SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【クラウドセキュリティブログ第13回】ゼロトラストリソースポリシーのススメ

iboss
2023.09.07

はじめに

皆さんこんにちは!SB C&Sで iboss 製品のプリセールスを担当している長谷川です。

2023年1月1日より、グローバルで先行リリースしていたZTNA機能について、日本でも実装されました。

本機能により、アンチウィルスや、SAMLといった機能について旧来の手順と、リソースポリシという新しい手順という形で行うことができます。

そこで今回は、アンチウィルスを例に2つの設定方法の手順をご紹介いたします。

設定例ではすべてのユーザがすべてのサイトに対して、アンチウィルスを行う方針で行っています。

Hasegawa-iboss_AV (1).png

マルウェア規則による設定(旧来の設定方法)

マルウェア規則によるアンチウィルス機能は、クラウドセキュリティ内で実施します。

高度なマルウェア防御より、アンチウィルス機能自体が有効であることを確認します。

Hasegawa-iboss_AV (2).png

マルウェアの規則より、アンチウィルスを動作させる定義を行います。

Hasegawa-iboss_AV (3).png

通信の方向や、対象となるHTTPメソッドを指定します。

Hasegawa-iboss_AV (4).png

対象となる宛先を指定します。

Hasegawa-iboss_AV (5).png

対象となるのユーザを指定します。

Hasegawa-iboss_AV (6).png

対象となるグループを指定します。

Hasegawa-iboss_AV (7).png

対象となるターゲットを指定します。

Hasegawa-iboss_AV (8).png

対象となるコンテンツの種類を指定します。

Hasegawa-iboss_AV (9).png

ウィルスとして判定した際の動作を指定します。

Hasegawa-iboss_AV (10).png

ルールが作成されたことを確認します。

Hasegawa-iboss_AV (11).png

テスト用ウィルス(eicar)でibossの動作を確認します。

Hasegawa-iboss_AV (12).png

検知した結果についてログを確認します。

Hasegawa-iboss_AV (13).png

リソースポリシによる設定(新しい設定方法)

ゼロトラスト内にあるリソースポリシを利用し、アンチウィルス機能を有効にします。

すべてのサイトに対して、アンチウィルスを有効にするため、企業所有を無効にし、カテゴリベースでサイトを指定します。

Hasegawa-iboss_AV (14).png

カテゴリーより、すべてのサイトを対象とします。

Hasegawa-iboss_AV (15).png

マルウェア防御から、アンチウィルス機能を有効にします。

Hasegawa-iboss_AV (16).png

設定例では認証を無効にします。

Hasegawa-iboss_AV (17).png

基準ベースのアクセスより、"ポリシーをすべてのサブジェクトにリンクする" 有効にします。

Hasegawa-iboss_AV (18).png

作成されたリソースポリシーは、最上位にセットされます。

本設定は、ほかのルールに合致しない場合に有効になるように最下部にルールを移動します。

Hasegawa-iboss_AV (19).png

テスト用ウィルス(eicar)でibossの動作を確認します。

Hasegawa-iboss_AV (20).png

旧来の方法とちがい、リソースポリシ利用した場合は、ログ上にどのリソースポリシに該当したのかわかるため、調査などの手助けとなります。

Hasegawa-iboss_AV (21).png

いかがでしたでしょうか。

ゼロトラスト機能が実装したことにより、設定方法が複雑になったイメージがありますが、リソースポリシー自体は、認証や、DLP, CASBなどを1つのルールに集約したものでルールの管理が視覚的にわかりやすくなっています。

また、ログからの追跡でもどのリソースポリシに該当したか判断ができるため、運用面でもメリットがあります。

ゼロトラストなどの新機能について検討している場合はリソースポリシーを利用する必要があるため、ご参考になれば幸いです。

以上、ご拝読ありがとうございました。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 1課
長谷川 聡