#1 はじめに
本記事は Zscaler Advent Calendar 2024 16日目 の投稿です。
こんにちは、エーピーコミュニケーションズ 0-WANの島田です。Zscalerの導入後、どんな運用をしていけばいいのかお悩みの方もいらっしゃるのではないでしょうか。実はZscalerには、導入後の運用をサポートしてくれる下記のようなレポート機能が備わっています。
- Company Risk Score Report
- Industry Peer Comparison
- System Audit Report
- Security Policy Audit Report
- Sandbox Activity Report
- Quarterly Business Review Reports ...など
そこで、今回はこの中から Comapany Risk Score Report についてご紹介したいと思います。
#2 Risk Scoreとは
Risk Scoreは User / Location / Company それぞれについて、怪しい通信が直近でどれだけ発生したのかをもとに自動で算出される指標です。最大値の100が最も危険であり、最小値の0が最も安全であることを示します。このRisk Scoreをもとに、組織のどこにリスクが集中しているのかを俯瞰したり、Zscalerを導入している同業界の他社の値と比較したりすることが可能です。
リスクスコアが増大する要因
- 感染前の行動 (悪意のある宛先およびコンテンツのブロック)
- 感染後の行動 (C&C通信など)
- その他疑わしい行動 (DLP違反など)
定期的なチェックや抜き打ちテストなどにより、慢性的にスコアが高いUserへの注意喚起やポリシーの調整を行っていくことで、組織全体のRisk Scoreを下げていくのが望ましい使い方となります。また一部ポリシーでは、このRisk ScoreをUser Risk ProfileとしてCRITERIAに含めることができます。これによって、危険なコンテンツへのアクセスが多いUserにはCloud Browser Isolation(CBI)を利用させるといったポリシー設定も可能となります。
#3 Comapany Risk Score Reportの使い方
Company Risk Score
ZIA Admin Portal > Analytics > REPORTING > Company Risk Score Report を開くと、まずはこの画面が表示されます。左側のYour Risk Score Trendは直近の組織全体のRisk Scoreの推移を表しており、右側のCurrent Risk Scoreでは現在のスコアを「同業界の他社」および「全世界の組織」の平均と比較したものが確認できます。
直近の脅威検出状況
下へスクロールしてみると、直近でどのような脅威を検知しているのかを様々なグラフ形式でご覧になれます。Top Advanced Threats Trendのグラフでは、気になる日付の点をクリックし、さらにView Logsをクリックすることで、該当の日付・カテゴリのログをWeb Insightsで確認可能です。
Risk Scoreの分布と比較
お次は組織内のRisk Scoreの分布のグラフです。これにより、一部Userのスコアが高いだけなのか、全体的に高くなってしまっている傾向にあるのかを俯瞰できます。また、こちらも同業界の他社および全世界の組織の平均との比較用グラフが表示されています。「うちの会社は厳しいのかな、緩いのかな?」と他社の水準が気になった際に、参考にしていただくと良いのではないでしょうか。
UserとLocationのRisk Scoreランキング
ページの最下部には、UserとLocationそれぞれのRisk Scoreが高い順に表示されています。Userの棒グラフはクリック可能になっており、ここからUser個別のReportへ飛べるようになっています。莫大な量のログから危険なUserを割り出すとなると手間がかかりがちですが、例えば定期的にRisk Score上位10名を選抜し、後述のような確認を行っていくことで、リスクが高いUserから優先的に対処する運用が可能となります。
User Risk Score
User個別のReportに飛ぶと、Departmentなどの詳細情報やRisk Scoreの比較情報を見ることができます。Risk ScoreはLOW~CRITICALの4段階に区切られていますので、どの基準までスコア低減を目指すべきか、指標を決めるための目安とすることができます。
疑わしい行動の特定
Risk Score Trendでは、そのUserのRisk Scoreの遷移を確認できます。また、Events Contributing to the Risk Score Over Last 7 Daysにてリスクスコア増加の要因を一覧できます。各要因をクリックすると、実際のログをWeb Insightsで確認することができます。ここで頻発しているログをキャッチアップし、正規の通信・行動であるのかを確認していくことで、必要な除外設定や注意喚起を行いながら組織全体のRisk Scoreを下げていくことができます。
DLP違反やSaaS利用状況の確認
最後に、DLP違反やUnsanctioned Cloud Applications、リスクのあるURLカテゴリへのアクセス状況を統計的に確認することができます。Risk Scoreが高いUserがどのような傾向の行動を取っているのかを把握していくことで、今後追加するポリシーの検討に役立てるのが良いでしょう。
#4 おわりに
Zscalerの運用開始後、誰が危険な状態なのか、どこまで厳密にポリシーの設定をしていくべきなのか、悩ましく感じることがあると思います。そんなときにヒントを提供してくれるのがこのCompany Risk Score Reportですので、ぜひ活用してみていただければ幸いです。今回もお読みいただきありがとうございました!
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。