はじめに
皆さんこんにちは!SB C&Sで iboss 製品のプリセールスを担当している長谷川です。
2023年1月1日より、グローバルで先行リリースしていたZTNA機能について、日本でも実装されました。
本機能により、アンチウィルスや、SAMLといった機能について旧来の手順と、リソースポリシという新しい手順という形で行うことができます。
そこで今回は、アンチウィルスを例に2つの設定方法の手順をご紹介いたします。
設定例ではすべてのユーザがすべてのサイトに対して、アンチウィルスを行う方針で行っています。
マルウェア規則による設定(旧来の設定方法)
マルウェア規則によるアンチウィルス機能は、クラウドセキュリティ内で実施します。
高度なマルウェア防御より、アンチウィルス機能自体が有効であることを確認します。
マルウェアの規則より、アンチウィルスを動作させる定義を行います。
通信の方向や、対象となるHTTPメソッドを指定します。
対象となる宛先を指定します。
対象となるのユーザを指定します。
対象となるグループを指定します。
対象となるターゲットを指定します。
対象となるコンテンツの種類を指定します。
ウィルスとして判定した際の動作を指定します。
ルールが作成されたことを確認します。
テスト用ウィルス(eicar)でibossの動作を確認します。
検知した結果についてログを確認します。
リソースポリシによる設定(新しい設定方法)
ゼロトラスト内にあるリソースポリシを利用し、アンチウィルス機能を有効にします。
すべてのサイトに対して、アンチウィルスを有効にするため、企業所有を無効にし、カテゴリベースでサイトを指定します。
カテゴリーより、すべてのサイトを対象とします。
マルウェア防御から、アンチウィルス機能を有効にします。
設定例では認証を無効にします。
基準ベースのアクセスより、"ポリシーをすべてのサブジェクトにリンクする" 有効にします。
作成されたリソースポリシーは、最上位にセットされます。
本設定は、ほかのルールに合致しない場合に有効になるように最下部にルールを移動します。
テスト用ウィルス(eicar)でibossの動作を確認します。
旧来の方法とちがい、リソースポリシ利用した場合は、ログ上にどのリソースポリシに該当したのかわかるため、調査などの手助けとなります。
いかがでしたでしょうか。
ゼロトラスト機能が実装したことにより、設定方法が複雑になったイメージがありますが、リソースポリシー自体は、認証や、DLP, CASBなどを1つのルールに集約したものでルールの管理が視覚的にわかりやすくなっています。
また、ログからの追跡でもどのリソースポリシに該当したか判断ができるため、運用面でもメリットがあります。
ゼロトラストなどの新機能について検討している場合はリソースポリシーを利用する必要があるため、ご参考になれば幸いです。
以上、ご拝読ありがとうございました。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 1課
長谷川 聡