見出し画像

Netskope導入の話

くろひつじ

会社でNetskope導入した話のリクエストがあったので軽くまとめておきます。

導入のきっかけ

元々グループウェアを始めとしたクラウドサービスを使ってきている所にAWSやGCPなどプロダクト開発でもクラウドを使いだしてきたこと、退職した社員が顧客情報持っていったインシデント(経路として社内から個人のクラウドストレージにデータをアップロードしていた)があったりと課題としては認識されていました。
そこに役員の重い腰を上げるためのひと押しとして情報セキュリティの強化を名目に外部コンサルの診断を実施し、クラウドサービスへの対応不足を指摘してもらうことでCASB製品を導入することになりました。

製品選定

ウェビナーや展示会などでいくつか製品を見てみたものの、コンサル会社が勧めるNetskopeが可視化だけではなく制御も可能ということで導入を決定。

導入時にやったこと

基本的には導入時の作業はAD連携のみで、クライアントを配布してデータの流れを可視化し、一定期間後制御のポリシーを作成し適用、という流れになります。

AD連携を行うことで個別にユーザーを作成する作業をなくしました。
作業自体はツールをADサーバに入れて設定するだけなので特に困る部分もなく。OUによる範囲指定ができるので登録が不要なアカウントがあっても住み分けが可能です。

ただし、ツールのログインに管理者パスワードを流用していたので年1回の管理者パスワード変更時に設定のパスワードを変更し忘れてロックアウトかかるというしょうもないトラブルがあったので、面倒臭がらずに専用のアカウントを用意するといいですね。

データ化の可視化を行っている間に現場にはCASB製品の説明と今後データの流れを制御すること、業務上必要な場合は事前に申請をすることなどを説明して制御のための情報収集を行います。

ポリシー作成

社内で導入しているクラウドサービスをヒアリングし、CCIにないものは以下の順番でポリシーに登録しました。
1.App Definitionでアプリケーション情報を登録する
2.Steering Configurationを設定する
3.Real-time Protectionでホワイトリストを作成する

手順の割には慣れると割と簡単に登録できます。
ポリシーの適用については基本即時ですが、気になる場合は各端末からアップデートが可能です。

制御

メールとクラウドストレージを手始めに制御しました。
全般的に実施するのがベストだと思いますが、まずは役員が理解しやすいメールとクラウドストレージから攻めるのがハードル低いかなと。
Google Workspaceなど企業のGmailと個人のGmailはInstance IDで企業ドメインと個人ドメインを判別できるので、可視化したログから事前に設定しておくとホワイトリスト作成時に活用できます。

また、デバイス単位でManagedも可能なので
・基本は全員クラウドサービス利用可能
・高セキュリティを求められる端末のみ特定のクラウドサービスのみ利用可能
などの設定が可能です。

また、受信や読み取りはいいけど更新やアップロードなどアウトバウンドのみ制御なんてのもできるので、家に帰って思いついたことをメモったから仕事場でそれを見たい、くらいは影響なくできます。

良かった点

きっちり制御できるので設定を作り込めば単純に抑止するだけでなく別のサイトへ誘導(無許可でアリババクラウド使おうとしてたから会社推奨のDropboxへ、など)が可能なのは動線作成として有効だと思います。
オプションですがfor webでCCIに登録されていない全てのwebブラウザの通信を可視化することもできるので、ガチのマジで把握する場合はそちらも必要です。が、ポリシーの設定などはオプションなしと同様デフォルトはブラックリストに入れつつホワイトリストで適宜許可する手法がそのまま使えますから、段階的に入れると役員から稟議を取りやすいですね。

データセンターも東京、大阪の他に北九州に作るっぽいですので割と広い範囲で遅延なく利用できるのではないかなと思います。
遅延という意味ではMSやGoogle、AWSあたりとはピアリングしてるのでフルクラウドな業務環境だとほんとに遅延らしい遅延はないかも。

困った点

正直あんまりないですね。極端にPCの動作が重くなったりも聞きませんし。
Instance IDがうまく取れないバグで誤検知していた時期もありましたがちゃんと直してもらいました。

iOSもNetskopeで検知できるので擬似的なGWとして使えるんですが、去年の今頃はあまりおすすめされませんでした。が、最近そっちも安定してきたとか。
Netskope自体結構設備に投資してるのでそろそろ入れてもいいかもしれないです。とはいえ利用できるアプリは限られるので、その辺りは確認が必要ですね。

データが90日までしか遡れませんが、まぁSIEMじゃあるまいし、ねぇ。

もうちょっと使い込めば不満も出てくると思いますが、しいて言えばローカライズされてないくらいでしょうか?そのくらいですー。

ゼロトラストの一歩目として

IdPを最初に入れるのがセオリーだと思いますが、なかなかAD絡みは影響が大きくて難しいですので、まずはこの辺りからやってみるのもいいかなと思います。

画像1

こうなる前にねっ☆ミ

この記事が気に入ったらサポートをしてみませんか?