Kaspersky Security for Virtualization 5.2 Light Agent
5.2
日本語‪(日本)

目次

セキュアな接続のスキャン

Kaspersky Security では、TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 プロトコルを使用しているセキュアな接続で転送されるトラフィックをスキャンできます。

TLS 1.3 プロトコルで Encrypted SNI 技術が使用されている場合、本製品は TLS 1.3 プロトコルを使用して暗号化された接続で転送されるトラフィックは監視しません。

本製品は、SSL 2.0 プロトコルを使用して暗号化された接続で転送されるトラフィックは監視しません。

既定では、Kaspersky Security はセキュアな接続経由で送受信されるトラフィックを監視し、トラフィックを復号してメールアンチウイルス、ウェブアンチウイルス、ウェブコントロールでスキャンします。Kaspersky Security は、指定した設定に従ってトラフィックを処理します。

セキュアな接続のスキャンをオフにしている場合、本製品の機能が次のように制限されます:

  • メールアンチウイルスで、データを暗号化して転送するプロトコルを使用して送受信されるメッセージがスキャンされません。
  • ウェブアンチウイルスで、暗号化された接続を使用してアクセスされた Web ページやファイルがスキャンされません。
  • 暗号化された接続を使用してアクセスされる Web リソースの監視中に、ウェブコントロールで、コンテンツフィルターを使用するアクセスルールが適用されません。

暗号化された接続のスキャンでエラーが発生した場合、Web リソースとの接続が切断されます。既定では、Kaspersky Security は該当する Web リソースのドメイン名を、セキュアな接続をスキャンする時にスキャンエラーが発生するドメインのリストに追加します。このリストに含まれるドメインに属するすべての Web リソースは、セキュアな接続のスキャンから除外されます。このドメインの Web リソースへのアクセスが今後試行された場合、Kaspersky Security は接続の確立を許可し、トラフィックの復号化、スキャンは実行しません。セキュアな接続のスキャンエラーが検出された場合の Kaspersky Security による処理オプションを指定できます。

トラフィックの復号時に、Kaspersky Security は Web リソースの証明書と、確立しようとしているセキュアな接続を検証します。既定では、証明書のエラーが検知された場合でも、Kaspersky Security は Web リソースとの接続の確立を許可します。ただし、その接続がブラウザー経由の場合、証明書エラーの警告メッセージが画面に表示されます。Web リソースの証明書エラーが検出された場合の Kaspersky Security による処理オプションを指定できます。

Kaspersky Security では、セキュアな接続のスキャンからの事前定義の除外リストに含まれているセキュアな接続はスキャンしません。事前定義の除外リストはカスペルスキーのエキスパートによって作成され、Kaspersky Security の配布キットに含まれており、定義データベースのアップデートと同時に自動的にアップデートされます。Light Agent for Windows のローカルインターフェイスで、事前定義の除外リストを表示できます。

さらに、セキュアな接続のスキャンでは次の除外リストを編集できます:

  • 信頼するドメインの Web リソースの除外:Kaspersky Security では、信頼するドメインのリストに追加されたドメインの Web リソースに対して確立されている暗号化された接続については、トラフィックの復号と Web リソースの証明書のスキャンを行いません。
  • 信頼するアプリケーションの除外:Kaspersky Security では、暗号化されたトラフィックのスキャンから除外するように設定されているアプリケーションが確立した暗号化された接続については、トラフィックの復号と Web リソースの証明書のスキャンを行いません。

セキュアな接続のスキャンでは、カスペルスキーの証明書が使用されます。この証明書は、Kaspersky Security がインストールされた保護対象仮想マシンで、信頼する証明書の保管領域に自動的にインストールされ、本製品のアンインストール時に削除されます。

保護対象仮想マシンでは、Kaspersky Security によって Mozilla Firefox ブラウザーの設定が変更され、信頼する証明書のシステム側の保管領域をブラウザーで使用するように設定されます。

このセクションの内容:

セキュアな接続のスキャンの有効化と無効化

事前定義された除外リストの表示

セキュアな接続のスキャンの設定

セキュアな接続のスキャンからの Web リソースの除外

セキュアな接続のスキャンからのアプリケーションの除外
ページのトップに戻る
[Topic 94974]

セキュアな接続のスキャンの有効化と無効化

既定では、保護された接続のスキャンは有効になっており、カスペルスキーのエキスパートが推奨するモードで実行されています。必要に応じて、セキュアな接続のスキャンを無効にすることもできます。

