一般的な情報

名前

これはルールの名前です。

説明

これは、ルールの目的の簡単な説明です。

エージェントの設定

デバイスが管理されている場合のみ Gateway の実行を許可：BlackBerry UEM または Microsoft Intune

この設定では、ユーザーが Gateway を使用する前に、iOS、Android、または Chromebook デバイスを BlackBerry UEM または Microsoft Intune で管理する必要があることを指定します。

詳細については、次を参照してください。 Aurora Endpoint Security を MDM ソリューションに接続して、デバイスが管理されているかどうかを確認

デバイスが管理されている場合のみ Gateway の実行を許可： Microsoft Intune

この設定では、ユーザーが Gateway を使用する前に、Windows デバイスを Microsoft Intune で管理する必要があり、Entra ID 参加であることを指定します。詳細については、Aurora Endpoint Security を MDM ソリューションに接続して、デバイスが管理されているかどうかを確認を参照し、Intune のタスクを完了してください。

この機能は、Windows 用 Gateway エージェントバージョン 2.10 以降でサポートされます。

Gateway が管理対象 VPN として構成されている MDM 管理対象デバイスでのみ Gateway のトンネル確立を許可

Gateway の仕事モードでそのデバイスにトンネルを作成する前に、Gateway が VPN プロバイダーとして設定されている組織のモバイルデバイス管理（MDM）に、デバイスを登録させるようにすることができます。 

デバイスで Aurora Protect Desktop もアクティブ化されている場合のみ、Gateway の実行を許可

この設定を行うには、ユーザーにより Aurora Protect Desktop はインストール済みで、同じテナントからアクティブ化されている必要があります。この機能は、次のデバイスでサポートされています。

• Windows デバイス：Gateway for Windows
• macOS デバイス：Aurora Protect Desktop 3.0 以降および Gateway for macOS 2.0.17 以降。Aurora Protect Desktop のバージョン 3.0 以前を実行しているデバイスでこの機能を有効にすると、トンネルは期待どおりに機能にしない場合があります。

セーフモード

ユーザーに対してセーフモードを有効にできます。セーフモードの場合、Gateway は、アプリおよびユーザーが潜在的に悪意のある宛先にアクセスできないようにブロックし、DNS 要求をインターセプトすることで、許容可能な使用ポリシー（AUP）を強制します。Gateway クラウドサービスは、設定されている ACL ルールとネットワーク保護設定（DGA、フィッシング、マルウェアなどの DNS トンネリングおよびゼロデイ検出など）に照らして各 DNS クエリを評価し、リアルタイムで要求を許可またはブロックするようエージェントに指示します。許可された場合、DNS 要求が、正常にベアラーネットワーク経由で完了します。それ以外の場合、Gateway エージェントが、通常の応答を上書きしてアクセスを防止します。

有効にすると、仕事モードが無効になっているときにセーフモードが自動的に有効になります。Windows デバイスで有効にすると、エージェントは起動時にシステムトレイ内で最小化されます。セーフモードを有効にしても、ユーザーはエージェントを開いたり、仕事モードを有効または無効にしたりすることができます（ユーザーのポリシーでこのような操作が許可されている場合）。

セーフモードイベントは、［CylanceGATEWAY イベント］画面と［アラート］表示に表示され、SIEM ソリューションまたは syslog サーバーに送信されます（設定されている場合）。

セーフモードと macOS 用 Gateway エージェント：macOS では、Gateway エージェントはシステム拡張機能を使用してセーフモードを実装します。「P7E3XMAM8G:com.blackba.big3.gatewayfilter」システム拡張機能を許可リストに追加すると、ユーザーが操作しなくても、Gateway エージェントがアクティブ化されたときに自動的にこれをロードできます。それ以外の場合は、アクティベーション中にプロンプトが表示されたときに、Gateway システム拡張機能を許可するようにユーザーに指示します。システム拡張機能を許可リストに追加する方法については、macOS のドキュメントを参照してください。Gateway エージェントをアクティブ化してセーフモードを使用する方法の詳細については、ユーザーガイドの「CylanceGATEWAY エージェントでのセーフモードのアクティブ化」を参照してください。

セーフモードとサードパーティ VPN：ご利用の環境がセーフモードとサードパーティ VPN を使用するように設定されている場合は、VPN DNS 設定を確認し、必要に応じてこの設定を調整して、VPN トンネルを使用するように定義されたトラフィックの DNS クエリのみをルーティングするようにします。セーフモードを有効にしても、VPN DNS 設定を確認しなかった場合、VPN が想定どおりに動作しない可能性があります。デフォルトでは、多くの VPN の設定で、VPN トンネルがアクティブの場合にすべての DNS トラフィックが VPN トンネルを経由してルーティングされます。

