Netskopeのゼロトラストデータ保護は、ユーザーとアプリとDLPで守る
Netskopeは「データとネットワークに最高のセキュリティを」をビジョンに掲げ、設立以来、数々の先進的なソリューションを展開している。
具体的にはCASBに始まり、DLP、次世代SWG、NewEdge、NPA(Netskope Private Access)と続き、2021年にはRBI(Remote Browser Isolation:Web分離)、SSPM(SaaS Security Posture Management:SaaS設定不備を検出)、CFW(Cloud Firewall)と進み、今はSASEへと向かっている。
今回は情報漏えいにフォーカスし、クラウドやWebへの通信を制御するZTDP(Zero Trust Data Protection)を見ていこう。主な流れとしてはアイデンティティとアプリケーションの制御でリスクを減らし、その上で日本語対応のDLP(Data Loss Prevention)を適用することでデータを保護していく。
アイデンティティは主にユーザーを対象にした制御で、「このユーザーは誰か? どこまで許されるか?」という認証や権限はもちろん、UEBA(User and Entity Behavior Analytics)も含む。
アプリケーションはユーザーがアクセスするクラウドアプリケーションを対象としており、「このアプリケーション(サービス)は企業が認めたものか? 安全性は? どんな操作をしているか?」などインスタンスの区別、リスク可視化、アクティビティ制御などがある。DLPはデータの中身を見て個人情報や機密情報が含まれていないかを確認し、ポリシーに沿って制御していく。
なおゼロトラストにおける基本的な考え方は「トラフィックを継続的に監視し、(アクセスなどを)制御する」ことにある。そのため重要な要素としてはアクセス制御、ユーザーのアクティビティ制御、さらにコンテキストの理解がある。
これまでコンテキストを調べた後は「許可」または「ブロック」の二択だった。しかしこれでは極端であり、生産性が損なわれてしまう懸念もある。そのためこれからは、よりきめ細やかな制御ができると好ましい。例えばブロックしないまでも、ユーザーに対して通知やコーチングを行う、管理者に通知する、ステップアップ認証を行うなどだ。
UEBAも不審な行動を検知するため、ZTDPでは重要な要素となる。これは操作そのものは禁止されていないものの、ユーザーのふるまいを分析して不審な行動を検知する。たとえば短時間に連続してファイルのダウンロードやアップロードが大量に実施される、ログインの失敗が多い、個人用のストレージサービスにデータを移動するなど、日常的な業務では起こりにくい行動を検知していく。次世代SWGからさらに踏み込んだものとなる。
不審であるかどうかはスコアリングで評価していく。最初に持ち点があり、不審な行動があるたびに減点していく。信頼度が下がるというわけだ。スコアが下がるほど、制限が厳しくなる。例えば最初は制限なしでも、ある段階まで下がると警告メッセージが表示され、次は利用可能なクラウドサービスが限定され、クラウドサービスを利用可能な時間帯が限定され……と制限が強化されていく。
NetskopeのSWGはCASBのような可視化とリアルタイム制御が加わり、次世代SWGへと進化している。明らかに不審なサイトやC&Cサーバーなどをブロックするだけではなく、CASBのようにWebサイトごとに可能な操作を制御し、不審なサイトかどうか微妙ならRBIで攻撃を無害化することも可能だ。
