NetskopeでUSBストレージの利用を禁止する
NTTグループによる情報漏えいが発生しましたが、その流出の手段としてUSBストレージが利用されていたと報道されています。
NetskopeのEndpoint DLP機能を利用するとUSBストレージの利用を制御することが可能です。
今回は、このNetskope Endpoint DLPを検証してみたいと思います。
Netskope Endpoint DLPの設定
Endpoint DLPの有効化
まず、Endpoint DLPを有効化する必要があります。
- Netskopeテナントへログイン
- Settings -> Security Cloud Platform -> Netskop Client -> Client Configuration
- 対象となるコンフィグを選択
- ENDPOINT DLPタブをクリック
- "Enable Endpoint DLP"にチェックを入れます
- "SAVE"をクリック
Endpint DLPのポリシーを作成する
次に、Endpoint DLPのポリシーを作成します。今回は全てのUSBストレージを禁止するポリシーと、特定のUSBストレージの利用を許可するポリシーの2つを作成します。
・全てのUSBストレージデバイスを禁止するポリシー
原則として全てのUSBストレージの利用を禁止するポリシーを作成します。
- Policies -> Endpoint Protection
- "NEW DEVICE CONTROL POLICY"をクリック
- Deviceの部分で"USB Storage Device"を選択します。
- Actionの部分で"Block"を選択し、ユーザー通知用のテンプレートを選択します。
- Set Policyにポリシー名称を入力します。
- "SAVE"をクリックします。
全てのUSBストレージデバイスを禁止するポリシー
・特定のUSBストレージを許可するポリシー
業務上どうしてもUSBストレージを利用しなければならない業務も発生するかもしれません。そういった場合に特定のUSBストレージのみ許可するポリシーを作成します。
前提として、USBストレージの利用を希望する従業員が情報システム部に利用申請を提出し、情報システム部から安全を確認したUSBストレージを貸与するという状況を想定しています。
- Policies -> Endpoint Protection
- "NEW DEVICE CONTROL POLICY"をクリック
- USERの部分で利用を許可するユーザーを指定します。
- Deviceの部分で"USB Storage Device"を選択します。
- USB Storage Device:の部分で許可するUSBストレージの条件を設定します。
今回は情報システム部から提供するUSBストレージは一つ一つのシリアル番号が管理されており、貸与するUSBストレージのシリアル番号を登録することを想定します。
利用を許可するUSBストレージのシリアル番号を登録する - Actionの部分で"Allow"を選択し、ユーザー通知用のテンプレートを選択します。
- Set Policyにポリシー名称を入力します。
- "SAVE"をクリックします。
※先程作成した"全てのUSBストレージデバイスを禁止するポリシー"より上に配置するようにしてください。
特定のUSBストレージを許可するポリシー
・作成したポリシー順序の確認
Netskopeのポリシーは上から順番にポリシーが精査され、該当したタイミングでポリシーが適用され、それ以降のポリシーは評価されなくなります。そのため一番初めに作成した"全てのUSBストレージデバイスを禁止するポリシー"を一番上に存在すると、USBストレージが一切利用出来なくなりますので、このポリシーを一番最後になるように配置します。
こちらがポリシー登録例となります。
ポリシー登録例
Netskope Client上での動作確認
次にNetskope Client側でEndpoint DLPが有効になっているかを確認します。
- Netskope Clientが動作しているパソコンにログインします。
- Windowsタスクバー上にあるNetskopeアイコンの上で右クリックをします。
- 表示されたメニューからConfigurationをクリックします。
- Endpoint DLPの部分が"Enabled"になっていることを確認してください。
- USBストレージを挿入し想定した動作となるか確認してください。
Skope ITによるルール違反の確認
Skope ITを利用することで、Endpoint Eventを確認することが可能です。
- Netskopeテナントにログインします。
- Skope IT -> Events -> Endpoint Events
- Endpointで記録された物理デバイスの挿入等のイベントが確認可能です。
- 今回はシリアル番号を登録したUSBストレージのみ利用を許可し、それ以外のUSBストレージは禁止としているので、特定USBストレージは許可されていますが、iPhone等をパソコンに差し込んでもNetskopeによってBlockされていることがわかります。
Skope ITによるEndpoint Eventの確認
まとめ
国内の情報漏えい事件の報道を見ているとUSBストレージが悪用されているケースは少なくありません。USBストレージは小型で隠しやすく社内に簡単に持ち込むことも出来ますし、また在宅勤務が許可されているケースでは第三者に見られることなくUSBストレージを利用することも出来てしまいます。
Netskope Endpoint DLPを利用頂くことでUSBストレージの安全な利活用を検討頂くことが可能になります。
より詳細な情報はNetskopeの公式ヘルプをご参照ください。
Discussion