［サインインしたら CylanceGATEWAY を起動］設定を適用する

この設定では、macOS または Windows デバイスで、ユーザーがログインしたときに、Gateway エージェントを自動的に起動するかどうかを指定します。このポリシー設定は、エージェントの［サインインしたら Gateway を起動］設定よりも優先されます。

Arctic Wolf では、Gateway サービスポリシーでこのオプションを有効にすることが推奨されています。

この機能は、次のデバイスでサポートされています。

• Gateway エージェント（macOS 2.7 以降向け）
• Gateway エージェント（Windows 2.7 以降向け）  

ユーザーのサインイン時に CylanceGATEWAY を自動的に起動する

この設定では、ユーザーがデバイスにサインインしたときに Gateway エージェントが自動的に開始されますが、ユーザーが手動でエージェントを停止することもできます。Windows デバイスに対してこの設定と［仕事モードを自動的に有効化］の両方を有効にすると、エージェントは起動時にシステムトレイ内で最小化されます。

この設定は、［［サインインしたら CylanceGATEWAY を起動］設定を適用する］が有効な場合にのみ有効です。

［仕事モードを自動的に有効にする］設定を適用する

この設定では、macOS または Windows デバイスで、Gateway エージェントが起動したときに、エージェントで仕事モードを有効にするかどうかを指定します。このポリシー設定は、エージェントの［仕事モードを自動的に有効化］設定よりも優先されます。

この機能は、次のデバイスでサポートされています。

• Gateway エージェント：macOS 2.7 以降向け。
• Gateway エージェント（Windows 2.7 以降向け）  

仕事モードを自動的に有効化

この設定では、Gateway エージェントの起動時に仕事モードが自動的に有効になりますが、エージェント起動後にユーザーが手動で仕事モードを有効または無効にすることもできます。Windows デバイスに対してこの設定と［ユーザーのサインイン時に Gateway を自動的に起動する］の両方を有効にすると、エージェントは起動時にシステムトレイ内で最小化されます。

この設定は、［仕事モードを自動的に有効化］が有効になっている場合にのみ有効です。

トンネル使用

アプリごとのトンネル

この設定では、Gateway クラウドサービスにトンネル経由でデータを送信できるアプリを指定します。許可されたアプリまたは制限されたアプリリストのいずれかを使用して、アプリごとのトンネルを設定できます。たとえば、［許可されたアプリ］オプションを選択してトンネルを使用できるアプリを指定してから、オプションを［制限対象アプリ］に変更すると、リストされたアプリではトンネルを使用できなくなります。 

次のオプションを使用できます。

• トンネルを使用するアプリを指定するには、［許可されたアプリ］を選択します。他のアプリはトンネルを使用できません。システムアプリと Windows DNS は常にトンネルを使用します。このオプションを選択すると、設定された ACL ルールまたはネットワークアクセス制御ポリシーが適用されます。ACL ルールおよびネットワークアクセス制御ポリシーの詳細については、「ネットワークアクセスの制御」を参照してください。
• トンネルを使用できないアプリを指定するには、［制限対象アプリ］を選択します。他のすべてのアプリはトンネルを使用できます。
• をクリックして、デスクトップアプリのフルパスを入力、パスにワイルドカードを含める、またはストアアプリの Windows パッケージファミリー名（PFN）を追加します。最大 200 のアプリケーションパスまたは PFN を組み合わせて指定できます。
  パスにワイルドカードを含める場合は、次の点を考慮してください。

  • パスごとに含めることができるワイルドカードは 1 つだけです。サポートされている形式は \*\ です（例：%ProgramFiles%\フォルダ名\*\アプリケーション名.exe）
  • 次の場合、ワイルドカードはサポートされません。
    • 環境変数の代わりに使用する場合
    • パス内のルートディレクトリの代わりに使用する場合
    • ディレクトリ名の一部に使用する場合（例：「C:\Win*\notepad.exe」）。
    • 実行可能ファイル名で使用する場合（例：「C:\Windows\*.exe」）。

  ワイルドカードは、Windows 2.7 以降向けの Gateway エージェントを実行している Windows デバイスでサポートされています。

この機能は、次のデバイスでサポートされています。

• Gateway Windows 2.0.0.13 以降向け。
• Android または Chromebook デバイスユーザー（Aurora Protect Mobile アプリを実行）。

アプリにトンネルの使用を強制

この設定では、すべての非ループバック接続がトンネルを使用する必要があります。このオプションを選択し、分割トンネルを有効にした場合、すべてのトラフィックがトンネルを使用します。Windows デバイスでは、このオプションを選択して分割トンネルを有効にしている場合、トンネルを使用しない接続は予期したとおりに機能しない可能性があります。この機能は、次のデバイスでサポートされています。

