目次
概要
Cato の導入後、特定の Web サイトや Web アプリケーションに対して、正しくアクセスできません。
- 対象サイト(アプリ)へは、インターネット経由で接続します。
症例
- Web サイトが読み込まれない
- リクエストがタイムアウトし、ページが動作していないなどのエラーが表示されます。
- 画像や動画など、サイトの一部が空白のままとなります。
- ブロックページや見覚えのないページが表示される
- Cato のブロックページが表示されます。
- 403 などの数字が記載された、ブラウザのエラーページが表示されます。
- Web サイトのレイアウトですが、エラーメッセージが表示されます。
チケットに記入すべき情報
チケットの起票時に以下の内容を記入、添付することで、案内が効率化されます。
- 表示されている画面のキャプチャ
- 特に、エラー部分が読み取れるように取得します。
- 何らかの理由により画像での添付が難しい場合、
表示されているエラーの内容を、本文中へ可能な限り全文転記します。
- 特に、エラー部分が読み取れるように取得します。
- 対象 Web サイトの URL や名称、概要などの情報
また、チケットの応答を待つ間に、以下のセルフチェック項目について調査することができます。
セルフチェック
よくある原因と、解決方法について確認することができます。
なお、記載された KB 記事の閲覧には、事前申請が必要な場合があります。
Q. 政府系サイトですか?
主に政府系サイトなどの、国や地域を重視するシステムにおいては、アクセス元を日本に制限している場合があります。
Cato が使用する日本用 IP アドレスは、アジア太平洋地域のアドレス管理団体のものであるため、日本の管理団体のデータベースのみを参照しているシステムでは、地域制限に抵触するケースがあります。
<確認>
- 対象サイトやアプリの FAQ やマニュアルなどに以下の関連ワードについての記載がないか
- 接続元の国や地域
- ジオロケーション
<対策>
バックホール(推奨) または バイパス 機能により、拠点のグローバル IP アドレスを使用してアクセスできるように構成します。それぞれの機能の詳細と設定の方法については、以下の KB 記事をご覧ください。
バックホール:特定のWebサイト宛の通信を拠点グローバルIPから出力する
バイパス:Cato クラウドをバイパスする
Q. 銀行系サイトですか?
主に銀行系サイトや医療系サイト、アプリストアなどにおいては、証明書ピンニングなどの中間者攻撃対策をとっている場合があります。
Cato は、クライアントとサーバの間に立ってセキュリティ検査を行う中間者として動作するため、これらのサイトではWebサイト側が接続を拒否するケースがあります。
<確認>
- 対象サイトやアプリの FAQ やマニュアルなどに以下の関連ワードについての記載がないか
- 証明書ピンニング
- 中間者攻撃(MITM)
- エラー画面に「証明書」、「Certificate」などの語句が表示されていないか
- Cato のイベントログに、当該宛先あてのブロックログが存在しない
<対策>
サーバ側での検出は、TLS インスペクションによる証明書の書き換えに起因する場合が多いため、同機能からの除外を設定します。TLS インスペクション機能の詳細と設定の方法については、以下の KB 記事をご覧ください。
Q. 自社利用 SaaS ですか?
社内利用の SaaS アプリなどの場合、使用しているサーバ証明書が自己署名証明書であったり、期限が切れている、SAN と IPアドレスが一致しない、などが発生している可能性があります。
こうした場合、TLS 証明書のエラーとして、接続がブロックされるケースがあります。
<確認>
- Cato のイベントログに、TLS Certificate Error に関するログが存在する
- TLS インスペクションポリシーで、「信頼されないサーバ証明書」が Block や Prompt に設定されている
<対策>
最も推奨される対策は、サーバ側で使用している証明書を適切なものに変更することです。
それが難しい場合、信頼されないサーバ証明書を許可する検査ルール、またはTLS検査からのバイパスルールを作成します。TLS インスペクション機能の詳細と設定の方法については、以下の KB 記事をご覧ください。
この記事は役に立ちましたか?
それは素晴らしい!
フィードバックありがとうございます
お役に立てず申し訳ございません!
フィードバックありがとうございます
フィードバックを送信しました
記事の改善におけるご協力ありがとうございます。