はじめに

皆さま、こんにちは！SB C&S新卒の伊東です。

近年、企業のリモートワークやクラウドの活用が進む中、社内外からの安全なアクセスが重要になってきています。
そのような状況の中で、ZPAはプライベートアプリに対して安全な通信を実現するために、様々な機能を提供しています。

今回はその中でも、社内リソースに対してより安全にブラウザアクセスできる機能
「ブラウザ分離 (Browser Isolation) 」 についてご紹介いたします。

ブラウザ分離とは？

ブラウザ分離は、ユーザのPC上で直接ブラウザを動かすのではなく、クラウド上の隔離環境でブラウザを起動し、その描画結果だけをユーザ端末に転送する仕組みのことです。
これにより、社内情報をユーザの端末に直接保存されることを防ぐことができ、情報漏洩防止や、社内資産の保護に繋げることができます。

ZPAと組み合わせることで、社内ポータルやオンプレ環境のアプリなどのプライベートアプリケーションをブラウザ経由で安全に利用することが可能になります。

ZPAのブラウザ分離はどんな場面で使う？

ZPAのブラウザ分離は、以下のようなセキュリティ対策をしたいときに有効な機能です。

・文章のコピーやファイルのダウンロードを防ぎたいとき
・スクリーンショットや画面撮影による情報漏洩のリスクを減らしたいとき
・ユーザ環境で直接プライベートアプリケーションを操作させたくないとき
・有害なコンテンツを社内リソースにアップロードをさせたくないとき

ブラウザ分離の設定

ここからは、ZPAを使ったブラウザ分離の基本的な設定手順を紹介します。

1.分離プロファイルを作成
2.分離ポリシーを作成
3.アプリケーションセグメントの設定

今回は、指定したいアプリケーションセグメントやセグメントグループ等の基本的な設定は完了した状態でブラウザ分離の設定をします。

1. 分離プロファイルを作成

分離プロファイルは、対象アプリをブラウザ分離で開いたときのユーザ操作を定義する設定です。ファイル転送、印刷、コピーペースト、マイクとカメラ、Officeファイルの表示といった複数カテゴリのコントロールを組み合わせ、各操作に対して許可・禁止のアクションを割り当てることができます。

ZPA管理ポータルから、[構成とコントロール] > [ブラウザ分離] > [分離プロファイル]から分離プロファイルを追加します。

　

分離プロファイルを追加ウィジェットで各設定を行います。

【一般情報】

名前を入力し、ターボモードをEnabledに設定します。
ターボモードを使用すると従来の描画処理と比べ、高速かつ軽量にレンダリングすることができます。

【会社の設定】

分離ブラウザ上でデバッグモードや、ZIAのポリシーを有効にするかの設定を行います。
今回は、ZIA経由でインターネットトラフィックを転送を有効化し、ZIAのクラウドネームを指定します。
PACファイルは、推奨されるPACファイルのURLを使用を選択します。

・ZIA経由でインターネットトラフィックを転送
「ZIA経由でインターネットトラフィックを転送」を有効にすると、分離ブラウザ上の通常の通信に対して、ZIAのポリシーを有効にすることができます。有効にしない場合、そのままインターネットにアクセスされます。

・PACファイルのURL
分離ブラウザ上でPACファイルを構成するか、独自のPACファイルを使用するか設定します。

【セキュリティ】

分離ブラウザで有効にする操作を設定します。
今回は、ローカルコンピュータへの分離のみをEnabledにします。

ここではいくつかの項目をご紹介いたします。

・コピーと貼り付けを許可
端末からの貼り付けや、分離ブラウザ上の文字のコピーを許可、禁止することができます。

・ファイル転送を許可
端末からのファイルの貼り付けの許可や、分離ブラウザ上のファイルのダウンロードを禁止できます。フラット化されたファイルのみ許可することもできます。
※フラット化されたファイルは、PDFのレイヤー、テキスト、画像等の要素を一つの静止画像として出力したものです。

