【Netskope活用術】URL Lists → Destination Profiles 移行ガイド

» Netskope » 技術
こやしぃ こやしぃ

 

こんにちは、こやしぃです。

Netskope の管理コンソールで、Policies > Profiles > URL Lists  を開いた時に、以下のような警告バナーが表示されていることに気づかれた方もいらっしゃるのではないでしょうか。

"The URL Lists will soon be deprecated. Migrate URL Lists to Destination Profiles and Custom Categories using URL Lists to use Destination Profiles.”

URL Lists

このメッセージを見て“今すぐ対応が必要なのではないか?”と考えられた方がいるかもしれません。

しかし、現時点では即座に対応すべき事項はございません。URL ListsのEOL時期は未定であり、 URL Lists と新しい Destination Profiles は同じポリシー上で共存できます。

一方、なぜ今回ブログを書いているかというと、移行作業は自動では行われない為、手動で対応する必要があるからです。EOLの時期が来た時に慌てる事がないよう、余裕のあるうちに準備を進めていただくことをお勧めします。

このブログでは、URL Lists から Destination Profiles への移行方法を、手順・注意点・Q&Aまで含めて紹介します。

Destination Profilesとは? URL Listsとの違い

URL Lists のおさらい
 URL Lists は、特定のWebサイトやドメインをグループ化して、セキュリティポリシーで一元管理・制御するための機能です。許可・ブロック・監視するURLをリスト化して、Custom Category やポリシーから参照することで、アクセス制御を実現してきました。 
 
Destination Profiles とは
 Destination Profile は、URL Lists の後継として設計された新しいポリシーの要素です。単純なリストの置き換えにとどまらず、以下のような点で従来の URL Lists を大きく拡張しています。 
 

■ Destination Profiles の主なメリット 

  • Policy CRUD REST API v2 への対応  REST API v2 を使ったポリシー操作が可能になります。自動化・スクリプト活用を進める上で Destination Profile への移行は大きな変更点となります。

  • Policyへの直接アタッチ Custom Categoryを介することなく、Real-time Protection内でDestination Profile を直接参照・Policyへ紐づけすることができます。
    尚、Custom Categoryは引き続き利用可能ですので、Custom Category から Destination Profile を参照して利用することもできます。
  

 移行前に把握しておくべきこと 

移行作業を始める前に、いくつかの前提条件と注意事項を整理しておきます。

📍データは自動移行されない

冒頭に記載した通り、URL Lists の内容は自動的に Destination Profile にコピーされません。 移行を行うには、管理者自身が管理コンソール上で実行する必要があります。実行すると、URL Lists の内容が Destination Profile として複製されます。元の URL Lists は削除されず、そのまま残ります。

📍共存期間について

 URL Lists と Destination Profile は、2025年5月20日以降〜EOL(未定)まで共存して利用可能です。この期間中は、RTP ポリシー上で両者を並行して使い続けることができます。共存期間中であっても、新規で作成するものは Destination Profiles を使用することを推奨します。 

📍Custom Category・ポリシーの参照先切り替えは手動作業

URL Listsの移行だけでなく、Custom Category や既存ポリシー内の URL Lists 参照を Destination Profile に置き換える作業は、管理者が手動で行う必要があります。 この点は見落としやすいので注意してください。

📍Cloud Exchange 利用者への注意

Cloud Threat Exchange (CTE) を利用し、URL共有機能を使用している場合は、Destination Profile での設定更新前にCloud Exchange を v6.1.0 以上にアップグレードしましょう。バージョンが古いままだと、移行後に連携が正常に機能しない可能性があります。

📍REST API 利用者への注意

REST API を使用している場合、ポリシーに Destination Profile を実装する前に、 既存のスクリプトまたは自動化されたワークフローがDestination Profile v2 API に対応しているか確認してください。v2 API に対応していない古いスクリプトは、移行後に動作しなくなる可能性があります。

移行手順

それでは、実際の移行手順を順を追って説明します。
 

① 新しい URL Lists UI の有効化を確認する

まず、管理コンソールの Policies > Profiles > URL Lists を開き、移行バナーと移行メニュー(DUPLICATE TO DESTINATION PROFILE)が表示されているか確認します。

DUPLICATE TO DESTINATION PROFILE

このメニューが表示されていれば、テナントでは新しい URL Lists UI が有効化されており、Assisted Migration ツールが利用可能な状態です。

