コンテンツまでスキップ

【Netskope】シャドーITをブロックし、SaaS利用を承認制にしてみた

Picture of tommy

はじめに

こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです

ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています

今回はNetskopeでできる基本的な設定の一例として、会社で認可されていないSaaS(シャドーIT)の利用を禁止する設定をご紹介します

また、部署内での認可SaaSもあるかと思いますので、そのようなSaaSを情シスにどう連携するかもご紹介します

Netskopeとは

Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

詳細は下記を御覧ください

 

 

 

設定してみた

今回は下記を設定していきます

  1. 認可SaaS、非認可SaaSの定義設定
  2. 非認可SaaSをBlockする設定、実際の挙動

認可SaaS、非認可SaaSの定義設定

まずはじめに、初期状態であればどのSaaSもUnsanctioned(非認可)なSaaSの設定になっています

それをSanctioned(認可)なSaaSに設定していく必要があります

SanctionedかUnsanctionedかを確認するには、CCIか、Skope ITのApplicationsから確認できます

NetskopeのApplications

 

それではUnsanctionedからSanctionedへの設定をしていきます

まずはNetskope管理画面の CCI から対象のSaaSを検索し、Searchします

例としてGoogle DriveをSanctionedに設定していきます

NetskopeのSearch app

検索結果のGoogle Driveをクリックするとこのような画面に遷移します

NetskopeのCCI_GoogleDrive

この赤く囲っている部分がUnsanctionedになっている部分です

見ていただいてわかるように、こちらUnsanctionedになっている部分を編集できます。View Moreの右側、鉛筆マークをクリックすると編集可能です

Netskopeタグ編集

ここでSanctionedに設定するだけです。これでNetskope上では「Google DriveはSanctioned(認可)SaaS」と定義できました

ただ、これだけだと定義しただけですので、Sanctionedと定義したものもしくはUnsanctionedのものをどう制御するのかを設定する必要があります

ちなみにですが、CCIで出来ることは別のブログにまとまっていますのでご覧ください

非認可SaaSをBlockする設定、実際の挙動

さて、今回はUnsanctionedなSaaSをBlockしていきます

弊社はGoogle DriveはSanctionedですが、BoxはUnsanctionedです。これを設定し、Google Driveには問題なくアクセスでき、BoxではBlockとなるか確認していこうと思います

NetskopeのCCI_Box

設定にうつります。Netskope管理画面の Policies  →  Real-time Protection  から NEW POLICY を作成します

今回は下記のように設定しています。この状態ですと、Sanctionedのタグが付いていないCloud StorageであればBlockされるという設定です。カテゴリーの部分をすべて選択すると、シャドーITの完全禁止も実現可能です

ポリシー設定画面

設定は以上になります

実際のBlock画面

それでは試してみましょう

Google Driveは問題なくアクセスできることを確認しました。Boxにアクセスしてみましたが、下記のような表示がされました

BoxをBlock

想定通りの動きですね。UnsanctionedなCloud Storageは同じ動作をするので、Firestorageにもアクセスしてみましたが、同じ結果でした

普段可視化だけではあまり利用している感がないNetskopeですが、これはユーザが制御されていると感じますね

管理者の見え方

Skope IT →  Alerts で確認可能です

下記のように、Blockのアラートがきちんと出ています

例えばですが、今回はReal-time Protection の部分でActivitiesをAnyに変更しましたが、Uploadだけ禁止にしたりもできますので、細かい制御が可能です

Netskopeアラート

認可SaaSへの申請方法

UnsanctionedなSaaSをBlockする方法はわかりました。ただ、部署内で認可しているSaaSや新規で利用したいSaaSを情シスのNetskope担当者にどのように連携するか悩まれるケースがあると思いますので、そのような場合の案をご紹介します

案1)Slackやメールで情シスに連絡して認可SaaSを設定してもらう

一番初めに思いつくのは「Slackやメールで連絡する」だと思います。証跡として残すことも可能かと思います。ただこの場合、他のSlackやメールに埋もれてしまったり、全社員を同じSlackチャンネルに入れるなど少し運用がうまくいかない点が多々出てきそうですね、あまりおすすめできない方法です

案2)部署ごとにNetskopeの管理者を払い出し、その管理者が設定する

これはセキュリティの観点からあまりおすすめできません。管理者は最小限の方がいいですし、数年利用していない管理者アカウントって何かとこわいですよね

案3)フォームで連絡し、認可SaaSを設定する

弊社は社内申請をフォームで行っています。フォームはGoogle フォームが良く使われているかと思いますが、証跡も残りますし、フォームの受け取り手も複数人いれば、手の空いている管理者が設定すれば短時間で設定可能です。定型フォーマットだと管理者にもユーザにもやさしいですね

弊社はAsanaフォームを利用しているのでご興味ある方は相談してください

 

さいごに

今回はシャドーITをBlockするということで、Cloud Storageの非認可SaaSをBlockしてみました

Netskopeは細かい制御もできますのでぜひ一度お試しいただきたいです

弊社ではNetskopeの導入運用支援サービスも行っておりますので導入/運用に不安がある方、ぜひ一度弊社にお問い合わせください!
,