APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > Zscaler > 【Zscaler】意図しない挙動になるかも!?「カスタムURL」と「親カテゴリーを保持するURL」の違い

【Zscaler】意図しない挙動になるかも!?「カスタムURL」と「親カテゴリーを保持するURL」の違い

Zscaler ZIA ゼロトラスト

目次

はじめに

こんにちは、エーピーコミュニケーションズ iTOC事業部BzD部0-WANの柳田です。
Zscaler Internet Access(以下、ZIA)ではURLフィルタリング機能を利用して、特定のURLを許可/ブロックする等のアクセス制御を行うことができます。 また、カスタムURLカテゴリーを作成することで、任意のURLをグループ化し、柔軟なポリシー作成を行うことが可能になります。 カスタムURLカテゴリーを作成するにあたって、いくつか項目がありますが、今回はその中の「カスタムURL」と「親カテゴリーを保持するURL」の違いを紹介したいと思います。 どちらもユーザが作成する独自のURLカテゴリーという点では同じですが、仕様を理解していないと意図しない挙動になるかも知れません!

親カテゴリーとは

親カテゴリーとはURLを分類するためにZscalerが定義したカテゴリーの事を指し、全てのURLはいずれかの親カテゴリーに属しています。
また、親カテゴリの上位層としてスーパーカテゴリー(上位カテゴリー)と呼ばれる層があります。
例えば、「www.amazon.com」のスーパーカテゴリーは「ショッピングおよびオークション」で、親カテゴリーは「オンラインショッピング」となります。

「www.amazon.com」の分類
「www.amazon.com」の分類

引用https://help.zscaler.com/ja/zia/about-url-categories

「カスタムURL」と「親カテゴリーを保持するURL」の違い

カスタムURL

まずは「カスタムURL」について確認します。 ヘルプページを確認すると以下のように記載されており、「カスタムURL」だと親カテゴリーを参照するポリシーの対象外と記載されています。

カスタムURLの仕様
カスタムURLの仕様

親カテゴリーを保持するURL

次に「親カテゴリーを保持するURL」を確認します。 こちらもヘルプページを確認すると以下のように記載されており、カスタムURLカテゴリーと親カテゴリーを参照するポリシーの適用対象と記載されています

「親カテゴリーを保持するURL」の仕様
「親カテゴリーを保持するURL」の仕様

引用https://help.zscaler.com/ja/zia/configuring-custom-url-categories

図解

つまり、親カテゴリーに属したままかどうかの違いになります。 ヘルプページに記載されている「amazon.com」を例に図に表すと以下のような関係になります。 「カスタムURL」だと、ユーザが作成したカスタムURLカテゴリーの名前にカテゴリーが変更されるのに対し、「親カテゴリーを保持するURL」は両方のカテゴリーを保持するようになります。

「カスタムURL」と「親カテゴリーを保持するURL」の違い
「カスタムURL」と「親カテゴリーを保持するURL」の違い

検証

実際に上記の挙動になるか検証してみます。
今回は当社のWebサイトである「www.ap-com.co.jp」を利用します。 www.ap-com.co.jp

「URL Lookup」から親カテゴリーは「Corporate Marketing」に分類されていることが確認できます。

URLカテゴリの分類
URLカテゴリーの分類

「カスタムURL」の挙動

以下のように「カスタムURL」にURLを入力し、URLカテゴリーとアクションを指定します。

カスタムURLのポリシー作成
カスタムURLのポリシー作成

アクセスしてみると、ブロックされずにWebサイトが表示されます。

Webサイトへのアクセス
Webサイトへのアクセス

ログを確認するとURLカテゴリーが先ほど作成したものに変更されており、アクセスが許可されています。

カスタムURLのアクセスログ
カスタムURLのアクセスログ

「親カテゴリーを保持するURL」の挙動

次に「親カテゴリーを保持するURLカテゴリー」にURLを入力します。

「親カテゴリーを保持するURL」のポリシー作成①
「親カテゴリーを保持するURL」のポリシー作成①

URLカテゴリーに「Corporate Marketing」を選択した場合と、先ほど作成した「カスタムURLカテゴリー」を選択した場合の両方を検証します。

「親カテゴリーを保持するURL」のポリシー作成②
「親カテゴリーを保持するURL」のポリシー作成②

アクセスしてみると、どちらのポリシーでもブロックされます。

Webサイトへのアクセス
Webサイトへのアクセス

ログを確認すると、それぞれのカテゴリーでブロックされていることが確認でき、両方のカテゴリーを保持していることが確認できます。

「親カテゴリーを保持するURL」のログ
「親カテゴリーを保持するURL」のログ

「カスタムURL」を利用する際の注意点

例えば、SSLインスペクションでURLカテゴリーが「Finance」に分類される「A ~ C 銀行」をバイパスするポリシーがあり、それ以外は全て検査するといったポリシーがあるとします。 通常、銀行のサイトは「Finance」に分類されますが、カスタムURLカテゴリーの「カスタムURL」に変更した場合、元のカテゴリーが変更され、No.2のポリシーである「Inspect All」が適用されてしまいます。 No.1のポリシーを引き続き適用させるには「親カテゴリーを保持するURL」でカスタムURLカテゴリーを作成する必要があります。 このように仕様を理解してカスタムURLカテゴリーを作成しないと想定したポリシーが適用されず、ユーザに大きな影響を与えてしまうかもしれません。

「カスタムURL」を利用する際の注意点
「カスタムURL」を利用する際の注意点

豆知識

以下のように「親カテゴリーを保持するURL」を利用したカスタムカテゴリーがあるとします。

「親カテゴリーを保持するURL」を利用したカスタムカテゴリー
「親カテゴリーを保持するURL」を利用したカスタムカテゴリー

新規でカスタムURLカテゴリーを作成し、「カスタムURL」に同じURLを設定すると、自動的に「親カテゴリーを保持するURL」に移動します。

カスタムURLカテゴリーの挙動
カスタムURLカテゴリーの挙動

これは個人の見解ですが、「元の親カテゴリーを変更」と「元の親カテゴリーを保持」という設定が存在することになり矛盾が生じてしまうことから「親カテゴリーを保持するURL」となるように設計されていると考えられます。

まとめ

今回は「カスタムURL」と「親カテゴリーを保持するURL」の違いについて紹介しました。 カスタムURLカテゴリーを利用してポリシーを作成する場合は、本当に影響がないか確認してから作成することが大事ですね!

0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp