メインコンテンツまでスキップ

ポリシー定義書

文書バージョン: v0.1

対象製品: SHIELD Gate
範囲: 業務システム制御(最上位) · アプリ条件付きポリシー · URL入力欄条件付きポリシー

SHIELD_Gate_ポリシー定義書_業務システム条件付きポリシー_v0.1.xlsx


0. ドキュメントの概要

  • この文書は SHIELD Gate業務システム 条件付きポリシーで管理者が設定できるポリシー項目を、項目別に何をして / ユーザーにどのように表示されるかまたはブロックされるか / 製品推奨値政策協議シートです。
  • 導入過程で顧客担当者は各項目の적용 정책列に採択値を記入して最終政策を確定します。

基本提供 vs オプション(別途導入)区分

次の項目は**基本提供機能ではなく、別途導入(オプション)**シエマンでのみ使用できます。表で[옵션]として表記します。

オプション項目内容
[옵션] SHIELD Viewerファイルをダウンロードせずに読み取り専用でプレビューするビューア
[옵션]SHIELDGate ファイルボックス (SHIELDrive)隔離環境ダウンロードファイルを保管する隔離ストレージ
[옵션]CDR 無害化ファイル無害化エンジン。CDRダウンロード使用時に必要

オプション未導入時は、該当のストレージ・検査オプションはポリシー画面に表示されず、選択不可となります。導入範囲は営業/構築担当と確定してください。


1. 条件付き政策の概要と適用原理

1.1 ポリシー 3階層構造

区分説明適用時のユーザー画面・動作備考
業務システム制御条件付きポリシー (最上位)アプリ·URL入力欄メニュー自体のアクセス許可の有無、同時画面数制限メニューがブロックされると、下位ポリシーに関係なくアクセス不可
アプリ条件付きポリシー登録したアプリごとのアクセス・隔離セキュリティポリシーアプリをクリックすると、ポリシーに従って接続・ブロック・認証されます対象 = アプリ / アプリグループ
URL入力欄 条件付きポリシーURL入力欄でアクセスするサイト別アクセス・隔離セキュリティポリシー住所入力・移動時のポリシーに従って接続・ブロック・認証対象 = すべてのサイト / 登録サイト・グループ / ウェブカテゴリ

⚠️ 最優先原則: 最上位制御ポリシーで許可されていないメニュー(アプリ/URL入力欄)は、下位条件付きポリシーをどれだけ設定してもユーザーがアクセスすることはできません。

1.2 優先順位の原則

項目説明備考
優先順位番号数字が小さいほど優先順位が高い (1 > 2 > 3 …)ドラッグアンドドロップ・クイック移動で調整
衝突処理同じ条件に複数のポリシーが適用される場合、最も制限的なポリシーが優先的に適用されます。例外ポリシーは高い優先度で配置されます
検索フィルターの状態検索フィルター適用中には優先順位変更不可変更時にフィルター全体解除が必要

1.3 政策評価の流れ

  1. ユーザー接続 (アプリクリックまたはURL入力)
  2. 最上位制御ポリシー判定 → メニューアクセス許可の有無·画面数の確認
  3. 構成員・条件(位置・時間・デバイス)判定 → 適用ポリシー確定
  4. アクセス ポリシーの実行 (許可 / ブロック / 追加認証)
  5. 使用ポリシー(隔離セキュリティポリシー)実行(キーボード・ファイル・クリップボードなど)
  6. 実行結果の反映およびログ記録

2. 業務システム制御条件付きポリシー (最上位)

