 本記事は 夏休みクラウド自由研究 8/15付の記事です。 |
どうも、Catoクラウドを担当している佐々木です。
Catoの導入支援や運用支援をしていると、特定のアプリケーションの利用制限やアクセス制御をしたいけど、どの機能を利用したらいいかわからない、という声をよく聞きます。
そこで今回は 「Microsoft Teams」を例に、アプリケーションの利用制限やアクセス制御のユースケース をご紹介します。
どんな方法があるのか
| No | 機能名 | できること/用途 |
| 1 | Internet Firewall/ WAN Firewall |
特定のアプリケーションに関するインターネットやWANへの通信を制御できます。 細かい動作の制限などはせずに、特定のアプリを使った通信をブロックしたい、といった場合に利用できます。 例えばTeamsを制御する場合、Teamsに関係するインターネットやWANへの通信がすべてブロックすることができるので、実質Teamsを利用禁止にできます。 |
| 2 | App Control | Cato の Cloud Access Security Broker (CASB) ソリューションの一つです。 アプリケーション単位で特定の操作だけ許可したり、禁止したりといった制御が可能です。 例えばTeamsを制御する場合、ファイルのアップロード、ダウンロード、メッセージの送信、削除、ビデオ通話などの制限ができます。 |
| 3 | Header Injections | これもCato の Cloud Access Security Broker (CASB) ソリューションの一つです。 テナント制御(会社や管理者が許可したアカウントのみWEBサービスを利用できるようにする)を実現する機能です。 例えばTeamsを制御する場合、自社のMicrosoftアカウントでの利用だけ許可して、個人アカウントや他社のアカウントでの利用を禁止するといった制御が可能です。 |
| 4 | DLP | 機密情報や個人情報の損失および情報漏洩を防ぐ機能のことです。 「機密」や「マイナンバー情報」などの情報が記載されているデータやチャットでの投稿などを検知してブロックすることができます。 こちらもアプリケーション単位で制御することが可能で、TeamsやSlack上で上記のような投稿を検知した場合、ブロックするといった制御が可能です。 |
ケース① 細かいことは言わずに全部ブロックしたい
【設定方法】Microsoft Teamsの場合
- 「App/Category」で「Skype and MS Teams」を選択すること
- 「Action」を「Block」とすること
ケース② ファイルのアップロード、ダウンロードを制限したい
【設定方法】Microsoft Teamsの場合
- 「App Control Rule」を選択すること
- 「Activities」で「UploadとDownload」をORで選択すること
- 「App/Category」で「Skype and MS Teams」を選択すること
- 「Action」を「Block」とすること
ケース③ 閲覧だけさせたい
これは難しいです。
App Control機能を利用することで、ファイルのアップロード、ダウンロード以外にもアクティビティを制限することは可能ですが、
閲覧以外のすべての機能を制限するという設定はありません。
また、アプリケーションによって制限できる動作が異なり、例えば、Teamsの場合、ファイルのアップロード、ダウンロード、
メッセージの送信、削除などを制限する設定があります。
※随時アップデートされるため、何ができるかはCMAから都度確認いただくのが一番良いです。
【設定方法】Microsoft Teamsの場合
ケース④ 個人アカウントや他社アカウントでの利用を禁止したい
以下の2つの方法で実現できます。
Header Injections
Header Injection機能という設定した条件(アプリケーションやアカウント等)にマッチする通信が発生した際、パケットのヘッダーに任意の文字列を挿入する機能を利用することでテナント制御が可能です。
TechHarmony フリークの方はお気づきかもですが、つい先日本機能に関する記事を記載しましたので詳細はそちらをご確認ください。
App Control
App Control機能でも実現可能です。
Teamsの場合、結局Microsoftのアカウントでログインすることになります。
App Control機能の「App/Category」でMicrosoft Loginを選択し、許可したいアカウントのドメインのみログイン可能とするような設定をすることで制御可能です。
詳細は以下のFAQに記載ありますのでご確認ください。
※ご契約者様の場合、なんと手順書もございます!!
※ログイン画面が表示されて該当のFAQを開けない方は、FAQサイトの検索ウィンドウで以下を検索ください。
「Microsoft365に対してアカウント毎の制御を行いたい」
どっちを使うのがいいの?
利用するアプリに対応している機能であればどちらでも問題ないですが、それぞれ特徴があります。
Header Injectionの場合、どのアプリケーションで設定するのかを調べるのが大変です。
実際にログイン通信を発生させて、CMAのEventログからどのアプリケーションにマッチしているのか、を調べて、テストして、
という作業が必要になると思います。
ただ、対応しているアプリケーションはApp Controlにくらべて多いと思います。
App Controlの場合、アプリケーションによって設定できるアクティビティが異なりますので、ログイン制限ができるかどうかCMAから確認が必要です。
そして、対応していない場合、どうしようもできません。。
(Catoに追加を依頼して、待つしかないっす!)
ケース⑤ 機密情報のアップロード、ダウンロードを制限したい
まとめ
「Microsoft Teams」を例にしてアプリケーション利用制限のユースケースを紹介してきましたが、
他のアプリケーションでも基本的には同じ設定で実現可能です。
ただし、App Controlなどアプリケーションの動作を制限する機能の場合、アプリケーションの種類によって制限できる動作が異なりますので、ご注意ください。
上記以外の情報についても弊社の「Catoに関するFAQサイト」に多数情報ございますのでご参考にください。
最後に、SCSKではPoCから導入、運用まで幅広くCatoに関する支援を行っております。
本番構成への移行を見据えたPoC構成や、PoCでつまづきやすい点のサポートなど、豊富な導入実績を基にご支援いたします。
ぜひお声がけください!