25/03/26 9:06

【Netskope】【運用】User Notification Template 作成について

sobar

はじめに

こんにちは、ネクストモード株式会社の sobar です。Netskope の運用系の小ネタもご紹介していけたらと思っています。

Netskopeとは

Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです。

詳細は下記を御覧ください。

User Notification Template とは？

ユーザ端末で通信をブロックしたり、ユーザアラートを発生させた際、その端末側で表示させる通知内容やメッセージ内容を User Notification Template を使用してカスタマイズすることができます。カスタム画像を追加することで、例えば会社のロゴを使用した通知も作成が可能となります。

ブロック・ユーザアラートの内容がどういったものかをユーザにも通知することで、社内利用規定より外れた使い方をした、もしくは注意が必要な操作であったことをユーザが強く認識することができ、ユーザのセキュリティ意識が高まる効果も期待できます。

ユーザアラートは、該当の操作・通信を行う前に一呼吸置おいて実施を考えさせるために使用できますが、そこでユーザにユーザアラートの警告を出すと同時に理由を記載させるためのテキストボックスを設け、理由を記載させた後終了、または処理を実施（Proceed）させるという注意喚起を目的とした設定をすることもできます。入力した内容はログ等で別途確認が可能です。（※以下、『その他 > ユーザアラートメッセージにユーザが入力した正当化理由の確認』に確認方法記載。）

以下はユーザーアラート（Show Justification Box使用）の参考画面となります。
Netskope_User_Notification_11

弊社で作成しているUser Notification Template について

弊社で作成しているUser Notification Template の一例（一部）をご紹介します。

（※以下 Template名：テンプレート内容のかたちで記載してますが、実際には諸々の都合でTemplate 名は実際のものより変更しているものもございます。内容含めあくまでも参考情報としてご参照いただけますと幸いです。）

Block

Block Security Risk Site：セキュリティリスクサイトの表示をブロック
Block File Upload：ファイルのアップロードをブロック
Block File Upload for Encrypted：暗号化ファイルのアップロードをブロック
Block Malware Detection：ダウンロード、もしくはアップロードしようとしているファイルでマルウェアを検知しブロック
Block Web Access：利用禁止サイトのブロック

User Alert

PPAP Detection：パスワード付きZipファイル（PPAP）のダウンロードを検知
Secret Access Key Detection：シークレットアクセスキーを検知
Upload of Confidential Information to Slack Detection：Slackへの機密情報のアップロード検知
Compliance Violation Detection：コンプライアンス違反検知
Company Upload Warning：企業情報のアップロード警告
Personal Account Detection：個人アカウント検知
File Uploads to Unauthorized SaaS：非認可SaaSへのファイルアップロードを検出

Block画面メッセージ例①：暗号化ファイルのアップロード（Block File Upload for Encrypted）

例えば、暗号化ファイルのアップロードは一律ブロックし、操作が必要な場合はシステム管理者に連絡をするといった社内のルール化を進める際も本Template の利用が役立つ場合もあるかと思います。

Netskope_User_Notification_04

TITLE

暗号化ファイルをアップロードしようとしています

MESSAGE

この操作はシステム管理者によって禁止されています。

操作が必要な場合には、システム管理者にご連絡ください。

Block画面メッセージ例②：マルウェア検知（Block Malware Detection）

ユーザへの通知内容の詳細をお伝えすることで、ユーザ側にどういった理由でBlock もしくは User Alert アクションが実施されたのかを知らせることができます。例えばマルウェア検知のブロック通知の場合はユーザへの対応方針もメッセージに添えて通知＆案内することで、実際にインシデントが起こったときの対応に対する速やかな行動を促すことができます。

Netskope_User_Notification_02

TITLE	マルウェアを検知しました。
MESSAGE	ダウンロードもしくはアップロードしようとしているファイルでマルウェアを検知しました。アラートの画面キャプチャを撮って、速やかにSlackチャンネル「#02インシデント対応窓口チャンネル」相談してください。

