コンテンツまでスキップ

【Netskope活用】サポート終了OSの情報漏洩リスクを最小化する、アクセス制御ガイド

Picture of こやしぃ

 

こんにちは、こやしぃです。

2025年10月14日にWindows 10のサポートが終了(EOS)したことにより、Microsoft社からのバグ修正、脆弱性対策のセキュリティアップデート、
タイムゾーンの更新、並びにトラブル発生時のテクニカルサポートが提供されなくなりました。

業務上の都合で、当面の間Windows 10を引き続きご利用されるお客様も中にはいらっしゃるかと思いますが、サポートの切れたOSを使い続けることで、重大なセキュリティリスクが潜在する点にはご注意ください。

そんなEOS後のWindows 10端末向けに、Netskopeでは各種セキュリティ対策をご用意しています。
今回は、その対策の一部をご紹介します!

※ Netskope社では、原則として最新のOSへのアップデートを推奨しております。
本ブログでご案内する内容は、やむを得ない事情により、OSの更新が困難となるお客様向けの暫定的な対応策となります。

 Windows 10 継続使用のリスク

旧OSであるWindows 10を引き続きご利用される場合、次のようなリスクが想定されます。
  • セキュリティパッチ提供の終了により、新たな脆弱性への対応が後手となる
  • セキュリティツールが正常稼働しない端末では、フォレンジック調査に必要なログや証跡の取得が困難となる
  • プライチェーンの脆弱性が拡大し、取引先経由による、ランサムウェア感染リスクが高まる
  • 脆弱性の隙をついたハッキングなどの恐れがあり、機密情報が盗まれ、悪用される危険性がある
  • サポート終了したOSの継続使用が原因となるインシデントが発生した場合に、ペナルティを課せられる可能性がある


こうしたリスクが存在する中で、Netskopeを使用することで様々なメリットが期待されます。
  • 旧OSにおいてもWebアクセスやクラウドからのファイルダウンロード時に、マルウェアをクラウド側で検知・ブロックする
  • 旧OS端末からの不審な通信を検知した場合に、アクセスを制限するといった条件を設けることで、OSの脆弱性を突かれた後の情報流出を防ぐ
さらにNetskopeの場合、Settings > Security Cloud Platform > Devicesで端末レベルの様々な情報(OSバージョンなど)を取得し、それをアクセス制御の条件にすることが可能です。
 



Device Classification (デバイス分類)による可視化と保護

1. ポイント


NetskopeのDevice Classification (デバイス分類) 機能により、“OS Versionによる端末分類と制御”が可能となります。

※Device Classificationの概要につきましては、リンク先情報をご覧ください。
https://docs.netskope.com/en/device-classification-430812

尚、Device Classificationは、端末にNetskope Clientを導入された環境下でのみ利用可能です。
さらに、Real-time Protection Policy (RTP)  と併用いただくことで、特定条件の端末からのアクセスをブロックすることができます。 
今回はこれらの機能を利用して、『指定のアプリケーションが導入されたOSの端末分類と制御』を目的とした設定を作成し、その手順を示していきます。

Netskopeでは、企業のセキュリティ要件として自社のEDRが導入される仕組みとなっております。弊社では、その一つとしてSentinelOneが組み込まれています。今回は例として「SentinelOneが搭載されたWindows 10のOS端末を、リスクデバイスとして特定する」といった目的でルールを定義してみましょう。

2. 分類の追加方法

今回は、~を目的としてDevice Classificationの設定を行います。

まず、Netskopeの管理コンソール内で、端末状態に基づいて分類を行うための新ルールを作成します。

    1. デバイス分類項目へ移動

      • Settings > Manage > Device Classification へ移動します。

    2. 新規ルールの作成

      • New Device Classificationを選択して、Device Classificationの名称とラベルを作成します。複数のDevice Classification Ruleを作成する場合の、 グループのような役割を示します。


      • 画面左上の白ボタン New Device Classification Ruleを選択します。New Device Classification Rule

    3. 分類条件の設定

      • OSバージョン(例:Windows 10、Windows 11のみを対象とする)、ディスク暗号化の状態、またはデバイス証明書の有無など、セキュリティ要件に基づいた条件を指定して分類ルールを定義します。

        3. 設定例

        この設定は、アクセス元の端末が企業のセキュリティ要件を満たしているかを確認するためのAND条件として機能します。

        今回は『セキュリティリスクのあるWindows10利用中のユーザーが自社ツールを使用することをブロックする』ことを目的として設定していきます。

        以下の設定例の場合、OSとして Windows 10 が稼働していること

        この条件が該当する端末が制御対象となります。

        尚、Windows 11が動作しているPCでも、同様にルールを定義することができます。

         

        4. 検出結果の確認

         デバイス検出の結果は、Netskopeのセキュリティクラウドプラットフォームで確認することができます。

        1. Settings > Security Cloud Platform > Netskope Client > Devices へ移動します。

        2. 画面上の Add Filter をクリックします。

        3.  フィルター項目として Device Classification を選択し、先ほど作成した分類ルールの名前を指定します。

        これにより、指定したルールに合致した端末がリスト表示されます。

        リストの該当端末をクリックすることで、端末のOS情報や、セキュリティ要件を満たしているかを把握することができます。
        また、画面右上のExportをクリックすることで、抽出した条件に一致する機器をCSVで出力可能です。

         

        5. RTPへの適用

        前述の通り、NetskopeではReal-time Protection Policy(以下RTP)とDevice Classificationを連携させることで、特定条件の端末からのアクセスをブロックすることができます。

        今回は、「Device Classification(test-K)で分類したWindows10のデバイスを使って、自社(nextmod.com.jpドメイン)のGoogleアカウントへのログイン試行を試みた場合に、そのアクションをブロックする」ポリシーを実行するべく、設定を作成してみます。」
        • Source = All Users (全ユーザーを対象とするため、空欄にする)
        • Device Classification = test-Kを設定
        • Destination = App Instance >> Google accounts: nextmode.co.jp
        • Activities = Login Attempt (ログイン試行)
        • Profile & Action = Block 
  とめ
 
 NetskopeのDevice ClassificationやRTPによって、Windows10を継続利用する環境でも、OSバージョンに基づいたセキュリティ制御が可能となり、OS移行期間中のセキュリティを確保できます。

旧OSバージョンで端末のセキュリティレベルが低い状態でも、情報漏洩リスクを最小限に抑える各Netskopeの機能をご活用いただければ幸いです!

 

SaaSLP_バナー_20241112更新

 
 


 
,