はじめに こんにちは、 ネクストモード株式会社 の sobar です。Netskope運用におけるTips(小ネタ)をご紹介します。
ネクストモードの赤井です。
Netskopeの中核機能の一つであるSSL Decryption(SSL復号)は、暗号化された通信を可視化し、潜伏する脅威を検知するために非常に重要です。
しかし、パフォーマンスやプライバシー、互換性の問題から、一部の通信を復号の対象外(Do Not Decrypt)としたいケースも存在します。
この「例外設定」を行うにあたり、Netskopeでは様々な条件を柔軟に組み合わせることが可能です。
先日に地味にうれしいアップデートがあり、「Application」での指定が可能となりました。
そこで今回は、この「Application」指定を中心に、まずはNetskopeの例外設定で利用できる全ての条件(Match Criteria)の全体像からご紹介します。
1.Netskopeの例外設定:選択可能な条件(Match Criteria)一覧
SSL Decryptionポリシーの例外条件として、主に以下のタイプを指定できます。
-
✅ Application (本記事のテーマ): Netskopeが識別する個別のクラウドアプリを指定します。特定のアプリだけをピンポイントで対象にしたい場合に最も強力で正確です。
- App Suite: 「Microsoft 365」や「Google Workspace」など、関連するアプリケーション群をスイートとしてまとめて指定します。
対応しているApp Suiteはこちらを参照してください。
-
Category: 「Financial Services」や「Health」など、Netskopeが定義したWebサイトのカテゴリを指定します。特定の業界や種類のサイト群を広く対象にしたい場合に便利です。
-
Domain:
example.comのように、特定のドメイン名を指定します。カスタムアプリや未分類のサイトなど、ピンポイントでドメインを指定したい場合の基本的な方法です。 -
Source / Destination IP Addresses: 通信元または通信先のIPアドレス/サブネットを指定します。特定のデータセンターや社内サーバーとの通信を除外したい場合などに使用します。
このように複数の選択肢がありますが、本記事では特に、アップデートで利用可能になった「Application」指定に注目して、設定方法を紹介します。
なぜ「Application単位」での例外設定がうれしいのか?
前述の通り、これまでもドメイン名やIPアドレスでの例外設定は可能でした。しかし、それらの方法ではドメインやIPアドレスの特定や変更があった際の管理などが手間でしたが、「Application」で指定することにより、Netskopeがアプリケーションの動的な変化に追従してくれるため、管理者はこれらの課題から解放され、より直感的で正確なポリシーを少ない工数で設定できるようになります。
2.設定手順
1. SSL Decryption Policy設定
1.Policies > SSL Decryption > ADD POLICY
2.Match CriteriaからApplicationを選択し対象のApplicationを指定
適用させたい対象を絞る場合は、UserやOS Familyから指定が可能です。
3.その他Action、Policy Name、Statusを設定しSave
2.ログの確認
Skope IT > Page Eventsから設定したSSL DNDを確認することができます。
SSL Do Not DecryptではBypass Reasonに”SSL Do Not Decrypt Bypass Policy Matched”が表示されます。
さいごに
設定自体はとても簡単ですのでご利用中の管理者の皆様は、ぜひ一度、既存の復号除外ポリシーの見直しをご検討されてみてはいかがでしょうか。
