-1.png?width=435&height=310&name=image%20(28)-1.png)
当エントリは『ネクストモード フルリモート業務を実現するSaaS活用&カルチャー Advent Calendar 2024』7日目のエントリです。
当エントリは『ネクストモード フルリモート業務を実現するSaaS活用&カルチャー Advent Calendar 2024』14日目のエントリです。
はじめに
こんにちは、 ネクストモード株式会社 の sobar です。Netskope は奥が深くおもしろい!
ネクストモード株式会社では、設立時より基本的に全員フルリモートで働いています。
就業場所に関しての制限は特に設けてはおらず、ワーケーションや自宅以外からの業務も推奨しています。
働き方は『自由に楽しく効率よく』。社員一人ひとりが自分にマッチした働き方を見つけることができます。
今回のアドベントカレンダー企画では、そんなネクストモードの働き方=フルリモート業務を実現するためにSaaSをどのように活用しているか、
また働き方のベースとなっている『ネクストモードのカルチャー』をどのように絡めて日々業務を遂行しているかについて
メンバー個々のユースケースや実践例、想いなどを様々な切り口でご紹介します。
目次
- プチワーケーションとして海を見にいく
- Netskopeとは
- 本題。ワーケーション中にNetskope で引っかかってみる
- 1.引っかかるその1「業務に関係の無い動画サイトにアクセスする」(SWG)
- 2.引っかかるその2「個人利用の Googleアカウントでログインしようとする」(CASB)
- 3.引っかかるその3「個人利用の Notion にログインしようとする」(CASB)
- 4.引っかかるその4「Slack でコンプライアンス違反に抵触するワードを投稿しようとする」(DLP)
- まとめ
プチワーケーションとして海を見にいく
プチワーケーションとして海の近くでNetskope の検証、調査を行ってきました。(海を見てると心が落ち着く~~~)
.png?width=875&height=439&name=image%20(27).png)
.png?width=873&height=462&name=image%20(26).png)
Netskopeとは
Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです。
詳細は下記を御覧ください。
本題。ワーケーション中にNetskope で引っかかってみる
Netskope のベーシックな機能としてSWG、CASB、DLP がありますが、今回は、社内で設定しているそれらの機能をかいつまみ、Realtime Protection のポリシー設定内容のチェックと、block & useralert として制御された通信内容可視化のため、実際にポリシーにひっかかってその内容を確認したいと思います。(※あくまでも弊社で設定しているポリシーのほんの一部の確認となることはご了承ください)
1.引っかかるその1「業務に関係の無い動画サイトにアクセスする」(SWG)
SWG(Secure Web Gateway)安全にWebサイトにアクセスするためのゲートウェイとしての動作を確認します。
1-1. 業務中に tiktok の動画がみたくなったというていで、ログイン画面(https://www.tiktok.com/login)にアクセス・・・ できませんでした。(OK!)
ネクストモードでは tiktok は非認可アプリとなっています。弊社で本アプリを業務利用の際は、情シスに社内申請をして個別にアクセス許可を得ることで利用可能です。(※申請の仕組みの参考:【Asana】フォームを使って社内申請を一元管理してみた)
ブラウザではAccess Denied が表示され、アクセスが規制されました。
.png?width=1111&height=409&name=image%20(5).png)
1-2. Netskope > Real-time Protection > 該当するポリシーを確認すると #ALERTS が36 に増えたので、ポリシーに引っかかっているのがわかります。
設定確認を行う際は設定したポリシーの横にアラート数が表示されてくるのは地味に便利です。その数字をクリックすると該当のアラート内容が確認できます。
.png?width=1110&height=66&name=image%20(6).png)
1-3. Skope IT > Alerts の内容が表示されますが、Alert Name が 上記ひっかかった Real-time Protection の名前(今回は Block Cloud Apps for Unsanctioned)でフィルタされたかたちで表示されるのもとても便利です。
該当のログにすぐにたどり着けました。TikTok Inc の APPLICATION で、ACTIVITY は Browse 、ACTION は block となっています。一番左の虫眼鏡のアイコンをクリックすると、右側に詳細な情報が表示されます。
-1.png?width=1184&height=293&name=image%20(7)-1.png)
1-4. Action がBlock であること、Application 名や、Netskope で分類されるCategory、URL等の通信でやり取りされた情報も確認できます。(※以下は抜粋)
-1.png?width=435&height=727&name=image%20(8)-1.png)
2.引っかかるその2「個人利用の Googleアカウントでログインしようとする」(CASB)
CASB(Cloud Access Security Broker)クラウドサービスのアクセスを可視化・制御する機能ですが、Activity ごとに制御が可能です。今回はログイン(Login Attempt)制御を確認します。
2-1. 個人利用の Googleアカウント(https://accounts.google.com/)でログイン・・ しようとしたら、右下よりユーザアラートが出力。(OK!)Webアクセスはここで止めておきます。ユーザーアラートはアイコンや文言含めネクストモードでカスタマイズしたものが出力されます。
2-2. Netskope > Real-time Protection > 該当するBlock ポリシーを確認すると #ALERTS が4 に増えたので、ポリシーに引っかかっているのがわかります。
-1.png?width=1082&height=83&name=image%20(12)-1.png)
