株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Zscaler > ZIA基本のキ #4 | ファイル制御でリスクを低減!?【Zscaler】

ZIA基本のキ #4 | ファイル制御でリスクを低減!?【Zscaler】

Zscaler ZIA 初心者向け

みなさん、こんにちは。
ネットワールドSEの黒瀬です。

今回はZIAのファイルタイプコントロール(ファイル制御)についてご紹介します。

「ファイルタイプコントロールってなに?」「実際にどんなことができるの?」といったことを、実際の検証画面を交えながらわかりやすく説明していきます。

ファイルタイプコントロールについて詳しくどんなことができるか載っているサイトが少なかったので、皆さんのお役に立てれば幸いです。

 

 

* 免責事項
- 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
- 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
- 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
- 本書の利用は、利用者様の責任において行われるものとします。
- 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。

ファイルタイプコントロール(ファイル制御)とは?

ファイルタイプコントロール(ファイル制御)とは、ポリシーを使用して、様々なタイプのファイルのアップロードとダウンロードを制限する機能です。

URLフィルタリングやクラウドアプリケーションコントロールと同じく、様々な条件により柔軟なセキュリティ設計ができます。クラウド上で一貫したポリシーを適用できるため、拠点やデバイスの場所に依存せず、セキュリティと業務の快適性を両立できます。

ファイルタイプコントロールの画面

それでは実際のファイルタイプコントロールの設定画面とその設定項目を確認していきましょう。

 

ファイルタイプコントロールの作成画面が下図になります。

ファイルタイプコントロールのポリシー作成画面は、大きく3区分に分けられています。

  • ルール情報
  • 条件(CRITERIA)
  • アクション

細かい設定は「実際に設定してみた」で紹介していきます。

 

ここからは、ZIAのファイルタイプコントロールの魅力についてご紹介していこうと思います。

ファイルタイプコントロールの魅力ポイント!!

ファイルタイプコントロールは、ファイルごとにきめ細やかなポリシーを制定でき、業務に応じて柔軟な運用ができます。

今回は私が魅力だと感じるファイルタイプコントロールのポイントに絞ってご紹介していきます!

ファイル操作を制御することは、リスク低減に直結!

日常的に行われるダウンロードやアップロードといったファイル操作は、侵入や情報流出の原因や起点になりがちです。この日々の動作をきちんと制御することで、リスク低減につながっていきます。

例えば、危険度の高い種類のファイルは通さない、疑わしいファイルは警告表示し一旦安全確認をおこなう、といったシンプルな方針でも、日々のヒヤリハットは着実に減らすことができます。

リスクの多くは人的要因に由来するからこそ、ヒヤリハットを減らすだけでも、その分リスクは確実に低減していきます。

 

柔軟な設計による強固なセキュリティ

もう1つの魅力として、設計の自由度があります。ファイルカテゴリやユーザー、操作するURLカテゴリなど多彩な設定項目があり、きめ細やかな設計が可能です。だからこそ、部門や業務に合わせて「業務に必要なものはきちんと通しつつ、危険なものや疑わしいものは通さない」という最適解を実装できます。結果として、業務への影響は最小に、セキュリティは非常に強固といった設計をすることができ、運用負荷を増やさずに高い防御力を引き出すことができます。

 

さらにZIAの強みは、ここからの重ね掛けにあります。
ファイルタイプコントロールにサンドボックスやブラウザ分離など様々な機能を組み合わせることで、未知/既知のリスクに対応する多層防御を構築し、高い堅牢性を発揮することが可能です。

 

そんなZscalerでは、困ったらとりあえず設定することをおすすめするシンプルな設定があります。

Zscaler推奨の設定

Zscalerでは、ファイルタイプコントロールのポリシーを構成する際におすすめの設定があります。それが次の2つのポリシーです。

  • 任意のURLカテゴリのWebサイトからの実行可能なダウンロードに対する注意アクション
  • 任意のURLカテゴリのWebサイトへの実行可能ファイルのアップロードをブロックするアクション

出典:推奨されるファイルタイプ管理ポリシー-Zscaler(https://help.zscaler.com/ja/zia/recommended-file-type-control-policy)

 

では、実際にこれらのファイルタイプコントロールのポリシーを設定していきましょう。
2つとも紹介していくと記事が長くなってしまうので、片方だけ設定して確認していきます!