ユーザアラート画面メッセージ例①：コンプライアンス違反検知（Compliance Violation Detection）

また、業務で使用するslack などのコミュニケーションツールでコメント時のワードやコメント内容によっては、その内容自体を気に掛けるように通知を行うこともでき、社内での不要ないざこざ、揉め事も減らす効果も期待できます。

Netskope_User_Notification_03-1

TITLE

コンプライアンスに関わる文言を検出しました！

MESSAGE

相手に配慮しましょう。

誤検知なら笑いましょう。

※上記弊社で作成しているUser Notification Template のイメージをいくつかご紹介させていただきましたが、こちらを実現するための、具体的なDLP のプロファイル、ルール作成、Real-time Protection ポリシーの設定方法についての記載はここでは割愛いたします。

User Notification Template 作成方法について

実際には以下の流れで User Notification Template を設置するかたちとなります。

User Notification で TEMPLATEを追加
該当 Real-time Protection ポリシーにUser Notification Template を紐づけ

User Notification Template 作成は Policies > Templates > User Notification で ADD TEMPLATE > Cloud Apps ＆ Web より作成を行います。

Netskope_User_Notification_01-02

Netskope_User_Notification_06

以下①～⑬（* は必須、その他は必要な分）の設定を行います。

Netskope_User_Notification_05-06

上記⑬でSAVE を押しただけではTemplate作成・変更含めTemplate が設定された状態となっていないため、User Notification 画面右上の

APPLY CHANGES も忘れずに実施ください。

Netskope_User_Notification_12-1

補足 > ③STRIPE COLOR

③STRIPE COLOR は、通知メッセージの上部のラインの色となります。以下は Stripe Color に #1A08A6を設定した場合のイメージです。
Netskope_User_Notification_28

Netskope_User_Notification_29

補足 > ④Localization

④Localization は、地域ごとに通知するメッセージ内容を分ける場合に設定します。例えば、Englishに加えて、ドイツ（German）、日本（Japanese）の地域ごとに表示させる内容を変えたいといった場合は、「＋」ボタンよりそれぞれGerman、Japaneseを追加します。

Netskope_User_Notification_13-02

それぞれのタブ（English、German、Japanese）ごとに通知、設定する内容を入力するかたちとなります。

Netskope_User_Notification_14-1

※各地域ごとの設定を行う場合の別の設定方法として、SAMPLE TEMPLATE をダウンロードし、Import をする方法があります。

SAMPLE TEMPLATE は、以下の場所よりダウンロードします。

Localization 設定メニュー > 「＋」ボタン > Import 選択

Netskope_User_Notification_15

SAMPLE TEMPLATE よりCSVをダウンロードし、必要分内容を記載し同画面にUPLOAD、設定を行うことができます。

Netskope_User_Notification_16-1

Netskope_User_Notification_17

（Localization_Sample.csv）

補足 > ⑥INSERT VARIABLE

⑥INSERT VARIABLE をクリックすると、6つの値が表示され使用できそうです。例えば、Application name をクリックすると

Netskope_User_Notification_19

以下のような変数がMESSAGE に入力されます。残りの5つも同様に入力しておきます。

Netskope_User_Notification_26

Netskope_User_Notification_25

上記の設定を行った状態で、実際にGoogle Drive へのアップロード時の警告画面を見てみると以下のような表示を確認しました。このような値をユーザ通知に含めたい場合は設定いただければと思います。

Netskope_User_Notification_27

Netskope_User_Notification_34

補足 > ⑩Show Justification Box

Show Justification Box のチェックを入れることでユーザにメッセージを入力させることが可能となりますが、以下の画面で３つあるそれぞれ設定可能な項目について補足します。

Netskope_User_Notification_32

Enter hint text for input box：こちらはテキストボックス上に入力内容のヒントとなるメッセージを表示させる場合に入力します。実際にはユーザが入力を開始するとメッセージは消えるような動きとなります。
Make input optional for the Stop Button ＆ Make input optional for the Proceed Button：こちらの項目はテキストボックスへの入力を強制したい場合はチェックをつけない、任意の場合はチェックをつけるといったかたちとなります。チェックをつけない場合はテキストボックス上の入力が無いとStopボタン、Proceedボタンを押してもそれぞれ反応が無いといったかたちとなります。

該当 Real-time Protection ポリシーにUser Notification Template を紐づけ

User Notification Template はポリシーへの紐づけが完了し設定終了となります。Policies > Real-time Protection より該当のポリシーを選択し、Profile ＆ Action > Template より選択＆紐づけを行います。以下は「Block File Upload for Encrypted」というUser Notification Template を「Block File Upload for Encrypted」というポリシーに紐づけた状況となります。

Netskope_User_Notification_10

該当のポリシー紐づけ後、Real-time Protection 画面の右端の APPLY CHANGES ボタンを押して設定終了となります。

Settings（User Notification 全般の設定画面）について

User Notification 全般の設定が行える Settings というメニューがあります。こちらは必要に応じて設定変更を行います。

User Notification 画面右端の歯車のアイコンをクリック、該当設定画面に遷移します。

Netskope_User_Notification_22

DELIVERY＆TIMEOUT では、Cloud Apps、Web Traffic のUser Notification の通知をNetskope Client より行うか、Browser で行うかどちらかを選択（デフォルトはNetsope Client）でき、その下のNOTIFICATION TIMEOUT では、ユーザーにポップアップ通知を表示する秒数の設定が行えます。（デフォルト60秒、最大600秒）

Netskope_User_Notification_23

MUTE タブでは、最初の通知後に繰り返し通知を抑制する期間を制御できます。範囲は 1 分～ 48 時間で、ブロック、ユーザアラートに適用できます。

Netskope_User_Notification_24

その他 > User Notification Template設定内容変更時に反映されない場合

一度ポリシーに紐づけて運用しているUser Notification Template の内容の変更を行っても、設定内容によって実際の動作に反映されない（？）といった場合は、新たにUser Notification Template作成、該当のポリシーへの紐づけを行い設定反映状況をご確認ください。

その他 > ユーザアラートメッセージにユーザが入力した正当化理由の確認

ユーザアラートメッセージ出力時にShow Justification Box (上記設定⑩)設定時、続行（Proceed）した際のユーザが入力した正当化理由の確認したい場合は、いくつか確認の方法があります。

Skope IT > Alerts より、ACTION：Proceed でフィルタ（action eq 'proceed'）してユーザアラートメッセージ且つProceed したものを表示します。Alerts Details 画面より GENERAL > Justification Reasonよりユーザ入力内容が確認できます。

Netskope_User_Notification_33-3

統計の確認であれば Advanced Analytics > Netskope Library > Coaching Policy Dashboard などで確認が可能です。

更に見やすい統計を... といった場合は下記のブログにあるような Wedget の作成もご検討いただくのが良いかと思います。

（参考）Policy Action 'User Alert'

https://community.netskope.com/policy-action-56/policy-action-user-alert-6081

※Advanced Analytics はオプション契約で追加の契約等をされていない場合（デフォルト状態）は、ログは7日分のみ保持した状態となりますので、統計は7日分の内容で確認が可能となります。

参考

Policy Notification Templates

https://docs.netskope.com/en/policy-notification-templates/

User Notification - User Alert with mandatory End-User Justification

https://community.netskope.com/user-notifications-55/user-notification-user-alert-with-mandatory-end-user-justification-6080

【Netskope】クラウドストレージへのアップロードを禁止してみた

https://info.nextmode.co.jp/blog/netskope-block-upload-to-cloudstrage

【Netskope】ワーケーション中にNetskope に引っかかってみた（SWG, CASB, DLP）

https://info.nextmode.co.jp/blog/got-caught-by-netskope-during-a-workation

さいごに

いかがでしたでしょうか。弊社で作成しているUser Notification Template についてもいくつかご紹介させていただきましたが、社内で必要なセキュリティポリシーに従った運用を行うため、ユーザに通知するメッセージ含め参考にいただけるところがございましたら幸いです。

加えて User Notification Template は設定できる内容が多少あるため少し解説をさせていただきました。

もしNetskope は社内で利用しているが、User Notification Template は使用されていないといった場合はセキュリティ意識の向上をメンバーに促すことにも繋がるかと思いますので、是非 User Notification Template をご活用いただければと思います。

Netskope, 技術