始めに

はじめまして、エンジニアブログをご覧いただき、ありがとうございます。
入社7年目のカワムラと申します。私は現在NI(ネットワークインテグレーション)業務に従事し、
ゼロトラスト製品Zscalerを導入されるお客様への構築を行っています。
今回はZscalerの一部の機能についてご紹介させていただきます。

Zscalerとは？

Zscalerの中に大きく分けて3つの製品があり、それぞれの製品の概要は以下の通りです。
・Zscaler Internet Access:クラウド型プロキシ + セキュリティチェック
・Zscaler Private Access:リモート環境から企業内リソースへのアクセス
・Zscaler Digital Experience Monitoring:特定の宛先への通信状況の監視

クラウドアプリケーションコントロールポリシー

今回はZscaler Internet Accessの機能である
クラウドアプリケーションコントロールについてご紹介いたします。

クラウドアプリケーションとは何なのか?

Zscalerによりあらかじめ定義されたWEBサイトやアプリケーションの総称です。
クラウドアプリケーションコントロールを使用することで、以下のようなメリットがあります。

・宛先の管理が不要
SAAS製品の場合、機能の追加やパフォーマンス向上のため、IPおよびドメインの追加・変更が
行われることが少なくありません。これまでは更新がかかるごとに手動での対応が必要でしたが、
クラウドアプリケーションコントロールポリシーを使用することで、
宛先の管理をZscalerに任せることが可能となります。

・細かい制御が可能
クラウドアプリケーションとして定義されている一部のアプリケーションは、より細かい制御が可能です。

設定例としては、以下のような制御が可能です。
・OneDriveの閲覧は許可するが、ファイルのアップロードはブロックする
・Teamsで会議の実施は許可するが、画面共有はブロックする

今回は、分かりやすくクラウドアプリケーションコントロールを使用して、
ファイル共有カテゴリに定義されているアプリケーションへのファイルアップロードを
ブロックするルールを、Zscaler管理ポータル上で作成してみたいと思います。

ポリシーの作成

先ずはポリシーの名前を入力します。
どんなポリシーなのかわかりやすく名前を付けましょう。
今回は「File Sharing Upload Block」としました。

ファイルのアップロードをブロックするため、アップロードの項目を[ブロック]に変更します。

設定を保存すると、作成したポリシーが適用されます。

動作確認

早速作成したポリシーが動作しているかを確認してみましょう。
今回は、無料版Microsoftアカウントに付随するOneDriveにファイルをアップロードし、
ファイルのアップロード処理がブロックされるかを確認します。

Zscalerが適用されている端末で、ファイルをアップロードしようとすると…

想定通り、通信がブロックされ、エラーになることが確認できました。
Zscaler管理ポータル上のログを確認してみると、以下のようにポリシーアクションが
「Not allowed to upload files to this site」と表示され、ファイルのアップロードが
ブロックされていることが確認できます。

今回はファイル共有と定義されている全てのアプリケーションへのアップロードをブロックしましたが、
特定のアプリケーション、ユーザー、ロケーションなどを使用して細かく制御することが可能です。
また、他のポリシーを組み合わせることで特定のファイル拡張子を指定して、アップロード/ダウンロードの
制御をかけることも可能です。

最後に

いかがでしたでしょうか。
NI(ネットワークインテグレーション)業務は日々扱える製品、対応できる業務領域を拡大中です。
その分、対応したことがない業務や製品を扱うことで苦労することもありますが、
エンジニアとして確実に成長できる環境にあると思っています。

アルティウスリンク株式会社のITソリューションサービスのネットワーク構築業務に
携わりたいと思っている方、一緒に働けることを楽しみにしています。
最後までご覧いただきありがとうございました。