みなさん、こんにちは！

日頃webフィルタやCASBといった単語を聞く機会はあれど、実際にどんなことができるのかイマイチ想像が付きづらいですよね。今回はお問い合わせの多い要件や機能についてまとめました。NEXT GIGAと合わせて注目が集まる機能（YouTubeの制御やルール使い分けなど）をご紹介しておりますのでぜひご参照ください。

では、本編です

---

目次

---

• 前提：QUICプロトコルのブロック
• CRITERIAとは？
  　　　所属するグループや部署による制御
  　　　時間帯の指定
  　　　ルールの有効期限
• YouTubeの制御
• テナント制御
• セーフサーチ機能
• SaaSセキュリティレポート

---

 

前提：QUICプロトコルのブロック

Zscalerベストプラクティスは、QUICプロトコルのブロックです。ブロックの目的はSSL検査を適切に行うためでブロックすることによってブラウザがTCP 80/443をデフォルトで使用します。

詳細は以下のリンクをご確認ください。
https://help.zscaler.com/ja/zia/managing-quic-protocol

ここではGREまたはIPSecトンネルとZscaler Client Connector(Z-Tunnel 2.0)におけるブロック手順をご紹介します。

FWフィルターのルールを追加を選択します

ルールの順序、ルール名を設定しルールのステータスが「有効」になっていることを確認します。

[誰が、どこで、いつ]タブで、[ユーザー]、[Groups]、[部署]、[ロケーション]に[全て]が選択され、[時間]で[常時]が選択されていることを確認します。

ネットワークサービスに「QUIC」を指定しネットワークトラフィックのアクションを「Block/Reset」に設定し保存＆変更を有効にします

設定したFWルールにより、QUICプロトコルが「Block/Reset」されていることを確認します。

 

CRITERIAとは？

WebフィルターやCASBを利用するうえで、CRITERIA(基準)が指定可能です。グループや部署によって制限の緩急を変えることや接続元となるロケーションに応じて適用するルールを指定することができます。

・ロケーション
Zscalerへアクセスする拠点を予め定義し、クライアント(ZCC)を導入している環境と差別化できます

・ユーザエージェント
Chrome、Microsoft Edge、Firefoxといった利用するブラウザ(エージェント)

・デバイスグループ
クライアント(ZCC)を導入しているOS(Windows, Mac, Android, iOS など)

・Method(webフィルター)
GETやPOSTといったHTTP要求方式

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　など

• 時間(期間)
  ルールを適用する時間帯を指定することが可能です。学校や職場にいる時間帯はWebサイトやアプリの利用を許可しそれ以外の時間帯はブロックする運用が可能です。

• ルールの有効期限
  ルールには有効期限を設けることが可能です。長期休暇中は利用の制限を強めるなどの特定期間だけ有効にさせたいルールを作成することができます。

 

YouTubeの制御

ZIAではYouTubeの制御が可能です。制御対象をテナントプロファイルとして定義することで、閲覧の許可/ブロックが可能になります。今回はカテゴリーやチャンネルを制御する例をご紹介いたします。

制御対象
・YouTube カテゴリーID
教育や科学技術など特定のカテゴリーに属する動画を制御。教育カテゴリーのみ閲覧可能など

・YouTube チャンネルID
YouTubeの特定チャンネルを制御。特定チャンネルのみ閲覧させるなど

・YouTube 学校ID
学校(校内)ネットワークに割り当てられている学校IDを利用した制御

• YouTube カテゴリーを制御する場合
  YouTube上に公開されている動画はカテゴリーに属しています。以下の動画は、カテゴリID：28に属しており、これは「科学と技術」カテゴリーに該当していることが分かります。これを利用し制御するのがYouTubeカテゴリー制御です。

例）ゼロトラストメーカーインタビュー第12弾！「Zscaler」ロングVer
https://www.youtube.com/watch?v=r_ArxJajTIs

このように公開されている動画をカテゴリーで制御したい場合、 Tenant Profileから制限したいカテゴリーを指定することで制御可能です。

一覧から該当するカテゴリーを選択します。設定するときはカテゴリーＩＤを意識せずに設定できます。

• YouTubeのカテゴリー

フィルムとアニメーション	映画
自動車	アニメ/アニメーション
音楽	アクション/アドベンチャー
ペットと動物	クラシック
スポーツ	ドキュメンタリー
ショートムービー	ドラマ
旅行とイベント	ファミリー
ゲーミング	外国作品
ビデオログ	ホラー
人とブログ	SF/ファンタジー
コメディ	スリラー
エンターテイメント	ショート作品
ニュースと政治	ショー
ハウツーとスタイル	予告編
教育	非営利アクティビティ
科学技術

• YouTube チャンネルIDを制御する場合
  制御した対象のチャンネルからチャンネルIDをコピーします

例）SB C&S チャンネルID
UCf3oQGi6z680EcLhJMArSuQ

このチャンネルの詳細　＞

「チャンネルを共有」からチャンネルＩＤをコピーします

コピーしたチャンネルID (UCf3oQGi6z680EcLhJMArSuQ) をTenant Profileから追加します

• 特定のカテゴリやチャンネルの閲覧のみを「許可」したい場合のルール作成
  クラウドアプリケーションコントロール(CASB)機能からクラウドアプリケーションを「YouTube」、閲覧を「許可」、テナントプロファイルで作成したテナントを指定しルールを追加します。

テナントプロファイルから閲覧を許可したいカテゴリーやチャンネルＩＤを定義したプロファイルを選択します

閲覧を許可したいカテゴリやチャンネルを指定した「YouTube Allow Rule」を、全ての動画閲覧をブロックする「YouTube Block Rule」の順序より高くすることで、特定のチャンネルやカテゴリは許可され、それ以外をブロックすることが可能です。

テナント制御

ZIAではテナントの制御が可能です。企業テナント以外のWebメールやSaaSサービスを制御することができます。

下図は「Google」に対するテナント制御の例ですが、YouTubeの制御と同様に特定のドメインをテナントプロファイルとして定義し、CASB機能で許可、それ以外のドメインをブロックすることでテナント制御が可能です。

・制御可能なテナント一覧

YouTube
Google Apps
Microsoftログインサービス
Slack
Amazon Web Services
Dropbox
Webexログイン サービス
Zohoログイン サービス
Google Cloud Platform
Zoom

セーフサーチ機能

セーフサーチを適用することで検索時に安全なコンテンツのみを返すことが可能です。

利用者のブラウザ上でもセーフサーチが有効になっていることが確認できます。

 

SaaSセキュリティレポート

Zscalerには、SaaSに特化したレポート機能があります。ご利用いただいている環境で使われているSaaSを一覧で確認することができ、CSVやレポート形式で出力することが可能です。管理者が認知していないSaaSがあった場合、このレポートを元に新たなルール作成を行いシャドーITのリスクを軽減することが可能です。

一覧からSaaSアプリごとのページに遷移することができ、提供している企業情報に加えて、SaaSアプリを制御できる機能、認可/無認可のステータス、利用中のユーザ情報を確認することが可能です。

発見したアプリケーションが認可されているアプリかタグ付けすることができます

利用しているユーザ情報も併せて確認することができます

今回はよくお問い合わせいただく機能を中心にまとめました。引き続き機能がアップデートされた際はこちらのブログを更新しますので、チェックよろしくお願いします！

---

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
　正確性、最新性、完全性は保証できませんのでご了承ください。