目次
はじめに
本記事は Zscaler Advent Calendar 2024 11日目 の投稿です。
こんにちは、エーピーコミュニケーションズ iTOC事業部BzD部0-WANの柳田です。
ZIAにはURLフィルタリングという機能がありインターネットにアクセスする際に特定のカテゴリのURLのアクセスを制限する機能があります。
その中でもURLフィルタリングではユーザ定義のルールを作成することができ、ワイルドカードを使用してURLを指定することができます。
そこで私が誤認識して設定していた箇所があったので注意点としてご紹介します。
ユーザ定義のルールの作成方法
まずはユーザ定義のURLフィルタリングのルールをどこで作成するかを見ていきます。
Zscaler Cloud portal → Administration → Add URL Categoryでユーザ定義のルールが作成できます。
ワイルドカードを使用する際の注意点
今回は例として省庁のサイトで使用されている「go.jp」のドメインをワイルドカードを使用してブロックしてみます。
この際の注意点としてURLフィルタリングでワイルドカードを使用する際はドメインの先頭に「*」を使用してはいけません!
ワイルドカードと言えば「*」と思い込み「*.go.jp」と指定すると設定が反映されずブロックすることができません。
実際にドキュメントを確認するとアスタリスク(「*」)はドメインの先頭のワイルドカード文字として使用しないでくださいと明記されており、「.go.jp」と設定するだけでワイルドカードを使用していることになります。
検証
適切な設定と不適切な設定を行った場合の挙動を検証してみます。
不適切な設定
URLを「*.go.jp」と指定し、URL & Cloud App Controlに作成したルールを適用させます。
ドメインの先頭に「*」を使用しているため不適切な設定となります。
適用させた後に総務省と外務省のサイトにアクセスします。
設定が適切であればタブに「Internet Security by Zscaler」と表示されブロックされるのですが適切でないためアクセス可能となっています。
適切な設定
URLを「.go.jp」と指定し、URL & Cloud App Controlに作成したルールを適用させます。
ドメインの先頭に「*」を使用していないため適切な設定となります。
先ほどと同様に総務省と外務省にアクセスしてみると「Internet Security by Zscaler」とタブに表示されアクセスが拒否されていることが分かります。
ブロック通知も表示され想定した動きとなりました。
まとめ
URLフィルタリングでワイルドカードを利用する際はドメインの先頭に「*」を使用してはいけません!
私のように思い込みで設定すると再設定する羽目になってしまいます......
設定する際には是非気を付けていただければと思います!
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。