4.4. SSL復号化機能の設定をする

SSL復号化機能の利用手順について説明します。

SSL復号化機能を利用する場合はSSL復号化用のポリシーを作成し、作成したポリシーに復号プロファイルを適用します。

4.4.1. 注意事項、前提条件

• 設定は必ず0系/1系（東西冗長を利用している場合は各エリアの0系/1系）で同じ設定にしてください。
• 設定変更後、0系/1系で必ずコミットを実施してください。
• クライアント端末へSSL復号化・FRAポータルアクセス(FIC経由)共通証明書のインストールが必要になります。
• ポリシーの変更はFRA-Dec-UserPortal以外のポリシーが可能です。作成する場合は、FRA-Dec-UserPortalより下に設定してください。
• FRAポータルで主に使用するゾーンの概要について以下に記載します。

  【ゾーン】

  VPN:VPN接続ユーザーに払い出されるIPアドレスが所属するインターフェイス

  VPNINET:VPN接続後FRAから直接インターネットに通信する際に利用するインターフェイス

  VPNFIC:VPN接続後FIC-Connection向けに通信する際に利用するインターフェイス
• Fsecコンソールに表示されるSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効期限が過ぎてしまうとSSL復号化機能が利用できなくなりますのでご注意ください。

  有効期限が切れる前に以下の手順を実施してください。

  ① SSL復号化・FRAポータルアクセス(FIC経由)共通証明書を作成する

  ② SSL復号化・FRAポータルアクセス(FIC経由)共通証明書をダウンロードする

  ➂ SSL復号化利用時のWindows端末へのSSL復号化・FRAポータルアクセス(FIC経由)共通証明書へインストールする

  ➃ SSL復号化・FRAポータルアクセス(FIC経由)共通証明書を有効化する

注釈

• 利用ブラウザの設定によりSSL復号化機能が動作しないことがある 既知の問題 があります。

4.4.2. 事前に準備いただくもの

• FRAポータルアカウント/パスワード
• FRAポータルIPアドレス

4.4.3. お申し込みの流れ、全体説明

図4.4.3.1. 設定変更の流れ

4.4.4. SSL復号化機能を利用する

4.4.4.1. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書のダウンロード手順

1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

2. ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

   ➁[Flexible Remote Access詳細設定]をクリックします。

   ➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.1.1. サービスグループ選択

3. ダウンロード対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の[操作]プルダウンメニューより、[証明書のダウンロード]をクリックします。

図4.4.4.1.2. [証明書のダウンロード]をクリック

4. 対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書がダウンロードされたことを確認します。

図4.4.4.1.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書のダウンロード

4.4.4.2. SSL復号化利用時のWindows端末へのSSL復号化・FRAポータルアクセス(FIC経由)共通証明書インストール手順【利用者向け】

1. 端末に保存したSSL復号化・FRAポータルアクセス(FIC経由)共通証明書をダブルクリックし、[証明書のインストール]ボタンを押下します。

図4.4.4.2.1. 証明書のインストール

2. 証明書ストアページですべての証明書を次のストアに配置にチェックします。[参照]ボタンを押下し、信頼されたルート証明機関を選択します。

図4.4.4.2.2. 証明書ストアページ画面

3. 次へをクリックします。警告メッセージが表示される場合は、[はい]ボタンを押下します。

図4.4.4.2.3. 警告メッセージ画面

4. インポート成功メッセージが表示されます。[OK]ボタンを押下し証明書のインストールが完了となります。

図4.4.4.2.4. インポート成功メッセージ画面

4.4.4.3. SSL復号化用ポリシーの作成手順

1. ➀[Policies]をクリックします。

   ➁[復号]をクリックします。

   ➂[追加]をクリックします。

図4.4.4.3.1. Policies画面

2. [全般]の以下の項目を入力します。

図4.4.4.3.2. 復号ポリシールール（全般）

表 4.4.4.3.1. [全般]で設定可能な項目

項番	項目	設定値
1	名前	任意の名前を入力します。名前は必須項目です。
2	内容	作成した復号ポリシーの説明を記載します。省略可能です。
3	監査コメント	ポリシーの設定変更時に変更内容の履歴を残したい場合に入力します。省略可能です。

3. [送信元]の以下の項目を選択します。

図4.4.4.3.3. 復号ポリシールール（送信元）

表 4.4.4.3.2. [送信元]で設定可能な項目

項番	項目	設定値
1	送信元ゾーン	VPNを指定します。
2	送信元アドレス	通信の送信元アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを送信元に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。 ・IPアドレス(Ex 192.168.1.1/32) ・ネットワークアドレス(Ex 192.168.0.0/16) ・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)
3	送信元ユーザー	通信の送信元ユーザーを指定します。すべてのユーザーを対象にする場合はanyを選択します。特定のユーザーを送信元に指定したい場合は[追加]をクリックし対象のユーザーを選択します。

