【Netskope】セキュリティ対策評価制度に向けたNetskope活用方法:「App Catalog」で情報漏洩リスクを調査する

» Netskope » 技術
こやしぃ こやしぃ

 

こんにちは、こやしぃです。

経済産業省がセキュリティに関する新たな認証制度を打ち出す中、企業は「利用しているクラウドサービスが本当に安全か?」を継続的に評価する体制が求められています。

そこで今回は、Netskopeの“App Catalog機能を活用し、今後導入される認証制度に対応する方法をご紹介します。

セキュリティ対策評価制度の内容とは?

現在、経済産業省ではクラウドサービスの安全性を評価するための新たな認証制度の策定を進めています。 その評価基準案の中で、クラウドを扱う企業が特に対応に追われると予想されるのが、要求事項 1-2-1となります。

要求事項 1-2-1「サイバー攻撃及び脆弱性に関する公開情報・非公開情報を活用する体制を整備すること」
 
(参考リンク:https://www.meti.go.jp/press/2025/12/20251226001/20251226001-c.pdf)

簡単に言うと、「自社で使っているクラウドサービスが、過去にサイバー攻撃を受けていないか、情報漏洩を起こしていないかを常に把握してください」ということです。
しかし、社内で利用されている数百〜数千のサービスを人力で一つずつ調査するには、膨大な時間とコストがかかり、現実的ではありません。
 

そこで威力を発揮するのが、Netskopeの「App Catalog」です。

Netskope App Catalogで調査

NetskopeのApp Catalogを利用することにより、特定のクラウドサービスが過去1年間にサイバー攻撃を受け、いつ、どのような原因で情報漏洩インシデントが起きたのかを即座に確認できます。

また客観的な参照ソースとして、ニュースサイトや公式発表へのリンクが掲載されているため、信頼性の高い調査を行うことができます。

脆弱性に関する公開・非公開情報を特定する設定手順

ステップA:タグの作成(Tag Manager)

まずは、インシデント発生有無を自動判別するタグを作成してみましょう。

1. App Catalog > Cloud Apps > Tag Manager へ移動。tagmanager

2. "New Tag" をクリック。

3. 以下のルールを設定して保存。

  • Tag Name: 任意(例:Recent Breach is Yes)
  • Attribute: Recent Breach
  • Condition: Is
  • Value: Yes
rules
rule3
 
新たに「Recent Breach is Yes」というタグが作成されました。

rule4

ステップB:対象サービスの検索ステップ

先ほど作成したタグを使い、自社で検出されているアプリをフィルタリングします。

  1. App Catalog > Cloud Apps を開く。
  2. 以下のパラメータを指定して "Search"を選択。
  • RANGE: 「Discovered」(自社環境で検出済み)を選択
  • TAGS: 先ほど作成したタグを指定
rule2
 
試しにOpenAIを開いてみましょう。

ここでは、Netskopeの CCI画面などで確認できるSaaSアプリ(ここではOpenAI/ChatGPT)に関する 「過去のデータ漏洩・侵害の履歴」 が示されています。
rule5

このようにNetskopeは、各クラウドサービスのリスク評価の一環として、過去にどのようなセキュリティ事故があったかを表示することができます。

それぞれの項目の意味は、以下の通りです。

  • Recent Breach: 最近発生したデータ漏洩事案
  • Older Breach(es): それ以前に発生した過去の漏洩事案。 Yesとは、そのサービスで過去に漏洩事案があったことを示します。
    • 具体的な事案の詳細:2025年11月の事案としてOpenAIが、分析ツールベンダーである「Mixpanel」へのハッキングを通じて、APIカスタマーのデータが漏洩したことを公表しました。
  • Breach Date : 実際の漏洩発生日(2025年11月9日)
  • Public Disclosure Date: OpenAIが世間に公表した日(11月26日)
  • Netskope Publish Date: Netskopeが自社データベースに情報を反映した日(11月28日)
  • Open AI admits data breach at ChatGPT, private data of premium users exposed:
    • 具体的な事案の詳細:2023年3月、ChatGPTにおいてプレミアム会員の個人データが漏洩した事案です。 当時、ChatGPTの開発元であるOpenAIのバグによって、他のユーザーの情報が一時的に見えてしまう問題が発生したと公表されました。

これらの情報をどう活用するのか?

 こうした情報は、管理者が以下のような意思決定を行う際の判断基準となります。
  • リスク評価: 「このサービスは過去に何度も漏洩を起こしているから、CCIスコアを下げよう」といった判断。
  • ポリシー検討: 「API経由でデータが漏れているのであれば、API利用時のDLP(データ漏洩防止)をより厳格にしよう」といった対策。
  • ユーザーへの注意喚起: 「このアプリは直近で漏洩があったため、利用時は特に機密情報を入力しないように」という教育。

このように、情報漏洩の概要や参照ソースのリンクが集約されており、事実に基づいた迅速なアプリ評価・内容の精査を行うことができるのが、App Catalogの特徴です。

まとめ

この設定により、「自社で利用中のサービスのうち、過去1年間に情報漏洩を起こしたもの」が瞬時にリストアップされます。

本来であれば何日もかかってしまう作業が、Netskopeを活用することで、短時間で完了します。また、サプライチェーンの一部であるクラウドサービス全般のサイバー攻撃発生有無を、コストをかけずに網羅できる点は、新しい認証制度への対応において強力な武器となるはずです。

御社の環境で「Recent Breach」に該当するサービスがいくつ動いているか、一度可視化してみませんか?

本記事でご紹介した設定の詳細や、Netskopeを活用した認証制度への対応について、ご不明な点がございましたら、ぜひお気軽にご相談ください。

SaaSバナー_Netskope