表示されていない場合: 移行にはCustom Category v2が有効になっている必要がありますが、現在既知の問題のために有効となっていないテナントがございます。移行はテナントグループ毎に段階的に行われる予定ですので、表示されるまでしばらくお待ちいただくか、弊社へご連絡ください。

② Assisted Migration ツールで Destination Profile を作成する

移行メニューが表示されたら、URL Lists の内容を Destination Profile に複製します。

・個別に移行する場合

  1. URL Lists の一覧から、移行したいリストを1つ選択します。
  2. 該当リストのメニューから [DUPLICATE TO DESTINATION PROFILE] をクリックして、DUPLICATEをクリックします。DUPLICATE
  3. Destination Profile が作成されたことを Policies > Profiles > Destination Profiles で確認します。
    Destination Profiles

・一括で移行する場合

  1. URL Lists の一覧画面上部にあるNAMEの横にあるボックスをクリックします。
    URL Lists2
  2. [DUPLICATE ALL TO DESTINATION PROFILE] を実行します。
  3. すべての URL Lists が Destination Profile として複製されます。

ポイント: 一度作成した後でも、上書き更新が可能です。URL Lists の内容を後から変更した場合は、後述の方法で再実行して同期を保ちましょう。

また個別・一括問わず、移行後は必ず View pending changesを開き、Apply Changes ボタンをクリックして反映することを忘れないようにしましょう。押し忘れると、上記が適用されないので注意してください。

View changes

③ Custom Category の参照先を Destination Profiles に切り替える

Destination Profile の作成が完了したら、次はCustom Category 内で URL Lists を参照している箇所を Destination Profile に置き換えます。

・個別に対応する場合

  1. Policies > Profiles > Custom Categories を開きます。
  2. 対象の Custom Category をEdit で開きます。
  3. Selectで対象のDestination Profile  へ置き換えます。

    Definition
  4. 変更を保存し、Apply します。

今のうちにやっておくべきこと

現時点ではEOL の正式発表前ですが、以下の準備を今から進めておくことを推奨します。

  1. 現在の URL Lists の棚卸し 使用中のリストを一覧化し、参照元(Custom Category / ポリシー)を確認する
  2. Cloud Exchange のバージョン確認 CTE を使用中であれば v6.1.0 以上かチェックする
  3. REST API スクリプトの確認 v2 API への対応状況を確認し、必要に応じて計画を立てる

よくあるFAQ

Q1. 移行後も URL Lists は残りますか?いつ削除できますか?

A.【DUPLICATE TO DESTINATION PROFILE】は URL Lists を複製するだけですので、元の URL Lists は削除しません。移行完了後も URL Lists はそのまま残ります。ただし、移行作業が完了しすべての参照先を Destination Profile に切り替えたあとは、URL Lists は使用せず、Destination Profilesタブで新規作成するようにしてください。URL Lists の削除タイミングについては、EOL のアナウンスを待ってから判断することをお勧めします。

Q2. Custom Category v2 が有効になっていないテナントはどうすればよいですか?

A. Custom Category v2 は、Netskope 側の既知の問題により一部テナントでまだ有効化されていません。この場合、移行バナーや Assisted Migration ツールも表示されません。Netskope 側で順次対応を進めていますので、しばらくお待ちいただくか、お問い合わせいただければ、状況を確認させていただきます。

Q3. REST API スクリプトはそのまま使えますか?

A. URL Lists を操作している既存のスクリプトや自動化ワークフローは、Destination Profile v2 API に対応しているか確認が必要です。v2 API に対応していないスクリプトは、移行後に正常動作しなくなる可能性があります。移行前にテスト環境で動作確認を行い、必要に応じてスクリプトを更新してください。

Q4. 移行を複数回実行しても問題ありませんか?

A. 問題ありません。URL Lists の内容を後から追加・変更した場合は、対象のURL Listsの三点タブから、Duplicate Again > To Override the Duplicated Destination Profileを選択いただくことで Destination Profile に反映できます。

まとめ

  • 今回の移行に伴い、即座に対応する必要はありませんが、上記作業を早めに進めておきましょう。
  • 移行が完了したら、URL Lists は使用を停止し、今後はすべて Destination Profiles で管理していきましょう。

ブログの内容にご不明な点等がございましたら、お気軽にお問い合わせください!

参考リンク


SaaSバナー_Netskope