はじめに こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです...
こんにちは、こやしぃです。
突然ですが、ご使用中のiPhone端末へのNetskope Clientの導入を進められた際に、
社内のDXご担当者として、あるいはNetskopeユーザーとして、導入後の予期せぬ壁に直面したことはございませんか。
「気づくと、『iPhoneを探す』機能がOFFにできない…」 「なぜかApple IDからサインアウトできない…」
このような経験をされたり、一部のiPhoneユーザーから同様の報告が上がったりしたことはありませんでしょうか。
本事象が発生した場合に、Netskopeのドメイン除外設定を行うことで、問題が解消されるケースが存在します。
今回は類似した問題が発生した際の、トラブルシューティング事例をお伝えします!
目次
お悩み
発生事例は、以下の通りです。
- 導入環境:NetskopeクライアントがインストールされているiPhone端末で発生。
- 事象: iphoneの「設定」からApple IDをサインアウトしようとすると、その前ステップである「iPhoneを探す」をOFFにする操作ができない状況。
- 結果: 「iPhoneを探す」がOFFにできないため、Apple IDのサインアウト自体ができない。
対策:「例外設定」の見直し
結論から申し上げると、この事象は、NetskopeがiCloud関連の通信を「ステアリング」(監視・制御)していることが原因であると判明しました。
ご存じの通り、NetskopeにはSWG, CASB, ZTNAといった 様々なセキュリティ機能がありますが、これらのセキュリティ機能を実施するには、まずユーザーの通信をNetskopeが検査できる状態にする必要があります。
その「検査する場所」へと通信を送り込むプロセスを「ステアリング」と呼びます。
ログファイル(.txt や .csv など)を、テキストエディタやExcelなどで開きます。
「iPhoneを探す」をOFFにしようとした(=事象が再現された)時間帯のログをチェックします。
上記のように“Tunneling flow .....to nsProxy” の記述が見られる場合、その通信はステアリングされている状態、つまりNetskopeの処理対象になっています。
言い換えると、その通信がバイパス設定(Exception)によって除外されていないため、Netskopeのクラウドセキュリティポリシーが適用される状況にあることを意味します。
言い換えると、その通信がバイパス設定(Exception)によって除外されていないため、Netskopeのクラウドセキュリティポリシーが適用される状況にあることを意味します。
2. ステアリングの例外(Exception)設定方法
該当通信をNetskopeの処理対象から除外していきましょう。
① Netskopeの管理画面で、Settings (設定) >> Security Cloud Platform >> Steering Configuration に移動します。
② 「Steering Configuration」のリスト(例: Default tenant config など)が表示されます。
③ 例外を設定したいプロファイルの行の右側にある3点リーダーを選択すると、「View Exceptions」という項目がありますのでクリックします。
④ 画面の上部(リストの上)にある「New Exception」(新しい例外)という青いボタンをクリックします。
⑤ ドロップダウンメニューが表示されますので、その中から「Domains」(ドメイン)を選択します。
⑥ 「New Exception」というポップアップウィンドウが表示されます。
⑦ 一番上の「Domains」というテキスト入力ボックスに、以下のように入力します。
*.icloud.com
⑧ 「Action」(アクション)が「Bypass」(バイパス)に設定されていることを確認します。(これがデフォルトです)
⑨ 右下の「Add」(追加)ボタンをクリックして、元の「Exceptions」リストの画面に戻ります。
まとめ
本事象が発生した場合に、Netskopeのログを確認した上で、Exceptionsに*.icloud.comを新規で設定し、端末側で設定を更新すると、
「iPhoneを探す」が正常にOFFにでき、Apple IDも無事にサインアウトできるようになるケースがあります。
もし同様の現象でお困りの場合は、Netskopeのログと例外設定(Exceptions)を見直してみることをお勧めします。
