NetskopeとGoogle Workspaceで私物PCからGoogleドライブへのアクセスを制御してみた
はじめに
株式会社ココナラの情報システムグループ CSIRTチーム所属のかまたです。
近年、企業における情報セキュリティ対策はますます重要になっています。特にクラウドサービスの利用が盛んになる中で情報漏洩のリスクも高まっています。
そこで、本記事ではNetskopeとGWSのコンテキストアウェアアクセスという機能を組み合わせてGoogleドライブへのアクセスを制限する方法について紹介します。
課題
ココナラでは業務用クラウドストレージとしてGoogleドライブを導入しています。
社用PCには情報漏洩対策としてNetskopeがインストールされており、情報持ち出しを検知することができます。
しかし、Googleドライブは私物PCやスマートフォンからもアクセス可能であり、これらのデバイスからの情報持ち出しが検知できないという課題がありました。
解決策
そこで、もともと社用PCにインストールされているNetskopeと、Google Workspaceでアクセスを制御することにしました。
Google Workspaceのコンテキストアウェアアクセス
GWSのコンテキストアウェアアクセスという機能でIPアドレスによるアクセス制御が可能であることを知りました。
説明をGWSのヘルプページから引用します。
コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御セキュリティ ポリシーを設定できます。
この機能の嬉しいポイントは2つありました。
- GWS内のGoogleドライブに絞ってアクセス制御ができる
- IPアドレスやOSなどのいくつかの条件を組み合わせて制御できる
NetskopeのNetskope Private Access機能
IPアドレスでの制御をしようとした理由は、NetskopeのNetskope Private Access機能(以降NPA)にありました。
ざっくり言ってしまえば端末のIPアドレスを一意に決めることができる機能です。
嬉しいポイントが次の2つです。
- IPアドレスを設定したい任意のドメインに限定して適用できる
- ユーザー側で接続のために操作する手間がいらない
以下サイバネット社の概要図を引用させていただきます。
VPNとの違いなど詳しくはサイバネット社のページをご確認ください。
設定方法
Netskopeの設定
設定の大まかな手順は3ステップです。
(Netskopeの方が手順を書かれているので、リンクにして詳細は割愛します。)
-
NPA Publisherを登録する
このPublisherというのがVPNゲートウェイにあたるものになります。 -
アプリの登録
PrivateAppはこのような画面で設定します。
複数のPublisherを設定することで冗長構成を組むことができます。
-
クライアントの設定
ポリシーとして設定を端末に割り当てます。
今回は全ユーザーに適用していますが、特定のユーザーだけにしか適用しない といったことも可能です。
Google Workspaceの設定
2ステップで設定します。
(詳しい手順はGWSのヘルプページをご参照ください。)
-
アクセスレベルの設定
アクセスを許可する条件をここで設定します。
今回はPublisherのIPアドレスを設定します。
設定できる項目はこれだけあります。
-
アクセスレベルの割り当て
先のステップで作成したアクセスレベルを、どのGWSのサービスに割り当てるかを設定します。
今回はGoogleドライブとそのドキュメントを選択します。
動作確認
社用PCからは普段通りアクセスできますが…
Netskopeの入っていない私用PCではこのように表示されます。
まとめ
NetskopeとGoogle Workspaceを組み合わせることで、私物PCからのGoogleドライブへのアクセスを制御することができました。
私物PCからの情報漏洩リスクを低減し、情報セキュリティを強化することができたのではないかなと思います。
この記事が、私物PCからの情報漏洩対策を検討している方にとって参考になれば幸いです。
さいごに
ココナラに興味をもっていただいた方やもっと詳細に話を聞いてみたい方がいましたら、以下よりご連絡ください。
ブログの内容への感想、カジュアルにココナラの技術組織の話をしてみたい方はこちら
https://open.talentio.com/r/1/c/coconala/pages/70417
エンジニアの募集職種一覧はこちら
https://coconala.co.jp/recruit/engineer
Discussion