Kaspersky Security Center を使用し、セキュアな接続のスキャンを有効または無効にするには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. ポリシーのプロパティウィンドウで、左のリストから[ネットワークトラフィックモニター]セクションを選択します。
  6. ウィンドウの右側にある[セキュアな接続のスキャン]セクションで、次のいずれかを実行します:
    • Kaspersky Security コンポーネントに、セキュアな接続を介して送信されるトラフィックをスキャンさせたい場合は、[セキュアな接続をスキャンする]をオンにします。
    • セキュアな接続で転送されるトラフィックを復号せず、スキャン対象に含めない場合は、[セキュアな接続をスキャンする]をオフにします。
  7. 適用]をクリックします。

ローカルインターフェイスでセキュアな接続のスキャンを有効または無効にするには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[その他の設定]セクションで、[ネットワークトラフィックモニター]を選択します。

    ウィンドウの右側に、ネットワークポートの監視の設定とセキュアな接続のスキャンの設定が表示されます。

    ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

  3. 前の手順のステップ 6 を実行します。
  4. 変更内容を保存するには[保存]をクリックします。
ページのトップに戻る
[Topic 131668]

事前定義された除外リストの表示

事前定義された除外リストには、アプリケーションとドメインに属する Web リソースとの間で確立できる接続が含まれています。これらの接続のトラフィックは復号できないため、セキュアな接続のスキャンからこれらの接続は除外されます。

Light Agent for Windows のローカルインターフェイスで、セキュアな接続のスキャンからの事前定義の除外リストを表示できます。リストはカスペルスキーのエキスパートによって作成されており、定義データベースのアップデートと同時に自動的にアップデートされます。

セキュアな接続のスキャンからの事前定義の除外リストを表示するには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[その他の設定]セクションで、[ネットワークトラフィックモニター]を選択します。

    ウィンドウの右側に、ネットワークポートの監視の設定とセキュアな接続のスキャンの設定が表示されます。

  3. セキュアな接続のスキャン]セクションで、リンクをクリックすると、[セキュアな接続のスキャンの除外リスト]ウィンドウが表示されます。

リストに含まれる接続は、次の条件項目で指定されています:

  • 接続の確立先のドメイン:ドメインの指定では、マスクも使用できます。マスクとして指定する「*」記号はゼロ文字以上の文字を含むすべての文字列を置き換えます。ドメインの指定がないか、「*」というマスクのみが[ドメイン]列で指定されいる場合、すべてのドメインとの接続がスキャンから除外されます。
  • 接続を確立するプログラムの実行ファイル名:プログラムを指定しなかった場合、実行ファイル名にかかわらず、その他の条件に合致するすべてのプログラムで開始された接続がスキャンから除外されます。
  • 接続を確立するプログラムの発行元:発行元を指定しなかった場合、発行元にかかわらず、その他の条件に合致するすべてのプログラムで開始された接続がスキャンから除外されます。
  • 接続を確立するプログラムのデジタル署名の所有者:デジタル署名の所有者を指定しなかった場合、デジタル署名にかかわらず、その他の条件に合致するすべてのプログラムで開始された接続がスキャンから除外されます。
ページのトップに戻る
[Topic 131669]

セキュアな接続のスキャンの設定

Kaspersky Security Center を使用するか Light Agent for Windows のローカルインターフェイスを使用して、セキュアな接続のスキャン設定を編集できます。

Kaspersky Security Center でセキュアな接続のスキャン設定を編集するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. ポリシーのプロパティウィンドウで、左のリストから[ネットワークトラフィックモニター]セクションを選択します。
  6. ウィンドウの右側にある[セキュアな接続のスキャン]セクションで、[スキャンの設定]をクリックします。
  7. 表示される[セキュアな接続のスキャンの設定]ウィンドウで、Web リソースの証明書エラーの発生時に Kaspersky Security が実行する動作を選択します:
    • 許可。Kaspersky Security は Web リソースとの接続の確立を許可します。

      ブラウザー経由の接続で、証明書エラーの発生している Web リソースへのアクセスを試行している場合、その Web サイトへのアクセスが推奨されないという警告と検出された証明書エラーの説明とが記載された HTML ページが表示されます。この HTML ページ上のリンクをクリックすると、アクセスしようとしていた Web サイトに移動できます。このリンクをクリックしてから 1 時間の間は、この Web サイトまたは同じドメイン内の別の Web リソースでの証明書エラーに関する警告を表示しなくなります。

      既定では、この動作が選択されます。

    • ブロック。Web リソースへのアクセスが Kaspersky Security によってブロックされます。

      ブラウザー経由の接続で、証明書エラーの発生している Web リソースへのアクセスを試行している場合、その Web サイトがブロックされたという警告と検出された証明書エラーの説明とが記載された HTML ページが表示されます。

