CYBERNET
  

コラムゼロトラストの安全性をさらに向上、IDaaSとCASBの連携がもたらす可能性

端末の状況によって最適なセキュリティを担保

クラウドサービスの活用やモバイル端末の普及によって、すでに境界型セキュリティだけでは十分な安全性を確保できなくなりました。そこで注目されているのがゼロトラストセキュリティです。最近ではゼロトラストを実現するためのソリューションも数多く登場しています。その1つがNetskopeのようなCASBソリューションです。

Netskopeはインターネット上に「Netskope Security Cloud」を用意し、SaaSなどのクラウドサービスへのトラフィックをいったんここに集めることで、クラウドサービスへのきめ細かいアクセス制御を行うというソリューションです。例えば、個人アカウントでのクラウドサービスの利用制限や、機密情報のアップロード禁止、社外ユーザーに対するファイル共有の禁止など、様々な制限を加えることが可能です。またNetskopeはSWGの機能を有しているため、Webサイトへの安全なアクセスもサポートしており、アクセスログも取得可能です。

このようなソリューションは、クラウドサービスを安全に使う上で欠かせない存在だと言えます。そしてこれにOneLoginのようなIDaaS製品を組み合わせることで、さらに安全性の高い使い方も可能になります。ここではそのユースケースを2つ紹介します。

1つ目は、リバーシプロキシとしてNetskopeを導入し、OneLoginと連携させるというユースケースです。

Netskopeを導入する際には一般的に、エンドポイントにエージェントをインストールするか、ネットワーク経路の設定を行うことで、Netskope Security Cloudにトラフィックを誘導する方法が推奨されています。この方法は会社が管理している端末や、社内で使用している端末であれば適用可能です。しかし在宅勤務で自宅PCからクラウドサービスを利用する場合や、BYODを社外で使う場合には、必ずしもNetskopeのエージェントが導入できるとは限りません。またすべてのトラフィックをNetskope Security Cloudに強制的に誘導することも困難です。もちろん外部の協力会社に作業を委託し、その一環としてクラウドサービスにアクセスしてもらう場合にも、この方法は使えません。

このようなケースに対応するため、Netskopeはリバースプロキシ型の利用方法もサポートしています。これはOneLoginのようなIDaaS(IdP)製品と連携し、IDaaS製品で認証されたトラフィックをNetskopeへと誘導、ここできめ細かいアクセス制御を行った上で、トラフィックをアクセス対象となるクラウドサービスへと渡す方法です。これならエンドポイントにエージェントがインストールされていない端末からでも、OneLoginで認証を行うことで、目的のクラウドサービスに安全にアクセスできるようになります。

またこの方法では、Netskopeのエージェントがインストールされていない端末に対して、追加のアクセス制御を行うことも可能です。例えば「ファイルのダウンロードを禁止する」といった設定が行えるのです。

一定時間毎にユーザー認証を強制することも可能

もう1つのユースケースは、Netskope Private Access(NPA)とOneLoginの連携です。

NPAはクラウドサービスに加え、オンプレミスやIaaS上にあるシステムに対しても、リモートアクセスの手段を提供するサービスです。Netskopeクライアントをインストールした端末からNetskope Security Cloudを経由し、アクセス先のアプリケーションの手前まで暗号化されたトンネルを張ることで、通信を行います。VPNと似ていますが、拠点単位ではなくアプリケーション単位で制御を行う点や、オンプレミス側のVPN装置が不要、といった違いがあります。またアクセス先としては、社内のWebアプリケーションや仮想デスクトップなど、すべてのアプリケーションとプロトコルに対応可能。もちろんNetskopeなので、ユーザー操作を含めたすべてのアクセスログが取得されます。

NPAを活用することで従来型のVPNから、よりセキュアで拡張性の高いクラウド型のリモートアクセスへと移行できます。そしてここにOneLoginを追加することで、さらにセキュリティを高めることができるのです。

例えば指定した時間毎に、OneLoginによるユーザー認証を挟む、といったことが可能です。社外からのアクセスを一定時間毎に保留にし、再度ログイン操作を行わせることで保留したアクセスを再開する、といったことができるのです。なおアクセス対象アプリケーションからログアウトするわけではないため、セッションはそのまま維持されます。

このような使い方をすれば、接続されたままになった社外端末からのアクセスが、第三者によって悪用されて情報が漏洩する、といったことを回避しやすくなります。端末の盗難や紛失が発生した際にも、一定時間ごとに認証が要求されるため、影響を最小限に抑えられるのです。またクリティカルな情報を扱うアプリケーションの場合には、より短いサイクルで再認証を行う、といった設定も考えられます。これによってさらに高いセキュリティを確保できます。

このようにNetskopeとOneLoginを組み合わせることで、Netskopeのポテンシャルをさらに引き出すことが可能になります。ここで紹介したユースケースはその中のごく一部であり、他にも様々なユースケースが存在します。

これらのユースケースを知ることで、自社の状況に最適な環境も構築しやすくなるはずです。その詳細についてはぜひ、サイバネットにお問い合わせください。


関連ページ

Netskope
OneLogin