クラウドセキュリティを企業側に取り戻せ!
クラウドサービス利用を柔軟にコントロールするNetskope ~紹介編~
製品・サービスの活用方法
2018年12月27日
はじめに
CASBについて知りたいのに概要ばかりで具体的な記事が見つからない…
そんな情報収集に積極的な貴方のために「禁止するだけではない」クラウドサービスの安全な利用を促すCASB製品・Netskopeの魅力について、紹介編、導入編、運用編の全3回の連載で紹介していきたいと思います。
サービス提供側のセキュリティレベルに依存してしまうところが大きいクラウドセキュリティの世界において、企業側がサービス提供側から「コントロールを取り戻す」というコンセプトのもと、生まれたのがCASBです。
CASBの概要についてはインターネット上に数多く存在するWebサイトにお任せするとして、この記事では、エージェントタイプの実装構成を取ることができ、それにより詳細情報の可視化や柔軟で細やかな制御が可能なNetskopeの特長や魅力について紹介します。
魅力(1)豊富な実装構成
Netskopeには次の5つの実装構成があります。
| ログ転送 | 既存プロキシなどのログをNetskopeにアップロードすることで、クラウド利用状況の可視化が可能です。 ログに格納された情報を可視化するため、事後での解析となり、ログに含まれていない情報は解析できません。 |
|---|---|
| API連携 | Office365などの特定(契約済み)クラウドサービスが提供しているAPIを利用し、サービス内のデータの可視化と制御が可能です。 クラウドサービス側の提供するAPI仕様によって可視化と制御に制限があります。 |
| リバースプロキシ | 特定(契約済み)のクラウドサービスへのアクセスをリバースプロキシ経由にすることで、クラウド利用状況の可視化と制御が可能です。 特定(契約済み)のクラウドサービスについては可視化や制御が可能ですが、シャドーITの可視化や制御はできません。 |
| フォワードプロキシ | 社内プロキシと連携することでトラフィックをNetskopeへフォワードし、クラウド利用状況の可視化と制御を実現します。 シャドーITにも対応でき、社内プロキシを通る通信のリアルタイムな可視化と制御が可能です。 |
| エージェント | 端末に導入したエージェントがトラフィックをNetskopeへフォワードし、可視化と制御を実現します。 シャドーITにも対応でき、持ち出し端末などの社内プロキシを通らない通信についても可視化と制御が可能です。 |
多くのCASB製品が対応しているのは、上記の表に記載した「ログ転送」「API連携」「リバースプロキシ」のみであり、特定の契約済みクラウドサービスの制御に焦点を絞ったものが多い中、NetskopeはシャドーITを含めた制御を行うことが可能です。
フォワードプロキシタイプでは社内ネットワーク経由の通信にしか対応ができませんが、エージェントタイプであればさらに社内ネットワークを通らない持ち出し端末についても対応することができます。
次の図はエージェントタイプの実装例です。
このようにエージェントを導入することによって、外出先などの持ち出し端末についてもクラウドサービスへの通信をNetskopeのサーバを経由させることができ、詳細な可視化と制御が可能です。
魅力(2)Netskopeエージェントタイプによる詳細な可視化
Netskopeはさまざまな実装構成で可視化が可能ですが、一言に可視化といっても取得できる情報量に大きな差があります。
ログ転送タイプによる可視化は、既存のプロキシなどのログをNetskopeのテナントにアップロードして情報を可視化するため、取得できる情報はログに格納された情報に依存します。そのため、取得できるのは「いつ」「誰が」「どのクラウドサービスにアクセスしたか」という基本的な情報に限定されます。
それに対し、エージェントタイプでは次のような情報が取得できます。
| General | 概要(下記情報のサマリ) |
|---|---|
| User | ユーザー情報(PCのホスト名、使用OS、OSバージョン、ユーザー名、IPアドレス、使用ブラウザなど) |
| Application | サービス情報(アクセスしたクラウドサービス名、カテゴリ、URL、クラウドサービスの評点、取った行動など) |
| File | ファイル情報(ファイル形式、ファイルサイズなど) |
| Source | 接続元情報(IPアドレス、国や場所など) |
| Destination | 接続先情報(IPアドレス、国や場所など) |
では、これらの取得できる情報について実際のUIでの表示を見てみましょう。
これは、私がGoogle Driveに「Netskopeコラム.txt」というファイルをアップロードした際に取得した情報です。
例えば、「Object」「Application」「Activity」を確認することで、アクセスしたクラウドサービス名、取った行動、ファイル名までしっかりと情報が取得できていることが分かります。
このように、エージェントタイプでは極めて詳細な情報を取得することができます。
詳細な情報が取得できるということは、その情報を使って細かな制御ができるということです。
魅力(3)Netskopeエージェントタイプによる柔軟で細かな制御
Netskopeではインラインポリシーと呼ばれるルールを設定することでクラウドサービスへの行動を制御することができます。
エージェントを導入すると、クラウドサービスへの通信はクラウド上に存在するNetskopeのサーバを経由することになり、その際にポリシーによる制御を行います。
制御には「Alert」「Block」「UserAlert」「Allow」と4種類の制御方法があります。
| Alert | 設定したポリシーに合致した行動をユーザーが行うと、管理UIでAlertログが確認可能となります。 |
