NetskopeのConstraint Profileを活用したドメインベースのアクセス制御
NetskopeのConstraint Profile機能を利用した、ドメイン単位でのアクセス制御についてご紹介します。
■ ドメイン単位でのアクセス制御の重要性
クラウドサービスの利用が当たり前となった現在、同じアプリケーションであっても「どのドメインを利用するか」によって、その利用目的やリスクが大きく異なる場合があります。
たとえば、企業が契約するBoxのドメインと、個人が使うBoxのドメインは異なるため、業務用の利用を許可しつつ、私用の利用はブロックしたい――そんなニーズが増えています。
NetskopeのConstraint Profileを活用すれば、特定のドメインに対してのみアプリケーションの利用を許可する、といったきめ細かいアクセス制御が可能になります。
これにより、業務に必要なクラウド活用を妨げずに、情報漏洩のリスクを最小限に抑える、スマートなゼロトラスト運用を実現できます。
■ Constraint Profileを利用したBoxへのアクセス制御手順
ここでは、Constraint Profileを用いて、指定ドメイン以外からのBoxアクセスをブロックする手順をご紹介します。
- Constraint Profileの作成
[Policies] > [Constraint] から「NEW USER CONSTRAINT PROFILE」を選択します。
- 条件の設定
プロファイル名を入力し、ドメインの一致条件を選びます。
- Match:指定したドメインと一致する場合に適用
- Does not match:指定したドメインと一致しない場合に適用
今回は「Does not match」を選択し、アクセスを許可したいドメインを入力します。
+ADD ANOTHERをクリックすることでドメインを追加することも可能です。
設定が完了したら「SAVE」をクリックします。
- 設定の反映
画面右上の「APPLY CHANGES」をクリックして、設定を反映します。
- ポリシーの作成
[Policies] > [Real-time Protection] から新しいポリシーを作成します。
- 条件の設定
- Destination で「Box」を選択
- Activitiesを指定
- 「ADD CRITERIA & CONSTRAINTS」から「From User」を選択
- Constraint Profileの適用
「From User」に、先ほど作成したConstraint Profileを設定します。
- アクションと保存
- Action を「Block」に設定
- 任意のポリシー名(例:Block non-corporate domains for Box)を入力
- 「SAVE」をクリックし、最後に「Apply Changes」をクリックして反映します。
■ ログイン試行とブロック確認
ポリシーの作成が完了したら、動作確認を行います。
指定ドメインからのアクセスは通常通りにログイン可能ですが、@gmail.com などの個人ドメインからのログインは以下のようにブロックされます。
実際のログ確認は、[Skope IT] > [Alerts] から確認できます。
対象ログの虫眼鏡アイコンをクリックすると、@gmail.com からの Login Attempt がブロックされていることを確認できます。
■ まとめ
NetskopeのConstraint Profileを活用することで、特定のドメインに対するクラウドアプリケーションの利用制御が可能となります。
これにより、個人用途のクラウドストレージサービスなどへのアクセスをブロックし、情報漏洩リスクを効果的に抑えることができます。
ゼロトラスト時代におけるセキュリティ強化策として、ぜひConstraint Profileの活用をご検討ください。
この記事の投稿者tone
セキュリティ製品のプリセールスを担当しています。
この記事をシェア
