SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【iboss新機能!】Lockdown Modeで管理外の機能OFFを防ごう

ゼロトラスト
2022.02.22

はじめに

みなさん、こんにちは。今回のブログではSWG(SSE)製品である、ibossの新機能として先日追加されたLockdown Modeについて紹介致します。
一見地味ですが、実運用においては非常に便利な機能となっておりますのでぜひご覧ください。

Lockdown Modeとは

Lockdown ModeとはWindowsデバイス向けに追加された新機能です。簡単に言うとユーザによって端末側でibossサービスがOFFにされることを防ぐ機能です。
今まではWindows端末側のローカルユーザが権限を持っていた場合、サービス画面からibossの機能をOFFにしてしまうことが可能でした。そのため、別途MDMなどを利用してサービスの閲覧権限を制限するなどiboss以外での対策が別途必要でした。

しかし今回ご紹介する新機能のLockDown Modeを利用することで、ローカルユーザでサービスでの変更権限を持っている場合でもibossの機能OFFが出来ないよう強制することが可能となりました。

lockdown1.png


Lockdown Mode設定

設定方法ですが以下の2ステップで実施致します。

  1. iboss全体でLockdown Modeを有効に
  2. 対象のエージェントポリシーにてLockdown Modeを有効に

まずはiboss全体の設定でLockdown Modeを有効にします。

lockdown2.png


続いて、エージェントポリシーでも同様にLockdown Modeを有効に致します。ポリシー上の「設定を表示」にて「Windows」を選択すると下部にLockdown Modeのオプションが見えるようになります。
※全体設定でLockdown Modeを有効後も、エージェントポリシー上で有効にしないとデバイスには設定が適用されません。


lockdown3.png


以上で設定は完了です。ポリシーが適用されているWindows端末で確認すると以下のようにユーザ側でibossのサービス停止が出来ないように変わっているのが分かります。

lockdown14.png

Lockdownの無効化

本機能を無効化するには先ほどのポリシー内もしくは全体設定から簡単に実施可能です。また、ロック解除キーを利用すれば端末側でユーザが無効化することも可能です。

こちらも手順はシンプルで全体設定/ポリシー内で生成されているロック解除キーを利用します。
※どちらから選んでも同様のキーです。

lockdown6.png

※「切断中のロック解除を許可」を有効にしておくと端末とibossコンソールが何かしらの理由で接続出来なくなった場合でも端末側での無効化が可能になります。

以下のように端末側でDesktop Appを開き以下のメニューを開き、解除キーを入力することでLockdown Modeが無効化されます。また、このキーは1時間毎にibossにて自動生成されます。

lockdown5.png

まとめ

今回はibossの新機能であるLockdown Modeを紹介致しました。どんなにセキュリティの設定レベルを高くしても利用者側で機能をOFFにされてしまうと全てが水の泡です。
そんな時に本機能を有効にして頂くことで、管理者側も安心して運用出来るのではないでしょうか。
また、ゼロトラスト関連の相談や、ibossのPoCなどを試してみたい方はお問い合わせ欄よりお気軽にご連絡ください。

banner-in-article.PNG

ゼロトラスト、iboss関連のお問い合わせはこちらから!

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
横山 章太郎