4. [宛先]の以下の項目を選択します。

図4.4.4.3.4. 復号ポリシールール（宛先）

表 4.4.4.3.3. [宛先]で設定可能な項目

項番	項目	設定値
1	宛先ゾーン	通信の宛先ゾーンを指定します。すべてのゾーンを対象にする場合はanyを選択します。特定のゾーンを宛先に指定したい場合は[追加]をクリックし対象のゾーンを選択します。
2	宛先アドレス	通信の宛先アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを宛先に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。 ・IPアドレス(Ex 192.168.1.1/32) ・ネットワークアドレス(Ex 192.168.0.0/16) ・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

5. [サービス/URLカテゴリ]の以下の項目を選択します。

図4.4.4.3.5. 復号ポリシールール（サービス/URLカテゴリ）

表 4.4.4.3.4. [サービス/URLカテゴリ]で設定可能な項目

項番	項目	設定値
1	サービス	通信で使用するサービスを指定します。すべてのサービスを許可したい場合はapplication-defaultを選択します。特定のサービスを対象に指定したい場合は[追加]をクリックし対象のサービスを選択します。
2	URLカテゴリ	「8.5.13. URLカテゴリを追加する」 を参照してください。

6. ➀[オプション]の以下の項目を選択します。

   ➁入力が完了したら[OK]ボタンを押下します。

図4.4.4.3.6. 復号ポリシールール（オプション）

表 4.4.4.3.5. [オプション]で設定可能な項目

項番	項目	設定値
1	アクション	復号なし/復号のいずれかにチェックします。復号しない場合は復号なしにチェックし、復号する場合は復号にチェックします。
2	タイプ	SSLフォワードプロキシを選択します。SSLフォワードプロキシ以外は選択しないでください。
3	復号プロファイル	アクションで[復号]を選択した場合は復号プロファイルに[default]を選択します。

7. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

4.4.4.4. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効期限の確認手順

1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

2. ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

   ➁[Flexible Remote Access詳細設定]をクリックします。

   ➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.4.1. サービスグループ選択

3. 「SSL復号化・FRAポータルアクセス(FIC経由)」画面でSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効期限を確認します。

図4.4.4.4.2. 有効期限の確認

4.4.4.5. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の作成手順

1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

2. ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

   ➁[Flexible Remote Access詳細設定]をクリックします。

   ➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.5.1. サービスグループ選択

3. [新規追加]ボタンを押下します。

図4.4.4.5.2. [新規追加]ボタン

4. 名前、説明の箇所を入力します。

図4.4.4.5.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の作成

表 4.4.4.5.1. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書作成で記入可能な項目

項番	項目	説明
1	証明書名	任意の証明書名を入力してください。半角英数記号(-_) のみ使用可能です。
2	説明	任意の説明文を入力してください。半角英数記号(-_) のみ使用可能です。

5. 入力が完了したら[確認]ボタンを押下します。

図4.4.4.5.4. [確認]ボタン

6. 入力内容を確認し[実行]ボタンを押下します。

図4.4.4.5.5. 入力内容の確認

7. [OK]ボタンを押下します。

図4.4.4.5.6. 申し込み完了

8. 「SSL復号化・FRAポータルアクセス(FIC経由)」画面でSSL復号化・FRAポータルアクセス(FIC経由)共通証明書が追加されたことを確認します。

図4.4.4.5.7. 申し込み完了後のSSL復号化・FRAポータルアクセス(FIC経由)画面

9. 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。

4.4.4.6. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効化手順

1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

2. ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

   ➁[Flexible Remote Access詳細設定]をクリックします。

   ➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.6.1. サービスグループ選択

3. 有効化対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の[操作]プルダウンメニューより、[有効化]をクリックします。

図4.4.4.6.2. [有効化]をクリック

4. 内容を確認し、[実行]ボタンを押下します。

図4.4.4.6.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の有効化の確認

5. [OK]ボタンを押下します。

図4.4.4.6.4. 有効化申し込み完了

6. 「SSL復号化・FRAポータルアクセス(FIC経由)」画面で対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書が有効化されたことを確認します。

