はじめに
こちらは Zscaler Advent Calendar 2024 の12/15(日)の記事になります。
本記事では、Microsoft OneDriveやSharePointを介した攻撃からユーザーを保護するために有効な、ZIA 上でのTLSインスペクションポリシーの構築手順を紹介します。
なぜOneDriveやSharePointで気をつける必要があるのか?
OneDriveとSharePointは、社内外でのスムーズなファイル共有を実現する便利なクラウドサービスです。しかし、その「便利さ」は悪意あるアクターにとっても有効利用される可能性があることを忘れてはいけません。Microsoftの機能は主に組織データそのものを守ることに注力していますが、ユーザーを狙った攻撃を100%防げるわけではありません。
もし何者かがOneDriveやSharePointを足がかりにマルウェアを配信してきたら、どう対応しますか?
ZscalerのTLSインスペクションで丸ごと可視化
そこで役立つのがZscalerのTLS/SSLインスペクション機能です。
この機能を有効化しておくと、OneDriveやSharePointを経由する暗号化されたトラフィックであっても、暗号化通信の「中身」を正しく把握し、マルウェアなどの脅威を確実につぶすことができます。
免責事項
本記事の内容は筆者個人の見解であり、Zscaler社を公式に代表するものではありません。また、掲載情報は可能な限り正確性と最新性を保つよう努めていますが、その保証はできません。本記事を元にしたZscalerへのお問い合わせには応じかねる場合があります。実際の設定や適用は自己責任でお願いいたします。
1. Microsoft推奨のOffice 365 One Click Configurationを有効化
Microsoftは、Office 365トラフィックを透過的にマイクロソフトクラウドへ転送することを強く推奨しています。Zscalerはこの要件に合わせて「Microsoft推奨のOffice 365 One Click Configuration」オプションを提供し、関連トラフィックを自動的かつ動的にバイパスします。
これにより、管理者が煩雑なカスタム設定(カスタムURL作成など)を行う必要がなくなり、常に最新の接続条件でOffice 365を利用可能です。
有効化手順:
- 「Policy > URL & Cloud App Control」へ移動
- 「Advanced Policy Settings」タブを選択
- 「Enable Microsoft Recommended One Click Office 365 Configuration」を有効化
- 「Save」で変更を保存
この設定により、Office 365関連トラフィックが推奨設定で処理される基盤が整います。
2. OneDrive と SharePoint用のTLS検査ルールを作成
続いて、OneDriveおよびSharePointを対象としたTLSインスペクションルールを追加します。
Zscalerが定義するCloud Applicationを使えばカスタムURLを作成したり、更新したりする管理が必要ありません。
Zscalerではポリシーが上から下へ評価されるため、先ほど有効化したOne Clickルールよりも上位(順序が小さい番号)にカスタムルールを挿入します。
手順:
- 「Policy > SSL Inspection」へ移動
- 「Office 365 One Click」ルールの順序を確認(例:2番目に存在)
- “Add SSL Inspection Rule”をクリック
- Rule Order: 2番目 (One Clickルールよりも上位)
- Rule Name: 例:「Inspect OneDrive & SharePoint」
- Cloud Applications: OneDrive, OneDrive (Personal), SharePoint Onlineを選択
- Action: Inspect
- 「Save」をクリックして設定を保存
このルールにより、OneDriveおよびSharePoint関連トラフィックはTLSインスペクションの対象となります。
3. OneDrive と SharePointがTLS検査対象となっていることの確認
ここではZCCを用いてインターネットトラフィックをZIAへ転送しているケースを想定します。他のトラフィック転送方法でも手順はほぼ同じです。重要なのは、ZIAがトラフィックを確実に受け取っているか確認します。
確認手順例:
- ユーザーがZIAにログインし、正常にサービスが有効であることを確認
- ブラウザでSharePointのWebページにアクセスし、ログイン
- 接続証明書がZscaler発行(もしくはカスタムPKI)になっているかを確認
TLS検査前
TLS検査後
- Firefoxの場合:URLバー付近のロックアイコン →「Connection Secure」をクリックし、Zscaler Inc.などが認証機関として表示されていることを確認
- Chromeの場合:URLバー付近のロックアイコン →「Connection is secure」→「Certificate is valid」をクリックし、Issued ByがZscaler Inc.またはカスタムPKIであることを確認
TLS検査が実施されていることをログで確認
- 「Analytics > Web Insights > Logs」で、適切な時間枠を選択
- Cloud Application: SharePoint Online でフィルタ適用
4. OneDrive と SharePointからのマルウェアブロック確認
セキュリティポリシーが実際に脅威をブロックできるか、EICARテストファイルを用いて検証します。EICARファイルは悪意ある実害を与えないテスト用シグネチャファイルで、AV検知が正しく機能するか確認できます。
今回はテスト用のOneDriveにEICARから取得したテストファイルを用意
OneDriveから当該ファイルをダウンロードしようとすると、マルウェアとしてブロックされます。
- 「Analytics > Web Insights > Logs」で適切な時間枠を指定
- Cloud Application: OneDrive, OneDrive (Personal)でフィルタ
- EICARテストファイルに対するPolicy ActionがMalware Blockになっていることを確認
この結果により、OneDrive経由でマルウェア配信がZIAポリシーによって阻止されたことを確認できました。
まとめ
本記事では、OneDriveおよびSharePointからユーザーを攻撃から守るためのTLSインスペクションポリシーの設定方法を紹介しました。
これにより、利便性とセキュリティのバランスを取りつつ、組織のクラウド利用をより安全なものにすることが可能となります。引き続きZIAの細やかなポリシー設定を活用し、クラウドストレージ経由の脅威にしっかりと対抗していきましょう。
以上、Zscaler Advent Calendar 2024の一環として、Microsoft OneDriveとSharePointを安全に利用するための実践ガイドでした。次の記事でもお楽しみに!