• macOS 10.15 以降および Gateway for macOS 2.0.17 以降を実行している管理対象外の macOS デバイス。
• iOS 14.0 以降および Aurora Protect Mobile アプリ 2.4.0.1731 以降を実行している管理対象外の iOS デバイス。
• Windows デバイス：Gateway for Windows

アプリがローカルネットワークを使用することを許可

これを設定すると、トンネル使用を強制されているアプリがローカルネットワークの宛先に到達可能になります。この機能は、次のデバイスでサポートされています。

• macOS 10.15 以降および Gateway for macOS 2.0.17 以降を実行している管理対象外の macOS デバイス。
• iOS 14.2 以降および Aurora Protect Mobile アプリ 2.4.0.1731 以降を実行している管理対象外の iOS デバイス。 
• Windows デバイス（Gateway for Windows 2.5 以降を実行）。

この設定は、［アプリにトンネルの使用を強制］が有効になっている場合にのみ有効です。

制限されたアプリからのネットワークトラフィックをブロック

この設定では、トンネルを使用できないアプリからの非ループバックネットワーク接続をすべて禁止します。この設定を選択しない場合、制限されたアプリはデフォルトのネットワーク接続を使用できます。この機能は、Gateway for Windows エージェントを実行しているデバイスでサポートされています。

他のWindowsユーザーにトンネルの使用を許可

この設定では、同じ Windows デバイスを使用するすべてのユーザーがトンネルを使用できるように指定します。このオプションを選択すると、アプリごとのトンネル基準が適用されます。このオプションを選択しない場合、他の Windows ユーザーが実行するアプリは制限対象アプリとして扱われます。

受信接続を許可

この設定では、非トンネル、非ループバックインターフェイスからの受信 TCP 接続および UDP フローを許可するよう指定します。 Gateway では、トンネルを介して着信接続をルーティングしません。この機能は、Gateway for Windows エージェントを実行しているデバイスでサポートされています。

トンネルの再認証

トンネルの再認証

この設定では、トンネル確立前に必要なユーザーの認証頻度を指定します。

この機能を有効にした場合、Arctic Wolf では、［認証の再利用を許可］オプションを設定して、ユーザーの再認証が必要になるまでの期間を指定することが推奨されています。

この機能は、次のデバイスでサポートされています。

• Gateway for macOS 2.5 以降向け。
• Gateway for Windows 2.5 以降向け。

認証の再利用を許可

この設定を有効にすると、認証されてトンネルを確立したユーザーが再度の認証を必要とするまでの再利用期間を指定できます。再利用期間として設定可能な値は、最後の認証から 5 分から 365 日までの間です。たとえば、リセット期間を 10 日に設定した場合、トンネル確立前に必要なユーザーの再認証は、最初の認証から 10 日後になります。この設定はデフォルトで無効になっています。

この設定は［トンネルの再認証］が有効になっている場合にのみ有効です。

猶予期間

この設定では、トンネル接続の確立が接続の切断から 2 分以内に行われた場合、ユーザーは認証なしでトンネルを再接続できます。デフォルトでは、トンネルの再認証をオンにした場合、このオプションは有効になります。

この設定は［トンネルの再認証］が有効になっている場合にのみ有効です。

分割トンネル

分割トンネル

分割トンネルを有効にすると、宛先への接続でトンネルを使用するように指定しない限り、許可されたパブリックの宛先への接続はトンネルおよび Gateway クラウドサービスをバイパスします。分割トンネルを有効にし、分割 DNS を有効にしなかった場合、トラフィックがパブリックの宛先にルーティングされる前に、設定されている ACL ルールに照らしてすべての DNS クエリが評価され、ネットワークアクセス制御が適用されます。ソース IP のピン設定を使用している場合、ソース IP ピン設定用に設定されたすべての宛先でトンネルを使用する必要があります。

トンネリング設定または着信接続に変更を加えた場合、その変更を適用するには、Windows および macOS デバイスにインストールされている Gateway エージェント、または iOS、Android、および 64 ビット Chromebook デバイスにインストールされている Aurora Protect Mobile アプリの仕事モードを無効にしてから有効にする必要があります。

分割 DNS

この設定を有効にすると、［プライベートネットワーク］ > ［DNS］ > ［前方ルックアップゾーン］設定にリストされているドメインの DNS ルックアップを、ネットワークアクセスコントロールが適用されているトンネルを介して実行できます。その他の DNS ルックアップはすべて、ローカル DNS を使用して実行されます。セーフモードを有効にした場合、Gateway トンネルを使用しない DNS トラフィックはセーフモードで保護されます。分割 DNS はデフォルトで無効になっています。

Android および 64 ビットの Chromebook デバイスでは、分割 DNS トンネルがサポートされていないため、アクセス制御が適用されているトンネルが使用されます。

この設定は［分割トンネル］が有効になっている場合にのみ有効です。