構成員ごとにアクセス可能な業務システム(アプリ・URL入力欄)と同時に開くことができる画面数を制限する最優先制御ポリシー。

区分設定オプション説明適用時のユーザー画面・動作推奨ポリシー備考
ポリシー名テキストポリシー識別用のユニークな名前(重複不可)対象を識別可能に命名必須
構成員すべてのユーザー / ユーザー·グループ (割り当て·除外)ポリシー適用対象の指定割り当てられた構成員にのみ適用、除外者は未適用グループ単位'すべてのユーザー'は除外不可
対象業務システム — アプリ許可 / 不許可登録されたアプリのリストへのアクセス権限未許可の場合、アプリメニューに入れません業務必要グループ許可未許可時アプリ条件政策無効
対象業務システム — URL入力欄許可 / 不許可直接URL入力機能アクセス権限未許可の場合、URL入力欄は使用できません政策に従って決定未許可時 URL 条件付きポリシー無効
条件 — 位置制限なし / 登録位置接続IP基準ポリシー適用範囲条件外の位置は未適用社内・在宅分離検討管理センター [条件項目] 登録
条件 — 時間制限なし / 登録時間接続時間帯基準ポリシー適用範囲条件外の時間帯は適用されません業務時間帯の指定同一
条件 — デバイス制限なし / Desktop·Tablet·Mobile接続端末基準ポリシー適用範囲条件外デバイスは未適用業務端末限定検討同一
同時使用画面数制限なし / 最大 N 個(1 以上)同時閲覧可能な隔離ブラウザ画面数制限到達後、新しい画面を試みると「画面を開く制限案内」モーダルを表示(既存の画面を閉じて再試行)職群別の差異(下記の備考)リソース保護
使用の有無使用する / 使用しない政策の活性化の有無未使用時は動作しません使用する

3. 政策基本情報 (アプリ / URL入力欄共通)

区分設定オプション説明適用時のユーザー画面・動作推奨ポリシー備考
ポリシー名テキスト (最大 20文字)ポリシー識別用のユニークな名前対象・グレードを識別可能に命名必須
説明テキスト (最大 200文字)ポリシーの補足説明運営意図記載選択
構成員 — 割り当てすべてのユーザー / ユーザー・グループの選択対象となるポリシーの指定割り当てられたユーザーにのみポリシーが動作します対象範囲の最小化グループ単位推奨
構成員 — 除外ユーザー・グループ選択割り当てに関係なく政策未適用対象除外構成員は政策影響なし例外者のみ指定'すべてのユーザー'は除外不可
対象 (アプリ)アプリ / アプリグループ (複数)アプリにポリシーを適用する選択アプリにのみポリシーを適用業務アプリを単位で分離アプリポリシー専用
対象 (URL)すべてのサイト / 登録サイト·グループ / ウェブカテゴリサイトにポリシーを適用する指定選択対象にのみポリシーを適用基本ブロック(すべてのサイト) + 選択的許可URL ポリシー専用

対象設定戦略(URL): "すべてのサイト = アクセス禁止"を低い優先順位に置き、許可するサイト・カテゴリを高い優先順位の別のポリシーで許可。


4. 条件 (接続環境)

区分設定オプション説明適用時のユーザー画面・動作推奨ポリシー備考
位置すべての位置 / 登録された位置 (例外選択)接続IP基準でポリシー適用範囲を限定条件外の位置では、該当政策は適用されません。社内・在宅など位置別分離管理センター [条件項目] で位置登録
時間すべての時間 / 登録された時間 (例外選択)接続時間帯基準でポリシー適用範囲を限定条件外の時間帯には該当政策未適用業務時間帯の指定管理センター [条件項目] で時間登録
デバイスすべてのデバイス / Desktop / Tablet / Mobile接続端末の種類に基づくポリシー適用条件外デバイスには該当ポリシー未適用業務端末(Desktop)限定検討