実際に設定してみた

今回はZscaler推奨のポリシーの内、「任意のURLカテゴリのWebサイトからの実行可能なダウンロードに対する注意アクション」を実際に作成していこうと思います。

今回は検証のため、対象のユーザーを私のアカウント「Yoshiaki Kurose」に絞って作成していきます。

それではさっそく、「ファイルタイプコントロールのルールを追加」を押してポリシーを作成していきます。

 

まず最初にルール情報を入力していきます。

・ルールの順序:1

・ルール名:download_test_ky

・ルールのステータス:有効

・ルールラベル:--

 

まず、ルールは上位のルールから適用されるため、ルールの順序を1にしています。デフォルトでは、一番大きい数になるため、設定時には注意してください。

次に、ルール名は日本語表記にも対応しています。日本語でのルール名の文字数制限は31文字までのため、ルール名が多少長くても大丈夫です。

また、ルールのステータスとルールラベルは今回はデフォルトのままで変更していません。
ルールのステータスは「有効/無効」を選択できるため、今回は有効でそのまま保存していますが、無効のまま保存し、内容確認してから有効化する、という運用にすると事故削減につながります。

ルールラベルについてはルールを論理的にグループ化することができ、設定後の管理・運用がしやすくなります。

 

ここからは条件(CRITERIA)の欄です。

ここでは、制御したいファイルタイプやユーザーなどルールを適用するための様々な設定項目を指定できます。

 

まずは、適用するファイルタイプについて設定していきます。

ここでは、ファイル制御に対して操作を行うファイルの形式を選択することができます。
今回は実行可能なファイルについて制御を行うので、ファイルタイプを選択し、スクロールして「実行可能なファイル」にチェックをいれます。

 

次に設定するのはユーザー設定です。

本来はここは全ユーザーに適用させたいため、デフォルト値の「Any」のままで大丈夫です。「Any」は全てのユーザーにルールを適用することができます。

しかし今回は検証のために設定するので、「Any」で設定すると別ユーザーに影響が出てしまうため、「Yoshiaki Kurose」を選択しています。

 

他にもユーザー関連では、グループやロケーション、部署などでも管理することができます。

 

設定する項目としては以上となります。

推奨設定では、URLカテゴリについては任意となっているのですが、推奨としては「Any」で作成しておき、業務で使用するものだけ明示的に許可するポリシーを作成する方がセキュリティレベルを高く保つことができます。

 

また、デフォルトで無効になっている設定として以下の三つがあります。

・アクティブコンテンツに対する制御

・スキャンできないファイルに対する制御

・パスワードがかかっているファイルに対する制御

こちらは今回は無効のままで、別の機会に紹介したいと思います。

 

全て設定し終わったCRITERIAの項目が下図になります。

 

最後にアクションを設定していきます。

アクションでは、ファイル操作に対して、許可・ブロック・警告表示という種類のアクションを行うかを設定します。ファイル操作の対象として、アップロード・ダウンロード、またはその両方を選択することができます。

 

 

今回は実行可能なファイルをダウンロードする際に警告表示を行いたいため、アクションに「警告」、アップロード/ダウンロードに関しては「ダウンロード」を選択します。

 

 

設定後は必ずアクティブ化します。

右上のアイコンを選択後、忘れずにアクティブ化しましょう。

 

Zscalerのドキュメントには、例として作成したポリシーの他にもう一つ許可ポリシーを作成していますが、作成してもしなくても挙動は変わらないので、今回は省略します。

 

では、設定できたので実際に動作を確認していきましょう!

 

実行可能ファイルなら何でもいいので、今回はGoogle Chromeのexeファイルをダウンロードしてみました。


このように警告画面が表示されることが確認できました。

 

また、Zscalerの管理画面(Zscaler experience center)の方でもログを確認してみます。

 

同じく、このように管理画面のログからも警告表示されたことが確認できました。

 

まとめ

今回は実行可能ファイルのダウンロードに対して警告表示という操作のポリシーを作成してみました。
まずはシンプルなポリシーでもいいので実装し、日々のヒヤリハットを少なくするだけでもリスク低減につながります!

更には、多彩な条件を活かして設計を深めることで、業務影響を最小化しながら防御力を一層と高めることができるます。
少しずつ業務に合わせて機能を最適化することで、堅牢なセキュリティを実装しましょう!

 

今回はファイルタイプコントロールについてご紹介しました。
紹介できなかったアクティブコンテンツに関する制御なども、また別の機会にご紹介しようと思います。
良ければ次回もご覧ください。