コンテンツまでスキップ

【Netskope】インスタンス(テナント)制御とログインアカウント制御の違い

Picture of サイドウ

はじめに

こんにちは、 ネクストモード株式会社のサイドウです。

Microsoft 365やGoogle Workspaceのようなプラットフォームでは、個人のアカウントと会社のアカウントを使い分けるシーンも増えてきました。Netskopeは、このような複雑なクラウド利用環境において、きめ細やかなアクセス制御を実現する強力な機能を提供しています。

本ブログでは、Netskopeの数ある機能の中でも特に混同されがちな「インスタンス制御」と「User Constraints(ユーザ制約)」に焦点を当て、その違いと適切な使い分けについて分かりやすく解説します。

結論:何が違うのか?

 まず、それぞれ概要をつかみましょう。

・インスタンス制御とは

会社として許可した特定のインスタンス(テナント)へのアクセスのみを許可する機能です。

例えば、自社のMicrosoft 365テナント(例: 自社.onmicrosoft.com)へのアクセスは許可し、それ以外のテナントへのアクセスは全面的に禁止します。アクセス先の宛先インスタンスを見て制御の判断を下します。

 

・User Constrants(ユーザ制約)とは

特定のユーザーやグループに対して、許可されたアカウント以外でのログインを禁止する機能です。

例えば、会社の業務用アカウント(例:*@nextmode.co.jp)以外でのMicrosoft 365へのログインをブロックします。ユーザーがどのアカウントでログインしようとしているかを識別し、制御の判断を下します。

 

結局自社のSaaS以外をブロックできるんでしょ。一緒じゃん!? 

 → 違います。

制御の対象(場所かヒトか)が違うものの、結果は一緒になりそうと思われがちな両者ですが、制御できる範囲が明確に異なります。違いをざっくり表にまとめます。

比較項目

インスタンス制御

User Constraints

制御の対象

場所=クラウドサービスのインスタンス(テナント)

ヒト=ユーザーアカウント

主な目的

非許可インスタンスへのアクセス全般の禁止

許可されていないアカウントでのログイン防止

個人アカウントの不正利用
事例:会社のPCから個人のM365テナントにログインし、ファイル操作をする

制御可能

制御可能
会社アカウントのゲスト利用
事例:自社アカウント(user@自社.co.jp)で、個人のM365テナントにゲストアクセスし、ファイルをアップロードする		 制御可能 不可
未許可の取引先テナントへのアクセス
事例:自社アカウントで、取引先のSharePointにアクセスしようとする		 制御可能 不可

上記のとおり、インスタンス制御の方がより狭く厳密に情報漏洩対策を実施することが可能です。

例えば以下のようなポリシーを実装する場合、②の制御はインスタンス(テナント)制御でしか実現できないという事です。

Netskopeでは、インスタンス識別が可能なSaaSの種類が圧倒的に多く、ポリシー例のように細かく制御を適用したい場合、最も推奨される製品だと思います。

インスタンス制御とUserConstraints

インスタンス制御の動作を確認する

【設定したポリシー】
非許可インスタンスに対するアップロード/ダウンロードに対してユーザーアラートを発生させます。

ポリシー例

【動作確認】

・ 企業SaaSへのファイルアップロードを実施
 こちらは認可されたインスタンスのため、アラートも無くアップロード可能です。

企業Teamsへのファイルアップロード

・ 顧客Teams環境にゲストアクセスし、ファイルをアップロード
 非認可インスタンスのため、ユーザーアラートが表示されます。前述の通り、このようなゲストアクセスの場合、ログインアカウントは企業のメールアドレスのため、インスタンス制御でなければ防止できません。

非認可Teamsへのファイルアップロード

 

ログインアカウント制御の動作を確認する

【設定したポリシー】
キャプチャの通り、非許可インスタンスに対するアップロード/ダウンロードに対してユーザーアラートを発生させます。

ポリシー例

【動作確認】

個人用Googleアカウントのログイン
 企業ドメイン以外のアカウントログインのため、キャプチャの通りUser Constraintsによるブロックが可能です。

個人Googleアカウントへのログイン

 

 まとめ

Netskopeの「User Constraints」と「インスタンス制御」は、どちらも強力なクラウドアクセス制御機能ですが、その役割は明確に異なります。どちらか一方が優れているわけではなく、解決したい課題に応じて使い分けることが重要です。

  • User Constraintsは「誰が、どのアカウントで」を制御する 「会社のPCからは、会社のIDでしかログインさせない」というように、**ID(人)**を軸にした制御です。個人アカウントの利用によるシャドーITや、意図しないアカウントでのログインを防止したい場合に最適です。

    • こんな時に最適:

      • 従業員が個人のGmailやMicrosoft 365アカウントを利用するのを防ぎたい。

      • 許可された業務用アカウントでのログインを徹底させたい。

  • インスタンス制御は「どこにアクセスし、データを置くか」を制御する 「会社が契約しているテナント以外には、一切アクセスさせない」というように、場所(テナント)を軸にした制御です。許可されていないクラウドインスタンスへのデータアップロードによる情報漏洩を包括的に防ぎたい場合に非常に有効です。

    • こんな時に最適:

      • 取引先や個人のテナントへのファイルアップロードを禁止し、情報漏洩を防ぎたい。

      • シャドーITとして利用される野良テナントへのアクセスを全面的にブロックしたい。

途中記載しました通り、インスタンス制御はNetskopeの大きな強みの一つなので、ぜひ活用していただきたいです!

SaaSLP_バナー_20241112更新

 
, ,