Netskopeでクラウドストレージへのアップロードを禁止してみる

会社で認可されていないクラウドストレージへのアップロードを制御してセキュアにリモートワークしよう
2021.06.09

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。

はじめに

ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています。

今回はNetskopeでできる基本的な設定の一例として、会社で認可されていないクラウドストレージへのアップロードを禁止する設定をご紹介します。

Netskopeとは

Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです。

詳細は下記を御覧ください。

実際の動き

百聞は一見にしかず、ということで実際にNetskopeで特定のクラウドストレージへのアップロードを禁止した時の挙動を御覧ください。 下記のようなケースを想定しています。

  • 対象サービス:Dropbox
  • 禁止行為:Upload

設定してみた

Netskope管理画面のPoliciesReal-time ProtectionからNEW POLICYを作成します。

ポリシーの作成

ポリシーの作成ではSource, Destination, Profile & Actionを設定していきます。

Source

ユーザ単位、もしくはディレクトリサービスから連携したグループ単位で選択可能です。ADD CRITERIAから、デバイス情報やソースIP、ユーザの信頼スコアなどを元にして、より細かく制御することも可能です。

Distination

CloudAppやCategory(事前に設定されたものや自らカスタマイズしたもの)などを元に設定可能です。

Activity

Destinationに対する動作を設定します。今回はDropboxに対するUploadを禁止したいので、Uploadを選択しています。

Profile & Action

上記のActivityに対する制御内容を定めます。今回は禁止したいため、Blockを設定し、ユーザ側に通知する内容を選択します。

Activityについてはより細かく制御することが可能です。単にDropboxへのUploadということだけではなく、ユーザアカウント、ファイタイプ、ファイルサイズを元に制御することも可能です。

ポリシーの設定が完了したら、ポリシーの優先度を決めます。ポリシーは上から優先度が高く、順番に処理されるため、ポリシー設計において優先度の検討も重要です。

保存すると一度設定の反映が保留されているため、APPLY CHANGEを押して変更を反映して、完了です。

ユーザ通知用テンプレートの作成

今回は既存のテンプレートを流用しましたが、Blockされた際の通知文の作成はPoliciesTemplatesUser Notificationから実施します。

プレビューもできますし、ユーザアラートを出して操作を継続するか選択させるような形にすることもできます。

管理者の見え方

ユーザ(内部の社員)が認可されていないクラウドストレージにアップロードしようとしてNetskopeにBlockされた際にはNetskope管理画面のSkope ITEventsAlertsで確認できます。

Alert DetailsからUserの詳細情報(デバイス、アカウント)やどのファイルをアップロードしてBlockされたのか等も確認することが可能です。

ポリシーの設定で、ポリシーに引っかかった際に管理者にメール通知する設定も可能なので、重大なインシデントにつながるポリシーは管理者へのメール通知を設定しておくのも良いかもしれません。

さいごに

Netskopeでのクラウドストレージへのアップロード制御についてご紹介しました。 SaaSを業務で利用する機会が増えてきている今、複数のポリシーを組み合わせて可視化や制御することはインシデントを未然に防ぐために重要です。

Netskopeでは今回ご紹介したシンプルなポリシーだけではなく、デバイス、ファイル情報などを組み合わせてきめ細かい制御ができるので活用して快適なリモートワーク環境を実現してみてはいかがでしょうか。