※ 2022 年 12 月 7 日現在の情報をもとに作成しています
1. はじめに
Web ポリシー使用時の Web アクセス障害に対応するための除外設定として、選択的復号リストと外部ドメインの 2 種類が用意されています。本記事では、それぞれの概要と具体的な違いについて解説します。
※ Web ポリシーを利用するには、SIG または SIG 相当のサブスクリプションが必要です
2. 選択的復号リストとは
選択的復号リストとは、SWG (Secure Web Gateway) によって HTTPS 暗号化通信を復号し、中身を検査する設定 (HTTPS 検査) を有効にしている場合において、その復号対象から外すドメイン、カテゴリ、アプリケーションを指定するためのリストです。
(設定例)
ドメイン => example.com
カテゴリ => Social Networking
アプリケーション => Cisco Webex
この場合、ユーザーが example.com、Social Networking に該当するサイト (Twitter など)、Cisco Webex にアクセスした際、SWG にて HTTPS 暗号化通信が復号されません。
選択的復号リストを使う主なシーンとしては、HTTPS 復号をすることで通信に影響が出る場合 (ひいてはアクセスに失敗する場合) の回避策として挙げられます。
SWG を含む一般的なプロキシ サーバーは、ユーザーからの HTTPS リクエストを復号した後、今度は自身がクライアント側となり、Web サーバーに対して新たに HTTPS 暗号化通信を開始します。
一部の Web サイトにおいては、そういった処理がなされた際に、応答として何らかのエラーを返したり、正常ではない結果を返す場合があります。そのような可能性が考えられる場合には、選択的復号リストは有効な回避手段となりえます。
なお、選択的復号リストの具体的な設定方法についてはこちらの記事を参照してください。
3. 外部ドメインとは
外部ドメインとは、SWG の検査対象から外すドメインをリスト化したものです。見方を変えると、外部ドメイン内に指定したドメインへの HTTP/HTTPS 通信は SWG を経由しなくなります。
外部ドメインを使う主なシーンとしては、Web サーバー側でアクセスする IP アドレスを制限しており、SWG を経由したアクセスを避けたい場合が挙げられます。
それ以外では、SWG に何らかの問題が発生していると推察される場合に、切り分けとして通信経路から SWG を完全に外す際にも使われます。
ただし、外部ドメインは「送り元から SWG へ送信させない機能」であるため、実際の除外処理を送り元にて行ってもらう必要があるという制限事項があります。そのため、SWG の導入方法によっては、外部ドメインの機能そのものを利用できません。
以下の表は、各 SWG の導入方法における外部ドメイン利用可否とその理由をまとめたものです。
導入方法
|
可否
|
理由
|
AnyConnect
|
〇
|
AnyConnect がクラウドからあらかじめリストをダウンロードし、Web アクセスの際に AnyConnect がその内容に従って除外を行えるため
|
PAC ファイル
|
〇
|
クラウド上に保存されている PAC ファイル内に対象のドメインを追記しておくことで、Web アクセスの際に Web ブラウザが PAC ファイルの内容に従って除外を行えるため
|
Proxy Chaining
|
×
|
送り元である前段のプロキシ サーバー側で除外をする必要があるが、Umbrella 側からリストを渡す方法がないため
|
Network Tunnel
|
×
|
送り元であるルーター側で除外をする必要があるが、Umbrella 側からリストを渡す方法がないため
|
※ AnyConnect は、クライアント アプリケーションとしての優位性により、ドメインだけでなく、IP や CIDR も除外対象として指定することが可能です
つまり、Proxy Chaining や Network Tunnel においては、Umbrella Dashboard の導入 > ドメイン管理の「外部ドメイン & IPs」画面でドメインを指定しても、実際の通信には一切の影響がありません。これらの環境で除外を行いたい場合は、送り元の機器側で除外を行うよう設定する必要があります。
なお、外部ドメインと似た名前の機能として「内部ドメイン」がありますが、それぞれの違いについてはこちらの記事を参照してください。
4. 両者の違い
Web サイトとの HTTPS 通信に問題がある際に、多くの場合において、どちらの方法でも問題を回避できる可能性があります。
それぞれ以下のような利点と欠点がありますが、どちらを優先して使用するかを考えた場合、レポートにアクセス ログが記録される選択的復号リストを優先的に使うことをお勧めします。
(選択的復号リスト)
- Umbrella Dashboard のレポートに記録される (ただし、HTTP 内部の情報は含まない)
- どの SWG の導入方法でも使える
- IP アドレスによるアクセス制限を受けている場合に有効な方法とはならない
- 万が一、SWG そのものに何かしらの異常がある場合、問題を回避できない可能性がある
- HTTP 平文通信に影響がない
- ドメイン以外にもカテゴリやアプリケーションを指定できる
(外部ドメイン)
- Umbrella Dashboard のレポートにログが記録されない
- Proxy Chaining や Network Tunnel では利用できない
- IP アドレスによるアクセス制限を受けている場合に有効な可能性がある
- SWG を完全に迂回できる
- HTTP 平文通信についても有効
- ドメイン以外にも IP アドレスや CIDR を指定できる (AnyConnect 限定)