2-3. 該当ポリシー の Destination > Activities は、Login Attempt に加え、CONSTRAINTS の From User: GMAIL.COM(※作成したConstraint のプロファイル名が大文字で表示される)を設定しGmail ドメインの制御を実現しています。
-1.png?width=951&height=241&name=image%20(13)-1.png)
2-4. Policies > Constaint の該当プロファイルはこのような感じで、USERS > Matches で 「*@gmail.com」を指定することで、Gmail ドメインが利用されたことをキャッチするためのプロファイルを作成しています。
.png?width=758&height=328&name=image%20(23).png)
2-5. Skope IT > Alerts の内容を確認すると、Google Accounts : GooglePersonal の APPLICATION で useralert と block のACTION が実施されたことが確認できます。
.png?width=1179&height=197&name=image%20(15).png)
3.引っかかるその3「個人利用の Notion にログインしようとする」(CASB)
こちらもCASBの動きをログイン動作(Login Attempt)で確認します。
3-1. 個人利用のNotion でもログイン画面(https://www.notion.so/login)から、Gmail アドレスとログインコードを入れてログイン試行・・したところで、ユーザーアラートが表示されました。(OK!)今回はここで止めておきます。
.png?width=1129&height=679&name=image%20(16).png)
3-2. Netskope > Real-time Protection > 該当するBlock ポリシーを確認すると #ALERTS が4 に増えたので、ポリシーに引っかかっているのがわかります。
3-3. 該当ポリシー の Destination > Activities > ACTIVITY CONSTRAINTS の From User には、NOT OFFICIAL(※作成したConstraint のプロファイル名が大文字で表示される)を設定しています。
3-4. Policies > Constaint の該当プロファイルはこのような感じで、Google Accounts 制御時のプロファイル(2-4.)とは指定の仕方が異なり、USERS では 「Does not Match」で社内利用するドメインを「*@xxx」で指定し、 「社内で利用するもの以外」といったかたちで評価されるプロファイルを作成しています。
3-5. Skope IT > Alerts の内容を確認すると、Notion の APPLICATION で useralert と block のアクションが実施されたことが確認できます。
4.引っかかるその4「Slack でコンプライアンス違反に抵触するワードを投稿しようとする」(DLP)
DLP(Data Loss Prevention)情報漏洩を防止機能
4-1. DLP はクラウドストレージ等へのファイル内容に応じたアップロード制御、メール送信時のメッセージ内容による制御、生成AI を活用時の投稿するメッセージの内容による制御等、情報漏洩防止を目的としてさまざまなシーンで弊社でも利用しています。今回は情報漏洩の防止ではありませんが、Slack でコンプライアンス違反に抵触するワードを投稿しようとすると一旦投稿がストップされるといったDLP の動作を確認したいと思います。
実際に実施すると、画面の右下よりユーザアラートが表示され投稿が一時的にストップされます。(OK!)もどるボタンで投稿をやめる、すすむボタンで投稿を強行することができますが、今回はここで止めておきます。。「■の仕事」がネクストモードではコンプライアンス的に気をつけるワードとなります。(以下モザイクばかりですが・・)
.png?width=1088&height=353&name=image%20(17).png)
4-2. 該当ポリシーには DLPプロファイル「■■■DLP NG用語集」が紐づいています。
-1.png?width=1196&height=67&name=image%20(18)-1.png)
4-3. 該当DLPプロファイルには DLP Rule 「□□□DLP NG用語集」がさらに紐づいています。
.png?width=894&height=616&name=image%20(24).png)
4-4. 該当DLPルールには「コンプラ辞書」がさらに紐づいています。
4-5. Dictionary の設定を行っています。ルール作成のところでこちらの辞書(Dictionary)となる CSVを紐づけています。一覧として取りこんでチェックさせたいときには便利です。
.png?width=573&height=598&name=image%20(25).png)
4-6. コンプライアンスチェックのワードは下記などの複数のソースから独自にカスタムしたものを採用しています。チューニングを行いながら日々必要なものを一覧に追加しているといったかたちで運用を行っています。
https://github.com/YoshihiroIchinose/E5Comp/blob/main/README.md
4-7. DLP の設定手順に関しては以下弊社 tommy のブログや、辞書の設定は Netskope 公式ドキュメントなどをご参照いただければと思います。
- 【Netskope】DLP を使って利便性を担保しつつ、情報漏洩対策してみた
https://info.nextmode.co.jp/blog/netskope-dlp-setting
- DLP Entity > dictionary
https://docs.netskope.com/en/dlp-entity/#dictionary
4-8. Skope IT > Alerts の内容を確認すると、Slack の APPLICATION で useralert と block のアクションが実施されたことが確認できます。
まとめ
Netskope のベーシックな機能である SWG、CASB、DLP に関して、弊社環境に設定されているほんの一部のポリシーに関する動作を確認してみました。ワーケーション先でも業務で利用する必要のない通信が行われた際は規制されることに加え、チャットツールでの投稿においてはコンプライアンス規制にひっかかる動作がちゃんと確認できました。
チャットツールでのコンプライアンス制御 ではこういったフィルタのおかげで文字でのコミュニケーショントラブルはだいぶ軽減されているんだろうなと思っていたりしております。
明日15日目は まなべさん によるエントリとなります。お楽しみに!