  8. セキュアな接続のスキャンエラーが検出された場合に Kaspersky Security が実行する処理を選択します。
    • ドメインをスキャンから除外する:Web リソースのセキュアな接続のスキャンでエラーが発生した場合、Kaspersky Security はその Web リソースのドメインをセキュアな接続でのエラーとなるドメインのリストに追加します。このリストに含まれるドメインに属するすべての Web リソースは、セキュアな接続のスキャンから除外されます。このドメインの Web リソースへのアクセスが今後試行された場合、Kaspersky Security は接続の確立を許可し、トラフィックの復号化、スキャンは実行しません。

      既定では、この動作が選択されます。

      セキュアな接続をスキャンする時にスキャンエラーが発生するドメインのリストは、Light Agent for Windows のローカルインターフェイスの[セキュアな接続のスキャンの設定]で表示できます。

    • 接続を終了する:Web リソースのセキュアな接続のスキャンでエラーが発生した場合、Kaspersky Security はこの Web リソースに対する以後の接続試行をすべてブロックします。

      接続を終了する]処理をオンにした場合、セキュアな接続をスキャンする時にスキャンエラーが発生するドメインのリストにこれまでに追加されたすべてのドメインは自動的にリストから削除されます。

  9. TLS 1.0、SSL 2.0、SSL 3.0 プロトコルを使用して確立されたネットワーク接続をブロックする場合、[TLS 1.0、SSL 2.0、SSL 3.0 接続をブロックする (推奨)]をオンにします。

    既定では、TLS 1.0、SSL 2.0、SSL 3.0 プロトコルを使用して確立されたネットワーク接続は Kaspersky Security によってブロックされません。この場合、TLS 1.0 と SSL 3.0 プロトコルを使用して確立された接続で転送されるネットワークトラフィックは Kaspersky Security によって監視されます。SSL 2.0 プロトコルを使用して転送されるネットワークトラフィックは監視されません。

    TLS 1.0、SSL 2.0、SSL 3.0 プロトコルには、データ転送のセキュリティに影響する既知の脆弱性があります。

  10. セキュアな接続のスキャンの設定]ウィンドウで、[OK]をクリックします。
  11. 適用]をクリックします。

ローカルインターフェイスから、セキュアな接続のスキャン設定を編集するには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[その他の設定]セクションで、[ネットワークトラフィックモニター]を選択します。

    ウィンドウの右側に、ネットワークポートの監視の設定とセキュアな接続のスキャンの設定が表示されます。

    ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

  3. 前述の手順のうち、ステップ 6 ~ 10 を実行します。

    セキュアな接続のスキャンの設定]ウィンドウの[スキャンエラーが発生したドメイン]をクリックすると、セキュアな接続をスキャンする時にスキャンエラーが発生するドメインのリストを表示できます。

  4. 変更内容を保存するには[保存]をクリックします。
ページのトップに戻る
[Topic 178748]

セキュアな接続のスキャンからの Web リソースの除外

信頼するドメインの Web リソースに対して、Kaspersky Security ではトラフィックを復号せず、セキュリティ証明書のチェックも行いません。Kaspersky Security Center を使用するか Light Agent for Windows のローカルインターフェイスを使用して、信頼するドメインのリストを作成できます。

Kaspersky Security Center を使用して信頼するドメインのリストを作成するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. ポリシーのプロパティウィンドウで、左のリストから[ネットワークトラフィックモニター]セクションを選択します。
  6. ウィンドウの右側にある[セキュアな接続のスキャン]セクションで、[信頼するドメイン]をクリックします。
  7. 表示される[信頼するドメイン]ウィンドウで、信頼するドメインのリストを設定します:
    • 信頼するドメインのリストにドメインを追加するには:
      1. 追加ボタンをクリックします。
      2. 表示される[ドメイン]ウィンドウで、名前、IP アドレス、IP アドレスの範囲(例:198.51.100.0/24)、またはドメインの URL を入力します。

        指定したドメインのサブドメインの Web リソースには、スキャンの除外は適用されません。セキュアな接続のスキャンからサブドメインの Web リソースも除外するには、「*.example.com」のような形式でドメインマスクを入力します。

      3. ドメイン]ウィンドウで[OK]をクリックします。
    • 信頼するドメインの名前またはアドレスを変更するには:
      1. リストからドメインを選択し、[編集]をクリックします。
      2. 表示される[ドメイン]ウィンドウで、ドメイン名、IP アドレス、IP アドレスの範囲(例:198.51.100.0/24)、またはドメインの URL またはドメインマスク(*.example.com の形式)を入力し、[OK]をクリックします。
    • 信頼するドメインのリストからドメインを削除するには、リストからドメインを選択し、[削除]をクリックします。
    • 信頼するドメインのリストから削除せずに、Web リソースのドメインをスキャンから除外するのを一時的にキャンセルするには、リスト内のドメインに隣接するチェックボックスをオフにします。既定では、このリストに追加されたドメインに属するすべての Web リソースは、セキュアな接続のスキャンから除外されます。
  8. 信頼するドメイン]ウィンドウで[OK]をクリックします。
  9. 適用]をクリックします。