5. 実行ポリシー — アクセスポリシー

区分設定オプション説明適用時のユーザー画面・動作推奨ポリシー備考
アクセス許可の有無アクセス許可 / アクセス拒否対象接続可能かどうかの決定接続不可、案内ページ表示業務対象許可 / 非業務遮断最上位制御
追加認証使用しない / メール認証 / OTP認証アクセス許可時に追加本人確認要求認証画面表示 → 認証後接続。失敗時「認証が失敗しました。」ポップアップ、接続不可一般対象使用しない / 敏感対象OTPアクセス許可ポリシーにのみ設定可能
メール認証 (詳細)認証コード入力欄表示、制限時間5分5分以内にコードを入力してください。未受信の場合は「認証コード再送信」メール受信可能環境必要
OTP認証 (詳細)最初のQRコード・復旧キー登録後に認証コードを入力最初の登録画面 → その後 OTP コード入力高セキュリティ対象の推奨認証アプリが必要

6. 隔離セキュリティポリシー (使用ポリシー)

アクセスが許可された後、隔離ブラウザ内でのユーザー行為を制御します。すべての項目は許可/ブロック(または使用/未使用)に設定します。

区分設定オプション説明適用時のユーザー画面・動作推奨ポリシー備考
キーボード入力許可 / ブロック隔離ブラウザ内キーボード入力制御入力不可、中央下部に「ポリシー上、キー入力が禁止されています。」と表示照会専用対象はブロックされています
サイト移動許可 / ブロック対象ドメイン外サイト移動制御許可: 自由移動 / ブロック: 代表・関連URLのみ移動、外部移動時に「ポリシーにより禁止された行為です。」案内ページ業務システムのブロック / 検索・ポータルの許可URL ポリシーで効果 大きい
ファイルアップロード許可 / ブロック (+拡張子制限, ストレージ)隔離環境へのファイルアップロード制御ブロック時はアップロード不可 / 許可時は指定された拡張子・ストレージのみ可能業務必要時のみ許可保存先: 私のPCファイルフォルダー /[옵션]SHIELDGate ファイルボックス
ファイルダウンロード許可 / ブロック (+拡張子制限, ストレージ)隔離環境でのファイルダウンロード制御ブロック時に「ポリシーにより禁止された行為です。ポリシー上、ダウンロードが禁止されています。」の案内ページ(閉じると戻る)対象グレードに応じて差別化保存所の詳細は以下です
└ リポジトリ: 私のPCファイルフォルダ選択ユーザーのローカルPCにダウンロードローカルにファイルを保存低リスク対象のみ基本提供。漏洩リスクが最も高い
└ 保存庫: SHIELDGate ファイルボックス選択 (SHIELDrive 指定)SHIELDrive ストレージに保存ローカルの代わりに隔離ストレージに保管セキュリティ対象の推奨[옵션] **別途導入。**構成員はSHIELDriveストレージに割り当てられている必要があります。
└ 保存先: SHIELD Viewer選択ダウンロードの代わりに読み取り専用プレビュー原本ファイルを受け取らずにビューアで閲覧閲覧のみが必要な対象推奨[옵션] **別途導入。**下位3オプションに細分化
└─ PDF ダウンロード許可 / ブロック元のファイルをPDFに変換してダウンロード許可した場合、PDFでのみ受け取ることが可能です。許可デフォルト値: 許可 (SHIELD Viewer オプション内)
└─ オリジナルダウンロード許可 / ブロック原本の文書をそのままダウンロードブロック時にオリジナルを受け取ることができませんブロックデフォルト値: ブロック
└─ CDR ダウンロード許可 / ブロックCDR 無害化処理後ダウンロード許可時に無害化本を受け取ることが可能ブロックデフォルト値: ブロック。[옵션] CDR エンジン 必要
クリップボード — 隔離→PC許可 / ブロック隔離ブラウザからPCにコピーコピー不可、中央下部に「ポリシーによりクリップボードの使用が禁止されています。」と表示ブロックデータの持ち出し経路
クリップボード — PC→隔離許可 / ブロックPCで隔離ブラウザに貼り付けるブロック時に貼り付け不可許可入力の便宜
入力敏感情報検査許可(検査) / 未使用 (+正規表現選択)入力テキストを正規表現で検査・ブロックパターンマッチング時の入力ブロック・監査ログ記録敏感情報入力対象に使用[옵션] **マスターページオーバーレイ(会社単位)導入時。**正規表現・対象ドメインは[入力敏感情報管理]で管理
セッション維持使用 / 未使用 (+アイドル時間分)アイドル時の画面ロックによるデータ保護アイドル時間経過時画面ロック、'リフレッシュ'で復帰使用 (アイドル時間ポリシーに従って)分単位設定
スクリーンマーキング使用 / 未使用画面にユーザー識別ウォーターマークを表示ユーザー名·メールアドレスのウォーターマークが画面に表示使用表示方式は [セキュリティ画面設定] でカスタム
印刷ウォーターマーク使用 / 未使用印刷物にユーザー識別ウォーターマークを挿入印刷時にウォーターマークを含めて出力使用表示方式は [セキュリティ画面設定] でカスタム
ビデオ会議モード使用 / 未使用ビデオ会議パフォーマンス最適化モード活性時右上隅SHIELDGateショートカットアイコン未提供ウェブ会議対象のみ使用パフォーマンス最適化目的
コンテキストメニュー使用 / 未使用 (+領域別 ON/OFF)右クリックメニューを領域別に個別制御OFF領域は右クリックメニュー非表示、連携ショートカットキーをブロック(例:印刷OFF → Ctrl+Pブロック)使用 (敏感項目 OFF)領域の詳細は以下です

