購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
8148
閲覧回数
0
いいね!
0
コメント

Umbrella: PAC ファイルを用いた SWG の導入について

tkitahar
Cisco Employee
Cisco Employee

‎2020-05-28 06:10 PM ‎2025-04-29 09:42 PM 更新

 

※ 2025 年 4 29 日現在の情報をもとに作成しています

 

1. はじめに

 

SWG (Secure Web Gateway) は、クラウド上に実装された Web プロキシ サーバーを提供する Umbrella の機能です。組織に SWG を導入するには、現在以下の方法がありますが、本記事では、その中の PAC ファイルを用いた方法について紹介します。

 

  • PAC ファイルによる導入
  • Proxy Chaining による導入
  • Cisco Secure Client (旧 AnyConnect) による導入
  • ネットワークトンネルによる導入 (CDFW と連携)

 

Manage Umbrella's PAC File

https://docs.umbrella.com/umbrella-user-guide/docs/manage-umbrellas-pac-file

 

2. SWG と SIG について

 

SWG について触れる前に、まずは SIG (Secure Internet Gateway) という用語について説明します。

 

SWG SIG はどちらも「セキュア (Secure) なゲートウェイ (Gateway)」という単語が使われていますが、SWG Web プロキシの役割にフォーカスしているのに対し、SIG はもっと広い意味合いのインターネット (Internet) 全般を守るゲートウェイの役割を持ちます。

 

そのため、SWG SIG の一部となっています。具体的には、SIG SWG CDFW (Cloud-Delivered Firewall) の 2 つの機能から成ります。

 

CDFW はネットワークトンネル経由で送られた通信を保護するクラウド上のファイアウォールです。詳細については以下の公開文書を参照してください。

 

Manage Firewall

https://docs.umbrella.com/umbrella-user-guide/docs/manage-firewall

 

なお、SIG の機能を利用するには、SIG Essentials などの SIG に対応したサブスクリプション契約が必要です。

 

3. PAC ファイルについて

 

PAC ファイルは、プロキシを使用するか否か、使用するならどのプロキシを使用するかなど、プロキシの動作を決定するスクリプト (JavaScript) が記載されたファイルのことで、OS Web ブラウザのプロキシの設定画面で PAC ファイルの場所を指定します。

 

この設定を行うと、実際の Web 通信に先立って PAC ファイルのダウンロードが行われ、ファイル内のスクリプトの記述に従ってプロキシの動作が決定します。

 

なお、PAC ファイルには、ローカル PC 内に保存されたファイルを指定する方法と、URL 形式で指定する方法がありますが、Umbrella では前者の方法を推奨していません。

 

4. 導入方法

 

最初に、各組織専用の PAC ファイルの URL Umbrella ダッシュボードの「ポリシー」>「管理」>「Web ポリシー」から入手します。

 

※ 有効なサブスクリプション契約がない場合、「[Web ポリシー」の項目が表示されません

 

「Web ポリシー」画面を開いたら、画面右上の「グローバル設定」をクリックし、下にスクロールしたところにある「PACファイル」から URL をコピーできます。ここに記載されている URL は基本的に以下のような形式になっています。

 

https://proxy.prod.pac.swg.umbrella.com/<32 文字の英数字>/proxy.pac

 

次に、この URL OS Web ブラウザのプロキシの設定画面で指定します。メジャーなベンダー製品の具体的な設定箇所については、以下の公開文書で説明していますが、設定画面が実際のものと異なっている場合は、各ベンダーの最新情報を確認してください。

 

Deploy Umbrella's PAC File for Windows

https://docs.umbrella.com/umbrella-user-guide/docs/deploy-umbrellas-pac-file-for-windows

 

Deploy Umbrella's PAC File for Mac

https://docs.umbrella.com/umbrella-user-guide/docs/deploy-umbrellas-pac-file-for-mac

 

以上で PAC ファイルの設定そのものは完了ですが、Umbrella では PAC ファイルが第三者に使用されることを防ぐため、ダウンロードに制限をかけています。

 

具体的には、以下のいずれかの条件を満たさないと、ユーザーは PAC ファイルをダウンロードできず、SWG を使用できません。

 

  • Umbrella ダッシュボード の「導入」>「コアアイデンティティ」>「ネットワーク」に登録したグローバル IP アドレス経由で Web 通信を行う
  • Umbrella ダッシュボードの「導入」>「コアアイデンティティ」>「ネットワークトンネル」に登録したネットワークトンネル経由で Web 通信を行う
  • Umbrella ダッシュボードの「導入」>「コアアイデンティティ」>「ローミングコンピュータ」に登録したバージョン 5.1.8 以上の Cisco Secure Client を使って Web 通信を行う

 

以上により、PAC ファイルが正常にダウンロードされると、Web 通信が下図のような流れになります。

 

pic.png 

 

なお、設定完了後に行われた各 Web 通信は、Umbrella ダッシュボードの「レポート」>「コアレポート」>「アクティビティ検索」に記録され、設定したアイデンティティが表示されます。

 

5. PAC ファイルをカスタマイズする方法

 

各組織専用の PAC ファイルは Umbrella が用意したものですが、このファイルに対して SWG への転送を除外するドメインをカスタマイズすることができます。

 

SWG への転送を除外するドメインは、そのままの状態だと、Umbrella ダッシュボードの「導入」>「設定」>「ドメイン管理」の内部/外部ドメインで指定したものが使われますが、一部の端末だけ除外対象を変えたい場合などにカスタマイズした PAC ファイルを用意します。

 

※ 除外ドメイン以外のスクリプトの箇所を修正すると、ユーザーの通信に悪影響を与える懸念があり、Umbrella ではサポートをしていません

 

PAC ファイルの詳しいカスタマイズ方法については、以下の公開文書を参考にしてください。

 

Customize Umbrella's PAC File

https://docs.umbrella.com/umbrella-user-guide/docs/customize-umbrellas-pac-file

 

なお、カスタマイズした PAC ファイルは、組織が用意した Web サーバーに保存してもいいですし、Umbrella 側にアップロードすることもできます。カスタマイズした PAC ファイルのアップロードに関する詳しい情報は、以下の公開文書を参照してください。

 

Upload Custom PAC Files to Umbrella

https://docs.umbrella.com/umbrella-user-guide/docs/upload-custom-pac-files-to-umbrella

 

※ アップロードした PAC ファイルには、その後に行った内部/外部ドメインの追加/変更/削除は反映されません

ラベル:
0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents