はじめにまとめ
- Destination Profileとは、NetskopeでIPアドレス・サブネット(CIDR)・FQDN・URLなどの宛先をまとめ、ポリシースキャンから参照するための「宛先プロファイル」です。Release 135.0.0でURL Lists機能を置き換える新方式としてGA(一般提供)となり、SWGとCloud Firewallの複数ポリシー領域で利用できるようになりました
- Release 134.0.0(2026年2月2日公開)でService ObjectとDestination Profileへの移行アーキテクチャが提示され、Release 135.0.0(2026年3月2日公開)で移行ワークフローが導入されました。既存テナントの移行はすでに進行中です。移行後、Firewall Custom ApplicationsはRTP/BWCポリシーで参照されなくなります。
- いま着手すべき3点:①自社URL Listのカテゴリ棚卸しとDestination Profile寄せ計画、②Cloud Firewall Custom Appの移行テスト、③Steering ExceptionとAPIオプションの効果検証。あわせて、135.0.0のKnown Issues(後述の「移行前チェックリスト」)を必ず確認してください。
1. なぜいま「Destination Profile移行」なのか
Destination Profileは、IPアドレス・サブネット・FQDN・URLなどで定義する「宛先オブジェクト」です。Release 135.0.0では適用範囲が大きく広がり、SWG側ではSSL Decryption、Real-Time Protection(RTP)、Bandwidth Control(BWC)、Steering Configuration、Custom Category、Cloud Firewall側ではRTPとBWCの各ポリシーで参照できます
[出典: Netskope Release Notes 135.0.0]。
注意すべきは、Destination Profileの位置づけがSWGとCFWで少し異なることです。
- SWG文脈:主にURL Lists機能を置き換える新しい宛先定義方式として導入されています。
- CFW文脈:既存のFirewall Custom ApplicationsからService ObjectsとDestination Profilesを自動生成し、RTP/BWCポリシーを新オブジェクト参照へ移行する流れです。
Release 134.0.0のリリースノートでは、CFW側について次の点が示されています。
- 自動生成:既存のFirewall Custom Applicationsから、対応するService ObjectsとDestination Profilesを自動生成。
- ポリシー移行:RTP/BWCポリシーは新オブジェクト参照に自動更新。
- ポリシー管理の変更:有効化後、Firewall Custom ApplicationsはRTP/BWCポリシーでは使われなくなる。
つまり、ポリシーを動かしながら、運用者が裏で意味を把握しないと、移行後に「何が効いているか分からない」状態に陥りやすいのが現実です。
2. 移行前にやる「3つの棚卸し」
2.1 URL Listの棚卸し
旧URL Listは、自由形式で巨大化しやすい運用オブジェクトでした。NetskopeのURL ListはREST API v2で取得・作成・更新でき、複数URL ListはJSONでの一括処理に対応します。まず全URL ListをAPIでエクスポートし、カテゴリ別に再分類します。
代表的なカテゴリは次のとおりです。
| カテゴリ | 例 | 移行先 |
|---|---|---|
| 業務SaaSのバイパス | Microsoft 365 / Google Workspace の最適化対象URL | Destination Profile(FQDN/サブネット) |
| 例外アクセス許可 | 特定取引先のSaaS | Destination Profile + Steering Exception |
| 業務外ブロック | 個人ストレージ・SNS | カテゴリベース+Destination Profile |
| AI関連 | ChatGPT、Claude、Gemini等 | GenAIカテゴリ+Destination Profile |
2.2 Cloud Firewall Custom Appの棚卸し
Firewall Custom Applicationsは、移行後はRTP/BWCポリシーで参照されなくなります[出典: Netskope Release Notes 134.0.0]。「どのCustom AppがどのRTP/BWCルールに使われているか」を移行前に把握し、自動生成されたDestination Profileの命名規則を社内ルール化しておきます。
2.3 Steering Exceptionの棚卸し
Steering Exceptionは、Netskope ClientがNetskopeへ転送(steer)せずにバイパスする通信を定義する仕組みです。
現在の公式導線は Settings > Security Cloud Platform > Steering Configuration で、対象設定の Exceptions から例外を確認・追加します。
[出典: Netskope公式 / Steering Configuration]
「業務上必須なのでバイパスしている」のか「とりあえず除外している」のかを年1回見直すだけで、ポリシー違反検知の精度が上がります。
なお、例外トラフィックは既定ではSkope IT Eventsに記録されないため、可視化したい場合はSteering Configuration側でログ出力を有効化してください。
3. 移行前チェックリスト:Release 135.0.0のKnown Issues
Release 135.0.0のKnown Issuesには、Destination Profile移行時に踏みやすい落とし穴が記載されています。移行ウィンドウに入る前に必ず確認してください。なお出典区分が2種類あります。
仕様(135.0.0 What's New「Destination Profile Object for SWG and CFW」)
- longest prefix match 非対応:意図しないシャドーイングを防ぐため、最長プレフィックス一致は明示的に非対応です。
- Query string KVPマッチングはベストエフォート:主に完全一致が前提です。
Known Issues(135.0.0)
- クエリ文字列のregexマッチング未対応(Issue 902971):ドメイン・パスの一致は継続できますが、クエリ文字列regexに依存するURL Listは移行のブロッカーになり得ます。該当用途では当面、レガシーURL Listの継続利用を検討してください。
- クエリ構文の差異(Issue 912837):
bing.com/?q=weatherはマッチせず、bing.com?q=weatherで代替する必要があります(公式の暫定回避策)。
[出典: Netskope Release Notes 135.0.0(What's New / Known Issues)]
4. NG SWG EnterpriseのAPIオプションを使い切る
Next Generation API Data Protectionは、SaaSアプリに対してAPI経由でポリシー、DLP、脅威防御、アラート、レトロアクティブスキャン、ダッシュボード、インベントリなどを提供する機能群です。
[出典: Netskope公式 / Next Generation API Data Protection Feature Matrix per Cloud App]
契約してもログを見ていない、ポリシーを設定していない、というケースが散見されます。利用状況は次の3点で確認できます。
- API-enabled Protection > CASB API (NEXT GEN) > Dashboard で、対象SaaS(Box / Google Workspace / Microsoft 365 / Salesforce 等)の接続状態とダッシュボード出力を確認する。
- 対象SaaSにポリシーが設定され、Alerts(SkopeIT)/ DLP Incidents / Inventory に出力が出ているか。
- 月次ログレビューでAPI由来の検知が出ているか。
これらが「ノー」なら、契約してあるのに使えていない可能性が高く、コスト見直し案件です。
5. 典型的な「使い切れていない」パターン
「使い切れていない」パターンを抽象化すると、次の3つに集約されます。
- URL Listを「ローカル設定」で運用:管理コンソールに数十個のURL Listが乱立し、Allow/Blockの根拠が辿れない。Destination Profileへ寄せて命名規則を統一するだけで、月次レビューの工数が下がります。
- Cloud Firewallが「インターネット境界の防火壁」止まり:Custom Appの整理が追いつかず、Service Objectへの段階移行を放置。Release 135.0.0で移行ワークフローがすでに稼働しているため、計画的な移行が必要です。
- APIライセンスが未活用:Box / Microsoft 365 / Google Workspace のNext Generation API Data Protectionライセンスを契約済みだが、検知ルールも月次レポートもない。導入後の運用設計が欠けているケースです。
6. まとめ:次のアクション
- URL List全件エクスポート→カテゴリ分け→Destination Profile命名規則確定を、直近の移行ウィンドウ前に1回まわしてください。
- Cloud Firewall Custom Appの利用箇所棚卸しを、自社テナントの移行が反映される前に終わらせてください。
- APIオプションの利用棚卸しを月次レポートに組み込み、未活用ライセンスを可視化してください。
- 135.0.0のKnown Issues(第3章)を移行前チェックリストとして運用に組み込んでください。
7. FAQ
Q1. Destination ProfileはURL Listを完全に置き換えますか?
A. SWG文脈ではURL Listsを置き換える新方式として導入されていますが、regex(正規表現)まわりに2種類の非対応があり、用途によっては移行のブロッカーになります。
- ① RegexベースのFQDN 非対応(CFW文脈):Cloud Firewallの移行で自動生成されるService ObjectsとDestination Profilesは、現時点でDLPプロファイルおよびRegexベースのFQDNをサポートしません。
- ② URLクエリ文字列のregex 非対応(SWG文脈):Destination ProfileはURLクエリ文字列に対するregexマッチングをサポートしません。ドメインやパスの一致は継続できますが、クエリ文字列regexに依存するポリシーはマッチに失敗します。
したがって、クエリ文字列regexに依存するURL Listや、Regex FQDNを使っているCFW設定は、当面レガシーURL Listの継続利用を検討してください。Netskopeも、クエリ文字列のregexが必要なクリティカルなポリシーについては、将来のアップデートでregexが完全サポートされるまでレガシーURL Listの継続利用を推奨しています
出典: Netskope Release Notes 135.0.0 Known Issues / Issue 902971
Q2. Cloud Firewall Custom Appを残しておけますか?
A. 移行後、Firewall Custom AppsはRTP/BWCポリシーでは参照されなくなりますが、UIには残り、Steering Exceptionsなど他の機能では引き続き利用できます。したがって「RTP/BWC用途はDestination Profile/Service Objectへ寄せる、Steering Exception用途のCustom Appは残す」という切り分けが必要です
Q3. Steering Exceptionは新オブジェクトと共存できますか?
A. はい。Steering ExceptionはNetskope Clientのトラフィックsteering段階で適用され、Destination Profileはポリシースキャン段階で評価されるため、層が異なります。
導線は Settings > Security Cloud Platform > Steering Configuration > Exceptions です。
Q4. APIオプションを未契約から契約に変更すると、何が増えますか?
A. SaaS(Box / M365 / Google Workspace / Salesforce 等)に対するAPIベースの可視化・ポリシー適用、Alerts(SkopeIT)/ DLP Incidents / Inventory 、ダッシュボードなどが追加されます。対象SaaSごとの機能差は公式のFeature Matrixで確認できます。
Q5. 自社テナントの移行で、何を最初に確認すべきですか?
A. 既存テナントの移行はすでに進行中です。移行対象期間に入る前に、未適用の変更(Draft)を残さないよう、CFW/BWCポリシーの保留中の変更をすべて適用(Apply)または破棄して確定させておく。あわせて第3章のKnown Issues(クエリ文字列regex、bing.com/?q=weather 構文など)を確認してください
8. 参考リンク(一次情報)
- Destination Profile(Netskope公式)
- Netskope Release Notes Version 134.0.0(2026-02-02)
- Netskope Release Notes Version 135.0.0(2026-03-02)
- Steering Configuration(Netskope公式)
- Next Generation API Data Protection Feature Matrix per Cloud App(Netskope公式)
- How to automate URL List Updates via API(Netskope Community)
