はじめに

皆さんこんにちは！SB C&Sで iboss 製品のプリセールスを担当している長谷川です。

2023年1月1日より、グローバルで先行リリースしていたZTNA機能について、日本でも実装されました。

本機能により、アンチウィルスや、SAMLといった機能について旧来の手順と、リソースポリシという新しい手順という形で行うことができます。

そこで今回は、アンチウィルスを例に2つの設定方法の手順をご紹介いたします。

設定例ではすべてのユーザがすべてのサイトに対して、アンチウィルスを行う方針で行っています。

マルウェア規則による設定(旧来の設定方法)

マルウェア規則によるアンチウィルス機能は、クラウドセキュリティ内で実施します。

高度なマルウェア防御より、アンチウィルス機能自体が有効であることを確認します。

マルウェアの規則より、アンチウィルスを動作させる定義を行います。

通信の方向や、対象となるHTTPメソッドを指定します。

対象となる宛先を指定します。

対象となるのユーザを指定します。

対象となるグループを指定します。

対象となるターゲットを指定します。

対象となるコンテンツの種類を指定します。

ウィルスとして判定した際の動作を指定します。

ルールが作成されたことを確認します。

テスト用ウィルス(eicar)でibossの動作を確認します。

検知した結果についてログを確認します。

リソースポリシによる設定(新しい設定方法)

ゼロトラスト内にあるリソースポリシを利用し、アンチウィルス機能を有効にします。

すべてのサイトに対して、アンチウィルスを有効にするため、企業所有を無効にし、カテゴリベースでサイトを指定します。

カテゴリーより、すべてのサイトを対象とします。

マルウェア防御から、アンチウィルス機能を有効にします。

設定例では認証を無効にします。

基準ベースのアクセスより、"ポリシーをすべてのサブジェクトにリンクする" 有効にします。

作成されたリソースポリシーは、最上位にセットされます。

本設定は、ほかのルールに合致しない場合に有効になるように最下部にルールを移動します。

テスト用ウィルス(eicar)でibossの動作を確認します。

旧来の方法とちがい、リソースポリシ利用した場合は、ログ上にどのリソースポリシに該当したのかわかるため、調査などの手助けとなります。

いかがでしたでしょうか。

ゼロトラスト機能が実装したことにより、設定方法が複雑になったイメージがありますが、リソースポリシー自体は、認証や、DLP, CASBなどを1つのルールに集約したものでルールの管理が視覚的にわかりやすくなっています。

また、ログからの追跡でもどのリソースポリシに該当したか判断ができるため、運用面でもメリットがあります。

ゼロトラストなどの新機能について検討している場合はリソースポリシーを利用する必要があるため、ご参考になれば幸いです。

以上、ご拝読ありがとうございました。