こんにちは。
本日は、Netskope(ネットスコープ)でクライアントでバイパスされたトラフィックをSkope ITに記録する方法について説明します。
バイパストラフィックとは?
バイパスされるトラフィックにはさまざまな種類がありますが、代表的な例は証明書固定(Certificate Pinning)を使用するアプリが通信するウェブトラフィックです。一般的に証明書固定アプリはSSL復号化が不可能であるため、バイパス処理が行われます。例えば、Dropbox、Google Drive、Microsoft OneDrive、ZoomなどのWindowsアプリケーションが該当します。
ここではDropboxを例に説明します。
NetScopeでのバイパス処理方式
NetScopeでは、バイパストラフィックを次の2つの方法のいずれかで処理することができます。
- クラウドでバイパス
- クライアントでバイパス
クライアントバイパス
- トラフィックはクライアントから直接目的地に送信されます。
- この場合、クラウドにはトラフィックが到達しないためログが生成されません。
- ただし、クライアントログには記録されます。
したがって、クライアントで発生したログをクラウドに送信するように設定する必要があります。これにより、Skope ITでも確認可能です。
クライアントバイパスの利点は、トラフィックが目的地に直接送信されるため、NSクラウドを経由するよりもやや高速である点が挙げられます。
欠点としては、バイパストラフィックに対する制御ができない点が挙げられます。
クラウドバイパス
- バイパストラフィックはまずクライアントを経由します。
- クライアントでトラフィックログを記録した後、そのトラフィックはNSクラウドに送信されます。
- このトラフィックは最終的にSkope ITに記録されます。
- この場合、NSクラウドは実際のトラフィックを加工せず、単に目的地に転送するだけです。
つまり、トラフィックはクライアントとクラウドの両方に記録されます。
この場合のメリットは、バイパス トラフィックの完全な可視化を確保できるため、バイパス トラフィックのソースや宛先などの情報を確認できるため、多くの顧客がバイパス トラフィックをNSクラウドに送信することを好んでいます。
バイパス設定方法
では、バイパスログをクラウドに記録するように設定してみましょう。
まず最初に、Steering Configuration > Bypassed Traffic で以下の設定を行います。「Do not log」を選択すると、バイパストラフィックはクライアントログにも記録されません。
以下の手順に従って、クラウドにバイパスログを記録する対象となるステアリング構成を開き、以下のとおり「Netskope Cloudで例外トラフィックをバイパスする」に変更します。
それでは、認証書固定アプリを含むExceptionに含まれるすべてのバイパス対象から発生するトラフィックは、クラウドにログが記録されます。
上記の例のように、Dropboxネイティブアプリから発生したトラフィックは、クライアントログに次のように記録されます。
2025/05/21 21:37:38.850 stAgentSvc p4718 t151c info bypassAppMgr.cpp:720 BypassAppMgr Bypassing connection from process: dropbox.exe, host: client.dropbox.comそして、Skope IT > Page Event に以下のとおりバイパスされたログを確認できます。
Dropboxのトラフィックをトンネルモードでバイパスすると、クライアントには以下のログが記録されます。
2025/05/21 22:02:19.375 stAgentSvc p4718 t6380 info bypassAppMgr.cpp:712 BypassAppMgr Bypassing connection by tunneling from process: dropbox.exe, host: api.dropbox.com
上記のログをご覧いただくと、最初のログとその内容が若干異なることが確認できます。同様に、Skope ITには以下のログが記録されます。
認証書固定アプリで発生するトラフィックの制御
では、Dropboxアプリで発生するトラフィックをブロックしたい場合はどうすればいいでしょうか?まず、Dropboxアプリを「Certificate Pineed App」から削除します。
次に、Dropboxのトラフィックを「Do Not Decrypt」に設定します。
そして、URL Listを作成します。
該当のURLリストをブロックしたいカスタムカテゴリに含め、そのカテゴリをブロックするRTPポリシーを作成します。
その後、該当のトラフィックがNetScope Cloudでブロックされると、Skope ITで以下のログを確認できます。
上記の内容をイメージで表現すると、以下のようになります。
以上です。ありがとうございました。