💻

NetskopeでUSBストレージの利用を禁止する

2023/11/10に公開

NTTグループによる情報漏えいが発生しましたが、その流出の手段としてUSBストレージが利用されていたと報道されています。

NetskopeのEndpoint DLP機能を利用するとUSBストレージの利用を制御することが可能です。
今回は、このNetskope Endpoint DLPを検証してみたいと思います。

Netskope Endpoint DLPの設定

Endpoint DLPの有効化

まず、Endpoint DLPを有効化する必要があります。

  1. Netskopeテナントへログイン
  2. Settings -> Security Cloud Platform -> Netskop Client -> Client Configuration
  3. 対象となるコンフィグを選択
  4. ENDPOINT DLPタブをクリック
  5. "Enable Endpoint DLP"にチェックを入れます
  6. "SAVE"をクリック

Endpint DLPのポリシーを作成する

次に、Endpoint DLPのポリシーを作成します。今回は全てのUSBストレージを禁止するポリシーと、特定のUSBストレージの利用を許可するポリシーの2つを作成します。

・全てのUSBストレージデバイスを禁止するポリシー
 原則として全てのUSBストレージの利用を禁止するポリシーを作成します。

  1. Policies -> Endpoint Protection
  2. "NEW DEVICE CONTROL POLICY"をクリック
  3. Deviceの部分で"USB Storage Device"を選択します。
  4. Actionの部分で"Block"を選択し、ユーザー通知用のテンプレートを選択します。
  5. Set Policyにポリシー名称を入力します。
  6. "SAVE"をクリックします。

    全てのUSBストレージデバイスを禁止するポリシー

・特定のUSBストレージを許可するポリシー
 業務上どうしてもUSBストレージを利用しなければならない業務も発生するかもしれません。そういった場合に特定のUSBストレージのみ許可するポリシーを作成します。
 前提として、USBストレージの利用を希望する従業員が情報システム部に利用申請を提出し、情報システム部から安全を確認したUSBストレージを貸与するという状況を想定しています。

  1. Policies -> Endpoint Protection
  2. "NEW DEVICE CONTROL POLICY"をクリック
  3. USERの部分で利用を許可するユーザーを指定します。
  4. Deviceの部分で"USB Storage Device"を選択します。
  5. USB Storage Device:の部分で許可するUSBストレージの条件を設定します。
      今回は情報システム部から提供するUSBストレージは一つ一つのシリアル番号が管理されており、貸与するUSBストレージのシリアル番号を登録することを想定します。

    利用を許可するUSBストレージのシリアル番号を登録する
  6. Actionの部分で"Allow"を選択し、ユーザー通知用のテンプレートを選択します。
  7. Set Policyにポリシー名称を入力します。
  8. "SAVE"をクリックします。
      ※先程作成した"全てのUSBストレージデバイスを禁止するポリシー"より上に配置するようにしてください。

    特定のUSBストレージを許可するポリシー

・作成したポリシー順序の確認
 Netskopeのポリシーは上から順番にポリシーが精査され、該当したタイミングでポリシーが適用され、それ以降のポリシーは評価されなくなります。そのため一番初めに作成した"全てのUSBストレージデバイスを禁止するポリシー"を一番上に存在すると、USBストレージが一切利用出来なくなりますので、このポリシーを一番最後になるように配置します。

こちらがポリシー登録例となります。


ポリシー登録例

Netskope Client上での動作確認

次にNetskope Client側でEndpoint DLPが有効になっているかを確認します。

  1. Netskope Clientが動作しているパソコンにログインします。
  2. Windowsタスクバー上にあるNetskopeアイコンの上で右クリックをします。
  3. 表示されたメニューからConfigurationをクリックします。
  4. Endpoint DLPの部分が"Enabled"になっていることを確認してください。
  5. USBストレージを挿入し想定した動作となるか確認してください。

Skope ITによるルール違反の確認

Skope ITを利用することで、Endpoint Eventを確認することが可能です。

  1. Netskopeテナントにログインします。
  2. Skope IT -> Events -> Endpoint Events
  3. Endpointで記録された物理デバイスの挿入等のイベントが確認可能です。
  4. 今回はシリアル番号を登録したUSBストレージのみ利用を許可し、それ以外のUSBストレージは禁止としているので、特定USBストレージは許可されていますが、iPhone等をパソコンに差し込んでもNetskopeによってBlockされていることがわかります。

    Skope ITによるEndpoint Eventの確認

まとめ

国内の情報漏えい事件の報道を見ているとUSBストレージが悪用されているケースは少なくありません。USBストレージは小型で隠しやすく社内に簡単に持ち込むことも出来ますし、また在宅勤務が許可されているケースでは第三者に見られることなくUSBストレージを利用することも出来てしまいます。

Netskope Endpoint DLPを利用頂くことでUSBストレージの安全な利活用を検討頂くことが可能になります。

より詳細な情報はNetskopeの公式ヘルプをご参照ください。

Discussion