セキュアWebゲートウェイのエージェント方式で端末制限とShadow ITの検出

schedule 2022/07/05  refresh 2023/11/08

 

リモートワークを行う中で、クラウドストレージからデータのダウンロードは、会社のPCは許可するけど、個人のPCでは許可したくないなど、端末毎にアクセス制限を行いたい場合があります。

 

また、SaaSの利用が増えてくる中で、管理者が認識していないSaaSを社員が利用している場合もあり、そういったShadow ITの検出も必要になってきています。

 

Secioss Secure Web Gatewayでは、こういった場合、PCにエージェントをインストールすることで、ユーザー、グループ、ネットワークに加えて、端末を識別したアクセス制御が可能になり、さらにPCのWeb通信が全てセキュアWebゲートウェイ経由になるので、そのログからShadow ITを検出すること可能です。

 

 

端末制限

まず、PCにエージェントプログラムswgagentInstallerをインストールします。

 

インストール後、"SECIOSS Secure Web Gateway Agent"を起動すると、ID/パスワードの入力画面が表示されるので、Secioss Secure Web GatewayのユーザーID/パスワードを入力して認証を行ってください。

 

すると、SeciossLinkの端末管理画面にエージェントをインストールした端末が表示されるので、端末を有効にしてから、編集をクリックして所有組織に会社の組織(例では”全員”)を設定して下さい。

 

これで、このPCからのWeb通信は全てセキュアWebゲートウェイ経由で行われるようになりました。

 

20220705_1

 

次に、「CASB」-「アクセスポリシー」でGoogle Drive、One Drive、Box、Dropbox等のクラウドストレージの「許可する端末」の所有組織に”全員”を設定して、許可する操作は全て許可して下さい。

 

20220705_2

 

次に先ほど設定したアクセスポリシーと同じクラウドストレージに対して、許可する操作から”ダウンロード”を外したアクセスポリシーを設定してください。

 

20220705_3

 

以上の設定で、端末の所有組織を設定したPCはクラウドストレージからデータのダウンロードができますが、それ以外の個人PC等からはダウンロードができない状態になりました。

 

Shadow IT

PCの全てのWeb通信がセキュアWebゲートウェイ経由になったことで、セキュアWebゲートウェイのログからShado ITを検出することができるようになりました。

 

SeciossLinkでは、セキュアWebゲートウェイのログからアクセスの多い順にアクセス先のサービスを一覧することができます。

 

20220705_4

 

セキュアWebゲートウェイは、SASEを構成する機能の1つですが、導入することで詳細なアクセス制御やShadow ITの検出等、クラウドサービスを利用する上でのセキュリティを向上させることができます。