6.1 コンテキストメニュー領域

領域代表メニュー適用時のユーザー画面・動作推奨ポリシー備考
ページ背景領域戻る, 進む, 更新, 印刷, ページソースの表示, 検査項目 ON の場合は右クリックメニューを表示 / OFF の場合は非表示·連携ショートカットをブロックページソース表示·検査 OFF上部ナビボタンのクリックはブロックされません(ショートカットキーのみブロック)
テキスト選択領域コピー、印刷テキストをドラッグした後、右クリックで表示 / OFF の場合は非表示敏感対象 コピー・印刷 OFF
リンク新しいタブで開く、リンクアドレスをコピーリンク上で右クリックした場合に表示 / OFFの場合は非表示デフォルト値を保持(ON)
画像画像の保存、画像のコピー画像上で右クリックすると表示 / OFF の場合は非表示ダウンロードブロック対象は保存OFF
ビデオ再生/一時停止、動画保存動画の上で右クリックすると表示 / OFF の場合は非表示デフォルト値を保持(ON)
オーディオ再生/一時停止、オーディオ保存オーディオの上で右クリックすると表示 / OFF の場合は非表示デフォルト値を保持(ON)
入力フィールド切り取り、コピー、貼り付け入力欄右クリック時表示 / OFF時未表示クリップボードポリシーと一致設定

領域内のすべての項目がOFFの場合、該当領域の右クリックメニューは表示されません。전체 ON / 전체 OFF / 초기화提供。


7. ポリシーの設定

区分設定オプション説明適用時のユーザー画面・動作推奨ポリシー備考
使用の有無使用する / 使用しない政策の活性化の有無使用しない場合、ポリシーが動作しません使用する
有効期限未設定 / 期間設定ポリシーが動作する期間期間外には動作しません未設定(無期限)期間限定ポリシーのみ設定

8. 政策運営・管理 (参考)

区分説明備考
優先順位管理ドラッグアンドドロップ、最上部/最下部へ、番号を直接移動検索フィルター解除状態でのみ可能
執行政策基本値管理新規ポリシー登録時に実行・隔離セキュリティポリシーの基本値が自動適用されますアプリ·URLのデフォルト値は独立管理
ポリシー検索政策名·構成員·対象·条件·執行政策·使用有無で検索フィルター間のAND、フィルター内のOR
ポリシー適用状況の確認期間別 適用/未適用 ポリシー 조회·Excel ダウンロード未適用ポリシーの整理による複雑度管理
インポート·エクスポートJSON(バックアップ・復元) / Excel(現状・レポーティング)複数選択時 ZIP