図4.4.4.6.5. 申し込み完了後のSSL復号化・FRAポータルアクセス(FIC経由)画面

7. 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。

4.4.4.7. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の削除手順

1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

2. ➀左メニューの「サービスグループ情報」から作成したサービスグループを選択します。

   ➁[Flexible Remote Access詳細設定]をクリックします。

   ➂[SSL復号化・FRAポータルアクセス(FIC経由)]をクリックします。

図4.4.4.7.1. サービスグループ選択

3. 状態が「無効」となっているSSL復号化・FRAポータルアクセス(FIC経由)共通証明書の[操作]プルダウンメニューより、[削除]をクリックします。

図4.4.4.7.2. [削除]をクリック

4. ➀内容を確認し、[上記について確認しました。]にチェックを入れます。

   ➁[実行]ボタンを押下します。

図4.4.4.7.3. SSL復号化・FRAポータルアクセス(FIC経由)共通証明書の削除の確認

5. [OK]ボタンを押下します。

図4.4.4.7.4. 削除申し込み完了

6. 「SSL復号化・FRAポータルアクセス(FIC経由)」画面で対象のSSL復号化・FRAポータルアクセス(FIC経由)共通証明書が削除されたことを確認します。

図4.4.4.7.5. 申し込み完了後のSSL復号化・FRAポータルアクセス(FIC経由)画面

7. 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。

目次

• 1. FRAメニューの基本
  • 1.1. 始める前の準備
  • 1.2. FRAのリソースとは
  • 1.3. Fsecコンソールとは
  • 1.4. FRAポータルとは
  • 1.5. お申し込みの流れ
• 2. FRAサービスを利用する
  • 2.1. FRAサービスを申し込む
  • 2.2. FRAポータルにアクセスして必要な初期設定をする
  • 2.3. FRAサービスに接続する【利用者向け】
  • 2.4. サービスグループを変更する
  • 2.5. FRAグループを変更する
  • 2.6. FRAユニットを変更する
  • 2.7. FIC-Connectionを変更する
  • 2.8. FIC経由でFRAポータルにアクセスをする
  • 2.9. FRA基盤のOSバージョンアップをする
  • 2.10. FRAポータルアカウントを変更する
  • 2.11. サービスグループを削除する
  • 2.12. FRAサービスを廃止する
• 3. リモートアクセスの設定をする
  • 3.1. リモートアクセスユーザー登録/変更/削除の設定をする
  • 3.2. スプリットトンネルの設定をする
  • 3.3. FRAクライアントソフト接続方式の変更をする
  • 3.4. 内外判定の設定をする
  • 3.5. 東西冗長オプション利用時の設定をする
  • 3.6. 東西冗長オプション利用時の手動切り替えをする
• 4. セキュリティポリシーの設定をする
  • 4.1. UTM機能の設定をする
  • 4.2. UTM機能の推奨設定をする
  • 4.3. HIP機能の設定をする
  • 4.4. SSL復号化機能の設定をする
  • 4.5. テナントアクセス制御サポート機能の設定をする
• 5. 認証の設定をする
  • 5.1. クライアント証明書認証の設定をする
  • 5.2. SAML認証連携利用時のグループマッピング機能の設定をする
  • 5.3. SAML認証連携の設定をする
  • 5.4. LDAP認証連携の設定をする
  • 5.5. Microsoft Entra ID（旧AzureAD）との認証連携の設定をする
  • 5.6. Active DirectoryとのLDAP認証連携の設定をする
• 6. 端末の設定をする
  • 6.1. FRAクライアントソフトの情報を確認する【トラブルシューティング】
  • 6.2. FRAクライアントソフトのバージョンアップをする【利用者向け】
  • 6.3. FRAクライアントソフトのアンインストールをする(Windows/Mac/iPad/iPhone/Android)【利用者向け】
• 7. ログの設定をする
  • 7.1. ログを参照する
  • 7.2. ログをCSVに出力する
  • 7.3. Syslog転送の設定をする
  • 7.4. Syslogサーバーに転送されるログ項目を確認する
• 8. FRAポータルで設定変更をする
  • 8.1. FRAサービスでサポート対象の設定項目を確認する
  • 8.2. ACC
  • 8.3. Monitor
  • 8.4. Policies
  • 8.5. Objects
  • 8.6. Network
  • 8.7. Device
• 9. お困りの時は
  • 9.1. ID/PWに誤りがある場合(ローカル認証ご利用者さま)
  • 9.2. クライアント証明書がインストールされていない場合
  • 9.3. ID/PWまたはLDAPサーバIPに誤りがある場合(LDAP認証ご利用者さま)
• 10. お問い合わせ
  • 10.1. お問い合わせいただく前に
  • 10.2. お問い合わせの流れ
  • 10.3. チケット作成方法
  • 10.4. チケット回答の確認方法
  • 10.5. チケット回答への返信方法

---

4.3. HIP機能の設定をする

4.5. テナントアクセス制御サポート機能の設定をする