コンテンツまでスキップ

【Netskope】【運用】特定サイトのみ追加アクセス許可、その後の修正と対応が必要な件(SWG)

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。Netskope運用におけるTips(小ネタ)をご紹介します。

Netskope は、柔軟性とアジリティを兼ね備えた DevOps型のセキュリティ製品です。使いながら必要な機能を追加していくことでどんどん良くしていくことができるところ、変化への対応を速やかに行えるところはとても優れている点ではないでしょうか。詳細はこちらをご覧ください。本記事の内容・背景としては以下のようなものとなります。

業務利用と関係のないWebアクセスはブロックする社内のセキュリティポリシーがあり、そのためNetskope 利用開始当初より業務で利用しないカテゴリーをまとめたカスタムカテゴリーを作成、Real-Time Protection の Block ポリシーに紐づけて運用していた。その後、業務や開発を行っていくなかで特定のサイトのみアクセス許可をする必要が出てきてしまった。今回はそのような場合の対応例として、ギャンブルサイトに分類される JRA や オートレースの公式サイトアクセスを許可するケースでの対応方法についてご紹介します。

 

対応方法


特例許可対象URLのギャンブルカテゴリ(Category = Gambling)が業務で使用しないサイトのブロックポリシーの条件としてReal-Time Protection ポリシーに紐づいている場合は、そのポリシーよりひとつ上(優先度が高い位置)に以下の「構成」のように特例サイトの許可ポリシーを作成してください。※SWG のReal-Time Protectionポリシー 評価は上から順番に行われます。

(Policies > Real-time Protection)

Real-time Protection 設定イメージ

  • [Web]Allow_Special_Site:特例サイトの許可ポリシー(※今回追加するポリシー)
  • [Web]Block_Site:基本業務で使用しないサイトのブロックポリシー

 

構成

構成・イメージ

設定順序:1. URL Lists 作成 → 2. Custom Categoriy 作成 → 3. Real-time Protection ポリシー作成

 

1.URL Lists > NEW URL LISTS & APPLY CHANGES

(Policies > Profiles > URL Lists)

URLリストを作成しますが、そのなかで特例許可URLを指定します。具体例としてJRA、オートレースのサイトアクセスが必要になったというケースを想定し、アクセス許可が必要なURLを以下のようにURLをリストに設定します。※URL Format の指定方法は下記 Netskope のドキュメント URL Lists もご参照ください

URL Lists設定①

 

APPLY CHANGES (URL Lists)を忘れずに実施します。

URL Lists設定②

(参考)URL Lists:https://docs.netskope.com/en/url-lists/

 

2.Custom Categories > New Category

(Policies >  Profiles > Custom Categories)

カスタムカテゴリーを作成しますが、ここで作成した特例許可URLリスト(例:Allow_Special_Site_URL_List)を指定します。

Custom Categories設定①

(参考)Custom Category:https://docs.netskope.com/en/custom-category/

 

3.Real-time Protection > New Policy & APPLY CHANGES

(Policies > Real-time Protection)

Real-time Protectionポリシーを作成し、以下のようにCategory には作成した特例許可サイトカテゴリー(例:Allow_Special_Site_URL_Category)を指定します。

Real-time Protectionポリシー設定①

 

APPLY CHANGES (Real-time Protection)を忘れずに実施します。

Real-time Protectionポリシー設定②

以上で設定は終了となります。
 
 

設定後の対応についてレンチアイコンv2

上記の特例URLの許可設定を追加後も運用を行っていくと以下のような設定変更対応が想定されますが、それぞれ設定は即時反映されます。

  • 特例許可URLを追加・変更・削除 → 該当の特例許可URLリスト(Allow_Special_Site_URL_List)の修正・APPLY CHANGES(URL Lists)を 実施することで Netskope Client側の設定にすぐに反映されます。
    • ※ギャンブルサイト以外のURLを特例許可とする場合に関しても、今回作成した特例許可URLの中に含めるかたちで始めていただくのがシンプルで良いかと思っております。
  • 特例許可アクセス対象のユーザ、ユーザグループ、OU の追加・変更・削除 →  該当の Real-time Protection ポリシー([Web]Allow_Special_Site)のSource の変更 & APPLY CHANGES (Real-time Protection)実施後、Netskope Client側の設定にすぐに反映されます。

  • 特例許可アクセス自体の削除 → 該当のReal-time Protection ポリシー([Web]Allow_Special_Site)の削除 & APPLY CHANGES(Real-time Protection) 実施後、Netskope Client側の設定にすぐに反映されます。
    • ※一旦該当ポリシーをDisable(無効化)、様子を見てDelete(削除)といった対応もありかと思います。(いずれも APPLY CHANGES は実施)

      Real-time Protectionポリシー設定③

 

さいごに


最後にお伝えしたいことをまとめます。

  • カテゴリによる分離運用の是非は、必要性に応じて検討
    •  ギャンブルカテゴリの許可用に Real-time Protection ポリシー、やカスタムカテゴリー、URLリスト の作成も可能ですが、初めから細かく厳密に設定しても後から見返したときに、不要に複雑になっていた… ということもあるため、今回はカテゴリーで絞らない特例サイトの許可用としてURL List を作成、そのなかにギャンブルカテゴリのURLを追加する方法をご紹介しました。
      ※許可するURLのカテゴリ数やURLの数がそれなりにある、それなりに必要となる見込みである、といった場合は状況に応じてURLリスト、カスタムカテゴリーも分けて作成しておいたほうが良い場合もございます。
  • その他の特例許可サイト向けポリシー設定の方法(ギャンブルカテゴリー以外) → 基本的な考え方は同じ
    • ギャンブルカテゴリー以外でも基本的な考え方は同じとなります。事前定義カテゴリについては Netskope document > About Predefined Categories も必要に応じてご参照ください。

この記事によってなにか新たな気づきがあり、皆さまの Netskope運用の一助となれば幸いです。