Netskopeを用いたアプリケーションの選定方法
NetskopeのCCI機能を活用し、SaaSアプリのセキュリティレベルやプライバシー保護の程度を簡単に比較・評価できる方法を解説します。CCIスコアや具体的な評価項目(データ保護、アクセス制御など)の詳細の解説によりアプリ選定に役立てる方法を紹介します。
はじめに
Netskopeの利用方法に関する内容として、これまでChatGPTの制御方法など基本的な利用方法について紹介しました。
- ChatGPT利用のリスク管理①:ユーザーへの注意喚起
- ChatGPT利用のリスク管理②:情報流出の制御
- ChatGPT利用のリスク管理③:知的財産流出の制限
- ChatGPT利用のリスク管理④:利用可能な生成AIの管理
- ChatGPT利用のリスク管理⑤:Netskopeによる制御まとめ
善良なユーザーがアプリを利用するための制御としては問題ないでしょう。
では、アプリケーション側に問題があった場合はどうでしょうか。例えば、Cloud Storageサービス内に保管したデータは暗号化されているのでしょうか?もしくは、医療関係者であればHIPAAに準拠したサービスであるか確認する必要があるでしょう。
クラウドサービスの増加に伴い、適切なアプリケーションを選ぶことがますます重要になっています。しかし、各アプリケーションのセキュリティレベルやプライバシー保護の程度を一つ一つ調べるのは、時間と労力を要する作業です。特に、医療データや機密情報を扱う場合は、厳格なセキュリティ基準を満たしていることを確認する必要があります。NetskopeのCCIは、このような課題を解決し、最適なアプリケーションを効率的に選択するための強力なツールです。CCIは、アプリケーションのセキュリティレベル、プライバシー保護、コンプライアンスなどを総合的に評価し、視覚的に分かりやすい形で提示します。これにより、お客様は、自社のニーズに最適なアプリケーションを迅速かつ正確に選択することができます。
今回はNetskopeのCCIを用いて以下の問題を解決するアプリケーションの選定方法を紹介します。
- アプリケーションのデータの保管方法の確認
- 特定の認証(HIPAAなど)の取得状況を確認・比較する作業に時間がかかること
アプリケーションの選定方法
Netskopeはアプリケーションの選定における課題を解決することが可能な「Cloud Confidence Index(以後CCI)」という機能を有しています。
このCCIはアプリで制御可能なActivityやカテゴリの確認、アプリで利用されているドメインなどの確認の他にアプリのデータ保護や取得している認証の情報を確認することが可能です。
以下がCCIのUIです。ここではGoogle Driveの例を出しています。
CCI画面上部
図1. CCI Google Driveのトップ画面
この画面が各アプリの詳細画面のトップで、画面上部からNetskope上で制御するために利用するActivityやドメインの情報、アプリに付与されているタグなどの情報が確認可能です。
CCIスコアは、アプリに対してデータの管理方法などからNetskope社が独自に付与しているスコアで、スコアが高いほどセキュリティの堅牢なアプリであると判断されています。
CCI画面下部
図2. 認証・データセンターの企画に関する情報
図3. アプリの利用状況
CCIのアプリ詳細画面の下部でアプリのデータ管理や現在の利用状況を確認可能です。
確認可能な内容としては「Certifications and Standards(認証と規格)」、「Data Protection(データ保護)」、「Access Control(アクセス制御)」、「Auditability(監査可能性)」、「Disaster Recover and Business Continuity(災害復旧と事業持続)」、「Legal and Privacy(法律とプライバシー)」、「Attack Surface Management(攻撃対象領域の管理)」といった項目が確認可能です。
それぞれの概要は以下の通りです。
Certifications and Standards:アプリが所有している認証とデータセンターの規格の情報
Data Protection:保存データや転送中データの暗号化、顧客は暗号化キーが利用可能かなどデータ保護に関する情報
Access Control:ロールベースの認証が可能か、多要素認証・SSOはサポートされているかなどアクセス制御に関する情報
Auditability:監査ログに関する情報
Disaster Recover and Business Continuity:災害時に顧客データを別の場所にバックアップするかなど災害時の対処に関する情報
Legal and Privacy:データの所有権、サービスを解約してもデータがダウンロード可能か、サードパーティのcookieを利用しているかなど法律やプライバシーに関する情報
Attack Surface Management:1年以内に侵害を受けたか、OWASP Top10などの脆弱性に対して脆弱であるのかに関する情報(SSPMの連携を行っている場合はSSPMのスコアも表示される)
HIPAAなど認証の情報については、上記項目の「Certifications and Standards」から確認することが可能です。図2を確認すると、Google DriveはFedRAMP、FISMA、HIPAAなどに準拠していることが分かります。
この機能により、アプリのデータ管理方法などを容易に確認することが可能となります。
アプリの比較
複数のアプリをセキュリティレベルや利用頻度などの上記7つの項目で詳細に比較検討できます。
図4. アプリの比較
図5. アプリの比較(Data Protection)
比較結果では、両アプリの差異が青色で分かりやすく示されます。この情報を参考に、自社のニーズに最適なアプリを選択することができます。
例えば上記の例ですと、File Sharing CapacityがGoogle Driveの方が大きく、業務上大容量のデータを送信する必要がある場合、Google Driveのほうが利用に適しているなど、アプリケーションの選定のための情報として利用が可能です。
この機能により、容易に比較を行うことが可能となり、比較する作業時間の短縮が可能となります。
まとめ
今回はアプリケーション選定時に利用可能なCCIの機能とその利用方法を紹介しました。
アプリケーション選定時の課題として設定した以下の2点について、解決することができました。
- アプリケーションのデータの保管方法の確認
- 特定の認証(HIPAAなど)の取得状況を確認・比較する作業に時間がかかること
この機能を利用し、企業の特徴にあったアプリケーションの選定に役立てていただければ幸いです。
この記事の投稿者Kojima
東京エレクトロンデバイスにてNetskopeのプリセールスを担当。
2023年入社で現在ネットワーク関連の技術を勉強中!
大学院では自然言語処理について研究していました。
この記事をシェア
