はじめに こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです...
はじめに
こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです
ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています
今回は話題のAI開発会社DeepSeekの生成AIを利用する場合に制御したい!や利用を禁止したい!という場合の制御を紹介していきたいと思います
Netskopeとは
Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです
詳細は下記を御覧ください
DeepSeekについて
DeepSeekは中国のAI開発会社であり、その会社が作った大規模言語モデル(LLM)が低コストであるということで注目が集まっています
利用について、安全上の理由から使用制限や注意喚起がされている国もあるなど様々な話題を呼んでいます
下記にNetskopeからの情報もありますので、ぜひ御覧ください
DeepSeekを制御/禁止してみた
DeepSeekをNetskopeで制限/禁止するには、下記の選択肢があります
- URLを指定し、アクセス制限/禁止
- DLPで制限/禁止
- CCIのスコアで制限/禁止
- ログインIDのドメインで制限/禁止
今回は上2つをやっていこうと思います
残り2つは下記を御覧ください
それでは、設定をしていきます
URLを指定し、アクセス制限/禁止
設定手順としては、
- URLリストを作成
- URLリストを含んだカスタムカテゴリーを作成
- 制御ポリシーの作成
になります。詳細はこちらを御覧ください
まずはURLリストを作成します
管理コンソールではPolicies > URLList > NEW URL LISTで設定可能です
下記のように設定していきます。DeepSeekのトップページ、chat.deepseek.comを含めることをイメージしています
-1.png?width=637&height=531&name=image%20(20)-1.png)
続いてカスタムカテゴリーの作成です
カスタムカテゴリーはPolicies > Custom Category > New Categoryで設定可能です
下記のように、先ほど作成したURL Listを含めたカテゴリーを作成します
-2.png?width=764&height=435&name=image%20(21)-2.png)
最後に制御ポリシーの作成です。今回は禁止を想定し、Blockで設定しました
-1.png?width=1000&height=502&name=image%20(22)-1.png)
Block以外でも、管理コンソールのログだけに表示するAlertであったり、User Alertも設定可能です
これでDeepSeekにアクセスしに行くと、下記の設定が出てきてBlockされます。この表示はカスタマイズ可能ですので、制御ポリシーの設定のBlockの右側、Templateで設定してみてください
-1.png?width=1000&height=286&name=image%20(23)-1.png)
ログはどんなものが取れているかというと、このような形です-1.png?width=1000&height=216&name=image%20(24)-1.png)
詳細です。ユーザー情報やソース情報、宛先情報は割愛していますが、SaaS名やURL等の記載があります。今回はBrowseで検知されましたが、ファイルのUploadだけ止めたいなどであればBrowseは選択せず、UploadをBlock対象にするなどもよいでしょう
-1.png?width=879&height=519&name=image%20(25)-1.png)
DLPで制限/禁止
続いてのDLPの設定手順としては、
-
DLPルールの作成
-
DLPプロファイルの作成
-
制御ポリシーの作成
になります。詳細はこちらを御覧ください
まずはDLPルールです
管理コンソールではPolicies > DLP > EDIT RULES > Data Loss Prevention > Rules > NEW RULEで設定可能です
-1.png?width=841&height=185&name=image%20(27)-1.png)
今回は機密情報の流出を想定し、設定します。機密情報という単語を検知した場合を設定します
-1.png?width=1000&height=533&name=image%20(26)-1.png)
続いてDLPプロファイルです
DLPプロファイルはPolicies > DLP > NEW PROFILEで設定可能です
先ほど設定したDLPルールを含んだDLPプロファイルを作成します
-2.png?width=976&height=657&name=image%20(28)-2.png)
最後に制御ポリシーの作成です
「URLを指定し、アクセス制限/禁止」で作成したカテゴリーを対象とし、その際にDLPの検知を行います
DLPではBrowseとLogin Attemptは選択できないので、UploadとDownloadを設定します。今回はUploadを試してみます
また、User Alertとしていますが、機密情報の漏洩であればBlockが良いかと思います。今回はデモ+User Alertだとどのようになるか見ていただければと思います
.png?width=1000&height=503&name=image%20(29).png)
User AlertいがいでももちろんBlockも設定できます
試してみたところ、機密情報.xlsxのUploadは利用の理由を書く欄とStop/Proceedが出てきました。Stopを押すとBlockされ、Proceedを押すと続行できます
.png?width=1000&height=395&name=image%20(30).png)
また、ログについては下記のように出てきます
.png?width=973&height=248&name=image%20(31).png)
詳細のログは下記のようになり、理由の欄に記載した「テストです」も反映されています
.png?width=803&height=542&name=image%20(32).png)
今回の設定で、URLを指定した利用禁止とDLPのユーザー通知の設定ができるようになり、セキュリティポリシーに沿った制御ができるようになったのではないかと思います
さいごに
いかがでしたでしょうか。制御自体はそこまで時間をかけずに設定ができるのではないかと思います。また、利用全面禁止はもちろん、細かい制御もできることがNetskopeの良いところかと思います。今後もNetskopeを使って柔軟にセキュリティを高めていければと思っています
