SaaS

エンドポイントでWebコンテンツフィルタリングやってみた

こんにちわ、佐藤です。

Webフィルタリング捗っていますか?

Microsoft Defender ATP(MDATP)は様々なパートナー製品と連携し、セキュリティ機能をどんどん強化しています!

その中でも今回は一番気になったWebフィルタリング機能であるCyrenを紹介します。

そもそもWebコンテンツフィルタリングって必要なの?

結論、私は不要だと思っています。

セキュリティ監査項目として必須の要件としていることが、今までの提案ではなかったこと。 就業時間中に仕事に関係ないサイトを見る人は、別の手段(スマホなど)で見るため、この機能では生産性は向上しないこと。 業務に必要なサイトまでブロックして業務効率を落とし、ホワイトリスト申請の運用業務を増やし、生産性を落とす結果となること。

しかし、現状は既存のオンプレミス環境のプロキシでコンテンツフィルタリングを行っているからという理由で、維持している環境が多い状況かと思います。 リモートワークを前提とする仕事の仕方では、このプロキシ機能はVPNを接続する要因となり、投資額が増大する要因を生み出すことになります。

どうしても導入したいというユースケースを考えた場合ですが、 会社として「アダルトサイト」「ギャンブル」の閲覧には「けん責・注意」の処分を行うようなユースケースで導入すると投資効果はあると考えています。 従業員にコンプライアンスに遵守している説明にも利用できるかと思います。

Web content filtering with Microsoft Defender ATP (MDATP)

この機能の特徴はMDATPとCyrenが連携することにより、エンドポイントのみでWebコンテンツフィルタリングを実現できるという点です!

通常であれば、Webコンテンツフィルタリングはプロキシを経由する必要があり、VPNも必要としました。 ですが、この機能でプロキシもVPNも不要になります。

尚、この構成はMDATPは単品では考えずMS365 E5のトータルソリューションとして利用を考える必要があります。 ID/端末/セキュリティすべてを考慮する必要があり、個別最適化は無駄な投資になるためです。

https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/web-content-filtering

カテゴリの種類

ユースケースとしてはこのぐらいのカテゴリ範囲で十分かと思います。 詳細すぎても運用しきれません。

用意するもの

  • Azure ADのテナントとグローバル管理者権限
  • Windows10 Enterprise E5 の ライセンス
  • Microsoft Defender セキュリティセンターポータルへのアクセス
  • Windows 10 バージョン 1903 以降
  • SmartScreen が有効、ネットワーク保護が有効
  • Cyrenのライセンス(プレビュー版となるため、ライセンスの提供方法が未確定となります)※今回は無償の評価版を利用
  • デバイスと統合するためのEMS E3相当のライセンス

Microsoft Defender Security Center と Cyren の連携設定

Microsoft Defender Security CenterにてCyrenとの連携を行います。

今回はトライアルライセンスとなります。

連携を許可します。

連携が完了したので、Web content filtering 設定を有効化します。

適用ポリシー作成

Webフィルタリングを適用させるマシングループを作成します。 今回の端末はIntuneで管理されています。

Webカテゴリフィルタリングを作成します。

アダルトのカテゴリに対してフィルタリングを行います。

作成したマシングループにフィルタリングを適用します。

Intune設定作成

Intuneに登録されている端末にMDATP セキュリティ ベースラインの設定します。 ネットワーク保護を有効にする 必要がありますが、個別のみの設定ではなく全体の既定値に合わせるためです。 https://docs.microsoft.com/ja-jp/mem/intune/protect/security-baseline-settings-defender-atp?pivots=atp-april-2020

Intune管理画面にアクセスします。

https://endpoint.microsoft.com/#blade/Microsoft_Intune_Workflows/SecurityBaselineSummaryMenu/overview/templateType/2

端末での動作

この仕組みはブラウザによって挙動が異なります。 EdgeにてSmartScreenを利用している場合には、エラー画面が表示されます。 それ以外のブラウザの場合には、ネットワーク保護により接続が遮断されます。

まとめ

既存でWebフィルタリングを行っているケースでは、フィルタリング機能を減らすことは難しいと思っています。 しかし、この機能利用すれば、社内的な説明もでき、エンドポイントにフィルタリングを寄せられるため、VPNの要件をへらすことが可能です。

さとうでした。

参考リンク

Extending Microsoft Defender ATP network of partners https://techcommunity.microsoft.com/t5/microsoft-defender-atp/extending-microsoft-defender-atp-network-of-partners/ba-p/1130867

佐藤裕行

真面目風不真面目のネットワークエンジニア。何故か客先だと会話ができて、社内だとコミュ障を全力で発揮して3ヶ月に1回はトラブルを起こしています。レモネードが好きです。