・分離からの印刷
分離ブラウザ上のデータの印刷を許可するか設定できます。

・読み取り専用の分離
分離ブラウザ上でキーボートやテキスト入力を制限し、読み取り専用にするか設定できます。

・ローカルブラウザのレンダリング
ブラウザ分離を設定していないWebサイトを分離ブラウザ上ではなく、実際のブラウザ上で開くことができます。

・アプリケーションのディープリンクの有効化
ディープリンクを使用して、ローカル端末上のアプリを開くことができます。

【リージョン】

分離プロファイルを使用できるリージョンを2つ以上選択します。
今回は大阪と東京を選択します。

【分離エクスペリエンス】

分離バナーや透かしの設定をします。
今回は、Native browser experienceを選択し、透かし機能で、日付とタイムスタンプ、Messageを設定し、メッセージテキストを「test text」とします。

・分離エクスペリエンス
Native browser experienceを選択すると、通常ブラウザでウィンドウと同じ見た目と操作性を維持したまま、ブラウザ分離を利用できます。また、Browser in browser experienceを選択すると元のウィンドウに加えて、内部に分離ウィンドウを表示します。

・透かしを有効化
透かしを出すことができます。ユーザーID、許可とタイムスタンプ、メッセージの表示有無を設定できます。メッセージを表示する設定にした場合、メッセージテキストを設定できます。

【確認】

設定したプロファイル情報が正しいか確認し、保存を押します。

2. 分離ポリシーを作成

[ポリシー] > [分離ポリシー] > [ルールの追加]から分離ポリシーを追加します。

　

「分離ポリシーを追加」ウィジェットでポリシーのアクションや、条件を設定します。
名前を入力し、ルールの処理を「分離を許可」、分離プロファイルに先ほど作成したプロファイルを設定します。
今回は、条件に既存のアプリケーションセグメントを指定し、クライアントタイプをWebブラウザに設定します。

設定が完了したら保存を押します。

３. アプリケーションセグメントの設定

[リソース管理] > [アプリケーションの管理] > [Application Segments]からアプリケーションセグメントを設定します。
今回は、既存のアプリケーションセグメントを編集します。

　

アプリケーションセグメントの編集画面で、対象とするアプリケーションを FQDNで指定します。
「ブラウザー アクセス」にチェックを入れ、外部URLのドメインを設定します。
本設定では、内部URLをHTTPS、信頼されていない証明書を使用するにチェックを入れます。

設定が完了したら、画面左下にあるSAVEをクリックします。

　

[リソース管理] > [アプリケーションの管理] > [ブラウザー アクセス]からブラウザ分離用のURLが作成されていることを確認します。

　

動作確認

先ほど作成した、ブラウザ分離用のURLをコピーし、アドレスバーに貼り付け、分離ブラウザにアクセスします。

　

ログイン画面が表示されるので、事前に連携しているSAML IdPのユーザ名、またはメールアドレスを入力します。

サインインするとログインプロンプトが表示されるため、ユーザ名とパスワードを入力し、ログインします。

　

目的のWebサイトにアクセスすることができました。
画面の背景にメッセージや日付、タイムスタンプが表示されていることが確認できました。

　

文字範囲を指定して右クリックでコンテキストメニューを開くと様々なアクションを選択できます。
分離ブラウザ上の文字列をコピーし、ローカルに貼り付けることができました。

右クリック時

分離ブラウザからローカルへコピーされたことがバナーとして表示されました。

分離ブラウザからローカルへコピーを許可しない設定にした場合、ローカルにコピーができず、警告表示されました。

まとめ

今回は、ZPAの「ブラウザ分離」についてご紹介いたしました。
ZPAのブラウザ分離は、ファイルのダウンロードの禁止や、透かし機能を使うことで、社内情報の持ち出しを防ぎます。
これにより、意図した情報漏洩を防ぐのはもちろん、利用者が意識していないうちに起こり得る情報流出も未然に防ぐことができます。

これからも新卒として学んだことを発信していきたいと思いますので、どうぞよろしくお願いいたします！

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。