|---|---|
| Block | 設定したポリシーに合致した行動をユーザーが行うと、該当する通信をブロックします。 管理UIでBlockログが確認でき、ユーザーにはブロック通知が表示されます。 ブロック通知画面の内容は自由にカスタマイズ可能です。 |
| UserAlert | 設定したポリシーに合致した行動をユーザーが行うと、該当する通信を通すための理由の入力をユーザーに促す画面を表示します。 管理UIでUserAlertログと理由が記載されたログを確認でき、該当クラウドサービスを利用した理由を把握することが可能です。 ユーザーアラート通知画面の内容は自由にカスタマイズ可能です。 |
| Allow | 設定したポリシーに合致したユーザーの行動を許可します。 |
通知画面は、次のような内容にカスタマイズすることができます。(左がBlock通知、右がUserAlert通知)
これらの制御アクションを組み合わせて運用することで柔軟なポリシー設定を行うことが可能です。
実際の運用方法としては、ポリシーを設定してサービス利用をすぐに禁止するのではなく、利用理由を記載させるポリシーを適用し、利用理由を把握した上で業務に不要なクラウドサービスはブロックするといった運用が可能です。
では、実際にインラインポリシーを設定するにあたりどのような項目を設定することができるのか見ていきましょう。
| 大項目 | 項目 | 特徴 |
|---|---|---|
| Users | Users | ポリシーの適用範囲をユーザー単位で設定できます。 |
| User Groups | ポリシーの適用範囲をグループ単位で設定できます。(要AD連携) | |
| Organization Unit | ポリシーの適用範囲をOU単位で設定できます。(要AD連携) | |
| Cloud Apps | Application | ポリシーの対象をクラウドサービス単位で設定できます。 |
| Category | ポリシーの対象をカテゴリ単位で設定できます。 | |
| App Instance | ポリシーの対象をサービス契約単位で設定できます。 | |
| DLP/Threat Protection (optional) | DLP | DLPの設定を行います。 例えばクレジットカード等の機密情報に対して、デフォルトで多数のテンプレートが用意されており、正規表現などによりカスタマイズ登録することも可能です。 DLPを設定することで取扱い情報(添付ファイルなど)に対して制御をかけることができます。 |
| Threat Protection | マルウェアスキャンの有無を設定できます。 通信を検査し、通信内に含まれるマルウェアを検知することができます。 |
|
| Select Activities | Activities | ポリシーの対象となるユーザーの行動(LoginやUploadなど)を設定できます。 |
| Constraints (optional) | 例えばログインする際のドメインで制限をかけるなど、対象となるユーザーの行動を制御することができます。 また、メール送信等の送信先のドメインによる制御も行うことができます。 |
|
| Action | Action | 制御方法(Alert、Block、UserAlert、Allow)を設定できます。 |
| Additional Attributes | Add additional criteria (optional) | 使用OSや使用ブラウザ、接続元IPなどの環境ごとに、ポリシーを適用する範囲を設定できます。 |
上記のように多くの設定項目があるため、これらを組み合わせてより細かくポリシーを設定することができます。
例えば「Cloud Apps」の項目での「App Instance」の選択、または「Select Activities」の項目でアクティビティを選択する際に「Constraint Profile」を設定することで、会社契約アカウントでのサービス利用は許可しますが、個人アカウントについては利用を禁止するといった制御を行うことができます。
また、「Additional Attributes」の項目で「Souce Network」を設定することで、接続元IPごとに異なるポリシーを設定するなど、働き方に応じたポリシー設定を行うことも可能です。
最後に
KCCSは、Netskopeが日本での展開をスタートした当初から、Netskopeの独自性や魅力にいち早く注目し、国内初のNetskope取り扱いベンダーとして販売、および自社での運用を行っています。
ここまでの内容も踏まえ、最後に我々がNetskopeの販売、および運用をしている中で感じている魅力についてまとめると、
- ログのアップロードによる可視化から持ち出し端末まで対応できる豊富な実装構成
- エージェントタイプによる詳細な可視化
- 個人アカウントまでも制御可能な、エージェントタイプによる柔軟で細かな制御
今回の記事では「紹介編」として、Netskopeの特徴や魅力について紹介しました。
次回以降の記事では、実際の導入や運用の中で出てきた悩みや問題に対して実際にどう対処したのか、こんな方法もあるという内容を予定しています。
最近は特に引き合いの多いNetskopeですが、お得意先に訪問すると「エージェントを導入するのがネックで…」という声を耳にします。この記事をお読みになり、同じように「Netskopeに興味が湧いたけど、エージェントの導入ってハードルが高い気が…」と感じた方には、次回の「導入編」を是非ご一読いただければと思います。
京セラコミュニケーションシステム株式会社
SecureOWLCenter インテグレーション課
Netskope担当チーム
- 関連サービス/ソリューション
掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。
