セキュアWebゲートウェイのエージェント方式で端末制限とShadow ITの検出
schedule 2022/07/05 refresh 2023/11/08
リモートワークを行う中で、クラウドストレージからデータのダウンロードは、会社のPCは許可するけど、個人のPCでは許可したくないなど、端末毎にアクセス制限を行いたい場合があります。
また、SaaSの利用が増えてくる中で、管理者が認識していないSaaSを社員が利用している場合もあり、そういったShadow ITの検出も必要になってきています。
Secioss Secure Web Gatewayでは、こういった場合、PCにエージェントをインストールすることで、ユーザー、グループ、ネットワークに加えて、端末を識別したアクセス制御が可能になり、さらにPCのWeb通信が全てセキュアWebゲートウェイ経由になるので、そのログからShadow ITを検出すること可能です。
端末制限
まず、PCにエージェントプログラムswgagentInstallerをインストールします。
インストール後、"SECIOSS Secure Web Gateway Agent"を起動すると、ID/パスワードの入力画面が表示されるので、Secioss Secure Web GatewayのユーザーID/パスワードを入力して認証を行ってください。
すると、SeciossLinkの端末管理画面にエージェントをインストールした端末が表示されるので、端末を有効にしてから、編集をクリックして所有組織に会社の組織(例では”全員”)を設定して下さい。
これで、このPCからのWeb通信は全てセキュアWebゲートウェイ経由で行われるようになりました。
次に、「CASB」-「アクセスポリシー」でGoogle Drive、One Drive、Box、Dropbox等のクラウドストレージの「許可する端末」の所有組織に”全員”を設定して、許可する操作は全て許可して下さい。
次に先ほど設定したアクセスポリシーと同じクラウドストレージに対して、許可する操作から”ダウンロード”を外したアクセスポリシーを設定してください。
以上の設定で、端末の所有組織を設定したPCはクラウドストレージからデータのダウンロードができますが、それ以外の個人PC等からはダウンロードができない状態になりました。
Shadow IT
PCの全てのWeb通信がセキュアWebゲートウェイ経由になったことで、セキュアWebゲートウェイのログからShado ITを検出することができるようになりました。
SeciossLinkでは、セキュアWebゲートウェイのログからアクセスの多い順にアクセス先のサービスを一覧することができます。
セキュアWebゲートウェイは、SASEを構成する機能の1つですが、導入することで詳細なアクセス制御やShadow ITの検出等、クラウドサービスを利用する上でのセキュリティを向上させることができます。