CYBERNET
  

連携ソリューション OneLogin × Netskope

テレワークの普及やDXの加速で、クラウドサービスを利用する企業は増えています。そのような環境下において、Netskopeはクラウドサービスの安全な活用に欠かせないソリューションです。

Netskopeはインターネット上に「Netskope Security Cloud」を用意し、SaaSなどのクラウドサービスへのトラフィックをいったんここに集めることで、クラウドサービスへのきめ細かいアクセス制御を行えます。例えば、個人アカウントでのクラウドサービスの利用制限や、機密情報のアップロード禁止、社外ユーザーに対するファイル共有の禁止など、様々な制限を加えることが可能です。またNetskopeはSWGの機能を有しているため、Webサイトへの安全なアクセスもサポートしており、アクセスログも取得可能です。

そしてNetskopeはIDaaS製品OneLogin(ワンログイン)と組み合わせて利用することで、さらにクラウドセキュリティを強化することができます。


OneLoginは、Office 365やGoogle Apps、Salesforce.com、Box、Dropbox、Slackなどのクラウドサービスを利用している企業向けに、オンプレミスとクラウド間のID連携・シングルサインオンとアクセスコントロールを提供するクラウド型シングルサインオン・アクセスコントロール(IDaaS)ソリューションです。OneLoginを導入すると、1回のID・パスワード入力で複数のクラウドサービス・Webアプリケーションを利用することが可能です。また、クラウドサービスの不正利用を防止する多様な認証強化機能を提供しているので、企業で安心して利用することができます。

OneLoginとNetskopeを利用することで、企業でのクラウドサービス利用の課題であるID管理から認証強化、さらにシャドーITの検知から利用ポリシーの強制までカバーが可能です。複雑化したクラウドサービス活用の課題を両ソリューション連携で解消できます。

NetskopeとOneLoginの連携メリット

また、NetskopeとOneLoginを連携した場合には以下のような運用も可能です。

ユーザープロビジョニング

OneLoginは、Active Directoryのアカウント追加・変更・削除のイベントとクラウドサービスのアカウント管理とをリアルタイムに自動連携します。この機能を利用すれば、Netskopeのユーザーアカウントをひとつひとつ登録する手間が省けます。また、アカウントだけでなく、OUなどのグループ情報も連携することが可能です。


Netskopeエージェントの効率的な展開

Netskopeはエンドポイントにエージェントをインストールすることで、よりきめ細やかな制御をリアルタイムに実施することができます。エージェントの配布方法は、Eメールに記載されたURLからインストーラをダウンロード、Active Directoryのユーザ情報を元にグループポリシー機能等で展開、そしてOneLoginなどのIDaaS製品を利用する方法があります。IDaaSによる配布は、MacなどActive Directory対象外の端末に効率的に配布する方法として最適です。

リバースプロキシーとしてのOneLoginの利用

Netskopeを導入する際には一般的に、エンドポイントにエージェントをインストールするか、ネットワーク経路の設定を行うことで、Netskope Security Cloudにトラフィックを誘導する方法が推奨されています。この方法は会社が管理している端末や、社内で使用している端末であれば適用可能です。


エージェント・プロキシー型

しかし在宅勤務で自宅PCからクラウドサービスを利用する場合や、BYODを社外で使う場合には、必ずしもNetskopeのエージェントが導入できるとは限りません。またすべてのトラフィックをNetskope Security Cloudに強制的に誘導することも困難です。もちろん外部の協力会社に作業を委託し、その一環としてクラウドサービスにアクセスしてもらう場合にも、この方法は使えません。

このようなケースに対応するため、Netskopeはリバースプロキシー型の利用方法もサポートしています。これはOneLoginのようなIDaaS(IdP)製品と連携し、IDaaS製品で認証されたトラフィックをNetskopeへと誘導、ここできめ細かいアクセス制御を行った上で、トラフィックをアクセス対象となるクラウドサービスへと渡す方法です。これならエンドポイントにエージェントがインストールされていない端末からでも、OneLoginで認証を行うことで、目的のクラウドサービスに安全にアクセスできるようになります。


リバースプロキシー型

またこの方法では、Netskopeのエージェントがインストールされていない端末に対して、追加のアクセス制御を行うことも可能です。例えば「ファイルのダウンロードを禁止する」といった設定が行えるのです。

Netskope Private Accessの認証

Netskope Private Access(以下、NPA)はクラウドサービスに加え、オンプレミスやIaaS上にあるシステムに対しても、リモートアクセスの手段を提供するサービスです。Netskopeエージェントをインストールした端末からNetskope Security Cloudを経由し、アクセス先のアプリケーションの手前まで暗号化されたトンネルを張ることで、通信を行います。

NPAを活用することで従来型のVPNから、よりセキュアで拡張性の高いクラウド型のリモートアクセスへと移行できます。そしてここにOneLoginを追加することで、さらにセキュリティを高めることができるのです。

例えば指定した時間毎に、OneLoginによるユーザー認証を挟む、といったことが可能です。社外からのアクセスを一定時間毎に保留にし、再度ログイン操作を行わせることで保留したアクセスを再開する、といったことができるのです。なおアクセス対象アプリケーションからログアウトするわけではないため、セッションはそのまま維持されます。

このような使い方をすれば、接続されたままになった社外端末からのアクセスが、第三者によって悪用されて情報が漏洩する、といったことを回避しやすくなります。端末の盗難や紛失が発生した際にも、一定時間ごとに認証が要求されるため、影響を最小限に抑えられるのです。またクリティカルな情報を扱うアプリケーションの場合には、より短いサイクルで再認証を行う、といった設定も考えられます。これによってさらに高いセキュリティを確保できます。

関連ソリューション

IDaaS OneLogin