Transport Layer Security(TLS)インスペクション(SSL インスペクションとも呼ばれる)は、サードパーティのウェブフィルタによって提供されるセキュリティ機能です。これを利用してウェブフィルタを設定することで、オンラインの脅威を検出できるようになります。
ヒント: ユーザーが問題なくウェブサイトにアクセスできるように、TLS インスペクションの設定は導入の初期段階に行ってください。
ご利用の前に
TLS インスペクションを設定する際は、以下の点にご注意ください。
- ウェブフィルタのプロバイダからの TLS 証明書(SSL 証明書)が必要となります。証明書の取得については、プロバイダにご確認ください。DER でエンコードされた証明書はサポートされていません。ChromeOS デバイスは、PEM 形式にのみ対応しています。一般的なプロバイダをご利用の場合は、「Zscaler に対応するように ChromeOS デバイスを設定する」と「Barracuda を使用した Chromebook の設定方法」をご覧ください。
- プロキシ接続を介してウェブ トラフィックをウェブフィルタに送信する必要があります。透過型(インライン)プロキシはサポートされていませんが、ご利用になる場合は、google.com へのすべてのリクエストを TLS インスペクションなしで通過させるために、*.google.com を許可リストに登録します。ただし、この設定はサポートされていません。詳しくは透過型プロキシについてをご覧ください。
- Server Name Indication(SNI)は現在サポートされていませんが、この機能に関するリクエストがあげられています。
- TLS インスペクションが有効になっている場合、ユーザーはマルチログイン アクセスを利用できません。
透過型プロキシ
透過型プロキシについて透過型(インライン)プロキシは、TLS 証明書(SSL 証明書)を確認し、要求された URL を許可します。ほとんどの場合、TLS 証明書に関連付けられたドメイン名(コモンネーム)は、要求されている URL と一致します。プロキシはコモンネームと URL 許可リストを比較してトラフィックを許可するかどうかを決めます。ただし、多くの大規模な組織はワイルドカード TLS 証明書(コモンネームに URL を明確に指定しない証明書)を購入しています。たとえば Google では、ChromeOS デバイスの動作に必要な多くの URL のコモンネームとして、*.google.com を利用しています。
証明書情報は以下のようなものになります。
透過型プロキシが動作するためには、*.google.com を URL 許可リストに登録して *.google.com へのトラフィックをすべて許可する必要があります。Chrome の現在のセキュリティ機能によりこの設定はサポートされていないため、透過型プロキシは利用しないことをおすすめします。