NetskopeのLBACとは？～ラベルとRoleの設定例を紹介～

前回のブログでは、NetskopeのLBAC（Label Based Access Control）の概要や活用イメージについてご紹介しました。今回は第2弾として、LBACの設定方法や管理者ロールと設定オブジェクトを紐づける際の設定イメージをご紹介します。

はじめに

前回のブログでは、NetskopeのLBACとは何か、どのような場面で活用できるのかについて、概要とユースケースを中心にご紹介しました。
今回は第2弾として、実際にLBACを設定する際の考え方と、設定の流れを中心に紹介します。
※本ブログでは公開時点でのGUIを基に設定紹介を行っておりますので、最新情報などは適宜Netskope社ナレッジポータルも参照ください。
ラベルベースアクセス制御（RBAC）V3

LBAC設定の基本的な考え方

第1弾のブログ内容のおさらいになりますが、NetskopeのLBAC設定では、管理対象となる設定オブジェクトにラベルを付与し、管理者に付与するCustom Role側の設定にてラベルをオブジェクトスコープとして設定することにて、ラベルが一致した対象だけに管理者はアクセスできるようになります。

つまり、単に「どの機能を使えるか」を決めるだけではなく、「どの設定オブジェクトを見せるか、操作させるか」まで含めて設計するのがNetskope LBACのポイントです。

そのため、設定作業に入る前に、まず以下の観点を整理しておくと進めやすくなります。

• どの単位で管理対象を分けたいか
  例：子会社、部門、拠点、機能ごと
• 誰にどこまでの権限を持たせたいか
  例：全社管理者、子会社管理者、部門管理者、運用管理者
• 共通設定と個別設定をどのように分けたいか
  例：全社共通ポリシーは本社で管理し、各子会社は自社向け設定のみ管理

LBACでラベルを付与できる主な対象

現時点でLBACのラベル付与に対応している主な設定要素は、以下の4つです。

• Destination Profiles
• Private Apps
• Publishers
• Policy Groups

また、ラベルは階層構造にも対応しており、ルートから最大4階層まで管理できます。これにより、全社共通の設定を上位階層で持ちながら、各部門・各子会社には必要な範囲だけを委任するといった運用も可能です。

設定の流れ

LBACの設定は、考え方としては大きく以下の流れで進みます。

1. ラベルを作成する

まずは、どの単位で管理を分けるかを整理し、それに対応するラベルを作成します。

たとえば、子会社Aと子会社Bで管理対象を分けたい場合は、以下のような形が考えられます。

• Label A：子会社A向け
• Label B：子会社B向け
• Global：全社共通設定向け

ここで重要なのは、あとから設定対象が増えても運用しやすい名前付けにしておくことです。最初からラベル設計を整理しておくことで、設定追加時の混乱を抑えやすくなります。

Settings > Administration > Labels のページからラベルを作成します。

「New」を押し、以下キャプチャのようにラベルを新規作成していきます。

2. Custom Roleにラベルを設定する

次に、管理者へ割り当てるCustom Roleに対してラベルを設定します。
たとえば、

• 全社管理者ロール：Global、Label A、Label B すべて参照可能
• 子会社A管理者ロール：Label A のみ参照・管理可能
• 子会社B管理者ロール：Label B のみ参照・管理可能

といった形で、管理者ごとに見える範囲を切り分けていきます。

Settings > Administrators & Roles >RolesタブからRoleは作成します。
Role作成の詳細手順について今回は割愛しますが、Role作成手順は別のブログで紹介していますので、こちらを参照ください。
ラベル制限を行いたいRoleを選択し「Edit」から編集を行います。
設定下部の「Function」機能毎の設定まで行きScopeを押し、データスコープ設定が開くのでオブジェクトスコープで先ほど作成したラベルを割り当てていきます。

表示と設定適用（Manage＆Apply）で適用するラベルを分けたい場合は、上図設定内の「異なるスコープを使用する」にチェックを入れることで別のラベル設定を行うことも可能です。

3. 設定オブジェクト側にラベルを付与する

続いて、Private AppやPublisher、Policy Groupなどの設定オブジェクト側に、対応するラベルを付与します。

たとえば、

• 子会社A向けPublisher：Label A
• 子会社A向けPolicy Group：Label A
• 子会社B向けPublisher：Label B
• 子会社B向けPolicy Group：Label B
• 全社共通設定：Global（Scope設定なし）

のように整理することで、管理者ロールと設定オブジェクトの対応関係が明確になります。

ラベル付与の例ですが、ラベル付与対応しているオブジェクトのページへ移動しラベル付与したいオブジェクトの3点リーダー「…」から「Assign Labels」や「Associate Labels」を押下し、ラベルを付与していく形になります。
※ラベルは複数付与可能です。

（下図）Policy Groupへのラベル適用イメージ

（下図）Publisherへのラベル適用イメージ

設定反映イメージ

オブジェクトへのラベル付与が完了後、作成したRoleの管理者アカウントにてNetskopeテナントへログインしますと、以下キャプチャのように特定のオブジェクトのみ管理者へ表示されるようになります。

今回は会社ごとにラベルを分ける例で紹介しましたが、他にもたとえば、特定機能毎にポリシーグループを分けている際など（NPAのポリシーグループ、CASBのポリシーグループ等々）も特定機能のポリシーのみ閲覧・操作可能にするといった設定もラベルを利用することで可能になります。

ラベル設計時に意識したいポイント

LBACは便利な仕組みですが、ラベルの付け方を場当たり的に決めてしまうと、後から管理しづらくなる可能性があります。一例ですが設定時は以下のような点を意識するとよいと思います。

1. 管理単位を先に決める

「部門ごとに分けたいのか」「子会社ごとに分けたいのか」「機能ごとに分けたいのか」等を先に決めておくことで、ラベル設計がぶれにくくなります。

2. 全社共通設定の扱いを決める

階層型の設定管理を活かす場合は、全社共通で使う設定と、各組織で個別に管理する設定を分けて考えることが重要です。上位ラベル側に共通設定を置いておくことで、下位組織はそれを利用しながら、自組織向けの設定だけを管理しやすくなります。

3. 最小権限を意識する

LBACは、RBACと組み合わせることで、必要最小限の設定オブジェクトだけを見せる設計に向いています。

まとめ

今回は、NetskopeのLBAC設定について、設定と大まかな流れを中心にご紹介しました。

LBACの設定ポイントは、単にラベルを付けることではなく、管理者ロールと設定オブジェクトをどのように対応づけるかを整理し、誰にどの設定を見せるべきかを設計することにあります。
特に、複数部門や子会社を1つのテナントで管理している環境では、LBACを活用することで、設定の分離、委任管理、最小権限の実現を進めやすくなります。

本ブログが、皆さまのテナントにおけるLBAC設定やラベル設計を整理する際の参考になれば幸いです。