適用対象: FireCloud インターネット アクセス
FireCloud は、クラウドベースの管理対象 FWaaS (Firewall-as-a-Service) です。FireCloud により、インターネットベースのセキュリティ脅威からリモート ユーザーを保護することができます。
FireCloud では、以下のセキュリティ設定を構成して、ユーザーを保護することが可能となります。
コンテンツ スキャン
スキャン エンジンを使用することで、スパイウェア、ウイルス、悪質なアプリケーション、スパム メール、およびデータ漏洩を防ぐことができます。FireCloud では、以下のサービスにより、コンテンツ スキャンを有効化することができます。
- Gateway AntiVirus — ユーザーをウイルスから保護することができます。ウイルスが検出された場合、エラーが発生した場合、スキャンされたコンテンツがファイル サイズの制限 (10 MB) を超えている場合、またはスキャンされたコンテンツが暗号化されている場合に接続が切断されるように Gateway AntiVirus のアクションを構成することができます。接続の送信元には情報は一切送信されません。
- APT Blocker — APT (高度な持続的脅威) マルウェアの特性と動作を特定することができます。 ネットワーク内に侵入したファイルやメール添付ファイル内のマルウェアの特性や動作を特定することができます。また、脅威レベル (高、中、低) に基づき、接続がドロップされるように APT Blocker を構成することができます。
ネットワーク ブロック
FireCloud を使用することで、ボットネット、スパイウェア、SQL インジェクション、クロスサイト スクリプティング、およびバッファ オーバーフローなどの一般的なセキュリティ上の脅威を監視し、ブロックすることができます。FireCloud では、以下のサービスにより、ネットワーク ブロックを構成することができます。
- Botnet Detection — 既知のボットネット サイトの IP アドレスのリストが、ブロックされたサイト リストに追加されます。これにより、FireCloud でこうしたサイトをパケット レベルでブロックすることが可能となります。
- Intrusion Prevention Service (IPS) — 署名を使用して、スパイウェア、SQL インジェクション、クロスサイト スクリプティング、バッファ オーバーフローなどのネットワーク攻撃からのリアルタイムの保護を実装することができます。IPS で脅威が検出された際に実行するアクションおよび使用するスキャン モードを指定することができます。
地理位置情報
セキュリティ サービスである Geolocation により、保護対象デバイスとの間で発生した接続の地理位置情報を FireCloud で検出できるようになります。Geolocation を有効化および構成することで、特定の場所へのアクセスまたは特定の場所からのアクセスをブロックすることができます。
コンテンツ フィルタリング
コンテンツ フィルタリングでは、WebBlocker と Application Control のセキュリティ サービスを使用して、特定のコンテンツ カテゴリやアプリケーションをブロックします。
- WebBlocker — ユーザーが利用できる Web サイトを制御することができます。WebBlocker では、Web サイトのアドレスがコンテンツ カテゴリにグループ化されるデータベースが使用されます。ユーザーが Web サイトへの接続を試みると、FireCloud では WebBlocker データベースでアドレスが検索され、コンテンツ カテゴリに指定されているアクションが実行されます。
- Application Control — アプリケーションの使用を監視および制御することができます。Application Control では、1,000 以上のアプリケーションを特定およびブロックできる 1,800 以上の署名が使用されます。Application Control を使用して、特定のアプリケーションの使用をブロックすることが可能です。アプリケーションによっては、ファイル転送など、アプリケーションの特定の動作をブロックできます。
FireCloud では、既定ですべてのセキュリティ サービスが既定構成として有効化されており、既定の アクセス ルールも設定されています。 ユーザー トラフィックに適用されるセキュリティ サービスを処理するために、既定のアクセス ルールが設定されています。つまり、アイデンティティ プロバイダを設定すれば、すぐに FireCloud を配備して使用できるようになるということです。
WatchGuard Cloud プラットフォームで FireCloud を構成します。エンド ユーザーは、WatchGuard Connection Manager を使用してサービスに接続します。エンド ユーザーは FireCloud に接続している間は保護が適用されるため、安全にコンピュータを使用すること、またインターネットを閲覧することができます。
使用を開始する前に、以下のような FireCloud 関連の重要な用語を理解することが勧められます。
WatchGuard Connection Manager
Connection Manager は、エンド ユーザーのコンピュータにインストールするエージェントです。エンド ユーザーは、Connection Manager を使用して FireCloud に接続します。
WatchGuard エージェント
WatchGuard エージェントにより、同じネットワークにある管理対象コンピュータと WatchGuard サーバー間の通信が処理されます。エージェントは、各 Endpoint またはコンピュータにインストールされます。これは、WatchGuard Connection Manager や Endpoint Security ソフトウェアなどの WatchGuard ソフトウェアを配備するために使用されます。これによる CPU、メモリ、帯域幅の使用量は低く、使用されるデータは 1 日 2 MB 未満に過ぎません。
FireCloud UI から Connection Manager インストーラをダウンロードすると、WatchGuard エージェントがダウンロードされます。
PoP
PoP (ポイント オブ プレゼンス) とは、ユーザーからインターネットへの接続が行われる物理的な場所を指しています。FireCloud に接続している状態では、最も近い WatchGuard PoP を経由して、デバイスからのデータがルーティングされます。
アイデンティティ プロバイダ
アイデンティティ プロバイダは、FireCloud のユーザーとグループを管理および認証するために使用する外部システムです。AuthPoint、Microsoft Entra ID (Azure Active Directory)、Okta など、SAML がサポートされている任意のアイデンティティ プロバイダを使用することができます。
WatchGuard Cloud Directory
WatchGuard Cloud Directory は、ディレクトリとドメイン サービス内の認証ドメインです。ここで、WatchGuard Cloud でホストするユーザーとグループを追加することができます。そうすれば、WatchGuard Cloud Directory のユーザーとグループを FireCloud などの製品で使用できるようになります。
FireCloud ユーザーとグループの認証に、アイデンティティ プロバイダの代わりとして、WatchGuard Cloud Directory を使用することができます。
FireCloud ライセンス
FireCloud を使用するには、WatchGuard アカウントで FireCloud ライセンスをアクティブ化する必要、または Service Provider に連絡する必要があります。FireCloud ライセンスによって、FireCloud サービスを使用できるユーザー数が決まります。
FireCloud ライセンス キーをアクティブ化すると、ユーザー ライセンスが WatchGuard Cloud のアカウントに追加されます。Service Provider の場合は、ユーザー ライセンスが WatchGuard Cloud インベントリに追加されます。WatchGuard Cloud で自身が管理するアカウントに FireCloud ユーザー ライセンスを割り当てることができます。
詳細については、次を参照してください:FireCloud ライセンスについて。
使用を開始する
FireCloud の使用を開始する際に、以下のヘルプ トピックを参照してください。