン ドロップダウン リストから、リージョンを選択します。

WatchGuard Cloud では、既定で最も近いサーバー データ センターが選択されます。特定のデータセンター地域を選択して、spamBlocker 要求を送信することができます。

7. 電子メールがスパムの場合 ドロップダウン リストから、スパム メールが検出された際に spamBlocker で実行される動作を選択します。
   • 許可 — 電子メール メッセージが Firebox を通過することが許可されます。
   • 拒否 — (SMTP のみ) — メール サーバーへの電子メール メッセージの送信が停止されます。Firebox から、「配信許可されませんでした。メッセージは拒否されました」という 571 SMTP メッセージが送信メール サーバーに送信されます。
   • 件名タグを追加する — 電子メール メッセージが Firebox を通過することが許可されますが、電子メール メッセージの件名の行にスパムまたはスパムの可能性を示唆するテキストが挿入されます。
8. 件名タグを追加する を選択すると、件名タグ ボックスが表示されます。メッセージの件名に追加するテキストを入力します。

9. spamBlocker で電子メールがスキャンされた後、それがスパムとして指定されない場合にログ メッセージが送信されるようにするには、電子メールがスパムではない場合にログ メッセージを送信する チェックボックスを選択します。
10. spamBlocker が利用できない場合 ドロップダウン リストから、Firebox から spamBlocker サーバーに接続できないときに Firebox で受信メールに対して実行されるアクションとして 許可 か 拒否 のいずれかを選択します。
11. 保存 をクリックします。

ポリシーの構成方法の詳細については、WatchGuard Cloud でファイアウォール ポリシーを構成する を参照してください。

spamBlocker 例外を追加する方法の詳細については、WatchGuard Cloud で例外を追加する を参照してください。

関連トピック

クラウド管理の Firebox を WatchGuard Cloud に追加する

WatchGuard Cloud のコンテンツ スキャン

About Gateway AntiVirus

About IntelligentAV

About APT Blocker

About spamBlocker