ローカルインターフェイスで信頼するドメインのリストを作成するには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[その他の設定]セクションで、[ネットワークトラフィックモニター]を選択します。

    ウィンドウの右側に、ネットワークポートの監視の設定とセキュアな接続のスキャンの設定が表示されます。

    ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

  3. 前述の手順のうち、ステップ 6 ~ 8 を実行します。
  4. 変更内容を保存するには[保存]をクリックします。
ページのトップに戻る
[Topic 178749]

セキュアな接続のスキャンからのアプリケーションの除外

Kaspersky Security Center を使用するか Light Agent for Windows のローカルインターフェイスを使用して、セキュアな接続のスキャンからの除外リストを編集できます。

Kaspersky Security Center を使用して、セキュアな接続のスキャンからのアプリケーションの除外を設定するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. ポリシーのプロパティウィンドウで、左のリストから[ネットワークトラフィックモニター]セクションを選択します。
  6. ウィンドウの右側にある[セキュアな接続のスキャン]セクションで、[信頼するアプリケーション]をクリックします。
  7. 表示される[信頼ゾーン]ウィンドウの[信頼するアプリケーション]タブで、セキュアな接続のスキャンから除外するアプリケーションを次のいずれかの方法で選択します:
    • 信頼するアプリケーションのリストに含まれていないアプリケーションの場合、[追加]をクリックします。[アプリケーションの除外]ウィンドウで、アプリケーションの実行ファイルへのパスを指定します。
    • 信頼するアプリケーションのリストに含まれているアプリケーションの場合、選択して[編集]をクリックします。
  8. アプリケーションの除外]ウィンドウで、[ネットワークトラフィックをスキャンしない]チェックボックスとウィンドウの下部に表示されているリンクを使用して、対象のアプリケーションで送受信されるネットワークトラフィックのスキャンに関する設定を編集します。

    対象のアプリケーションで送受信されるネットワークトラフィックのスキャンに関する次の設定を編集できます:

    • すべてのトラフィックまたは暗号化されたトラフィックのみをスキャンから除外する。
    • 対象のアプリケーションで送受信されるトラフィックを、すべての IP アドレスについてまたは指定した IP アドレスについてスキャンから除外する。
    • 対象のアプリケーションで送受信されるトラフィックを、すべてのポートについてまたは指定したポートについてスキャンから除外する。

    これらの設定は、リンクをクリックして変更できます。

  9. アプリケーションの除外]ウィンドウで、[OK]をクリックします。
  10. 信頼ゾーン]ウィンドウで[OK]をクリックします。
  11. 適用]をクリックします。

ローカルインターフェイスを使用して、セキュアな接続のスキャンからのアプリケーションの除外を設定するには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[その他の設定]セクションで、[ネットワークトラフィックモニター]を選択します。

    ウィンドウの右側に、ネットワークポートの監視の設定とセキュアな接続のスキャンの設定が表示されます。

    ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

  3. 次のいずれかの方法で、セキュアな接続のスキャンからの除外を設定するアプリケーションを選択します:
    • 信頼するアプリケーションのリストに含まれていないアプリケーションの場合、[追加]をクリックし、コンテキストメニューのいずれかの項目を使用してアプリケーションを選択します。
    • 信頼するアプリケーションのリストに含まれているアプリケーションの場合、選択して[編集]をクリックします。
  4. アプリケーションの除外]ウィンドウで、[ネットワークトラフィックをスキャンしない]チェックボックスとウィンドウの下部に表示されているリンクを使用して、対象のアプリケーションで送受信されるネットワークトラフィックのスキャンに関する設定を編集します。

    対象のアプリケーションで送受信されるネットワークトラフィックのスキャンに関する次の設定を編集できます:

    • すべてのトラフィックまたは暗号化されたトラフィックのみをスキャンから除外する。
    • 対象のアプリケーションで送受信されるトラフィックを、すべての IP アドレスについてまたは指定した IP アドレスについてスキャンから除外する。
    • 対象のアプリケーションで送受信されるトラフィックを、すべてのポートについてまたは指定したポートについてスキャンから除外する。

    これらの設定は、リンクをクリックして変更できます。

  5. アプリケーションの除外]ウィンドウで、[OK]をクリックします。
  6. 信頼ゾーン]ウィンドウで[OK]をクリックします。
  7. 変更内容を保存するには[保存]をクリックします。
ページのトップに戻る
[Topic 145808]