はじめに
本記事はゼットスケーラー株式会社としてAdvent Calender 2024の一つとして投稿しています。以下の免責事項をご理解の上、記事をお読み頂けますと幸いです。
免責事項
本記事のコンテンツや情報において、可能な限り正確な情報を掲載するよう努めておりますが、 誤情報が入り込んだり、情報が古くなったりすることもあり、必ずしもその内容の正確性および完全性を保証するものではございません。そのため、本記事をエビデンスとしたゼットスケーラーへの問い合わせなどはご対応致しかねることをご理解頂けると幸いです。掲載内容はあくまで個人の意見であり、ゼットスケーラーの立場、戦略、意見を代表するものではありません。当該情報に基づいて被ったいかなる損害について、一切責任を負うものではございませんのであらかじめご了承ください。
1. 未分類サイトと課題とリスク
Zscalerが分類できない、またはまだ分類していないサイトへのアクセスをブロックすることは、間違いなく強固なセキュリティ対策ですがユーザーエクスペリエンスの低下や、ブロックされたサイトにユーザーがアクセスしようとしてサポートチケットが殺到するという代償が伴います。
この非効率な運用はサービスデスクの人員、セキュリティアナリスト、Zscalerの管理者の時間とリソースを浪費します。
一方、これらのサイトへのアクセスを許可すると、潜在的なセキュリティの脆弱性が発生するというジレンマを抱えてしまいます。
2. スマートブラウザ分離 でいーんじゃない?
Zscaler Internet Access(以下ZIA)のクラウドブラウザ分離(CBI)は、ユーザーの柔軟性と堅牢なセキュリティ対策をシームレスに実現するゲームチェンジャーです。
2024年10月からGPUを利用した新しい画面転送方式に対応し、ローカルで動かすのとほぼ変わらないようなブラウザ分離が可能となりました。
クラウドブラウザ分離では「スマートブラウザ分離」という機能があり
AI/MLモデルを使用して、悪意がある可能性のあるWebコンテンツを自動的に分離することが可能です。
つまりカテゴリによる未分類サイトであってもAI/MLがリスクが高いと判断したWebサイトを分離することで
エンドユーザーがこれらの宛先に安全にアクセスできるようになり、悪意のあるコンテンツやアクティビティに遭遇するリスクが軽減されます。これにより、ユーザーの満足度が向上するだけでなく、会社の貴重な資産も保護されます。
3. ZIAの設定方法
ZIA 管理者ポータルで、[ポリシー]、[セキュアブラウズ] の順に移動します。
[AI/ML ベースのスマートブラウザ分離を有効にする] を [オン] に切り替えます。
そして画面下部の[保存]ボタンをクリック。
最後にテナントへ設定反映するために[有効化]することをお忘れなく。
なお通常クラウドブラウザ分離を利用するためにはSSLインスペクションを適用している必要がありますが「スマートブラウザ分離」を有効にするとURL カテゴリの [Suspicious Domains] に対して [Smart Isolation One Click Rule] というタイトルの新しい SSL インスペクションルールが作成されます。
4. 動作テスト
ZscalerのAI/MLによりリスクが高いと判断されるWebサイトへアクセスしてみました。
アクセスしたら即座にクラウドブラウザ環境へリダイレクトされ、安全に分離されました。
このようにスマートブラウザ分離を利用することにより未分類のWebサイトであっても過去の攻撃データを学習したAI/MLにより自動的に高リスクサイトのみブラウザ分離を行い
安全性と利便性の両立が可能となります。