TLS Inspectionの設定ウィザード機能
本稿はTLS Inspectionの設定ウィザード機能について記載した記事となります。
TLS Inspection機能は、HTTPSトラフィックを復号化する機能であり、通信が復号化されることで
IPSやAnti-Malware、CASBなど様々な機能が動作することでセキュリティが強化されます。
ただし、証明書ピンニングを使用しているサイトの場合、トラフィックが中断され、宛先のサイトに
アクセスできなくなる事象が発生してしまうという課題があります。
そこで、TLS Inspectionで問題が発生する可能性のあるトラフィックをバイパスしながら、
問題を発生させることなく復号化できる多くのアプリやドメインに対してTLS Inspectionを有効にする
ポリシーを構成するための簡単な方法がリリースされました。
※本機能は記事公開日時点ではEA(Early Availability)機能となります。
弊社サポート窓口へ依頼することで利用を開始できます。
ただし、機能確認後にフィードバックが必要となりますので、予めご了承ください。
ユースケース
Example Corp.は、さまざまな生成AIツールの使用を採用しました。
ただし、企業のセキュリティチームはPIIなどの機密データの損失を防ぐため、AIツールのトラフィックに対してDLPを適用することを決めました。
DLPを適用する場合、暗号化されたAIツールのトラフィックに対してTLS Inspection機能での復号化が必要だが、ユーザー全体への影響があることを懸念しています。
さらに、関連するすべてのアプリに問題が無いかをテストするには膨大なリソースが必要です。
そこで、"Popular Cloud Apps"と"Cato-Recommended Domains"カテゴリ内に、利用予定のAIツールが含まれていることを確認します。
これにより、当該のAIツールはTLS Inspcetionが動作することが容易に確認でき、DLPによる高度なセキュリティを実装することができます。
さらに、これらに含まれていないAIツールへのアクセス自体も禁止することが可能となります。
機能概要
本機能を実行することで、Catoが推奨するポリシーをウィザードの指示に従って作成できます。
この際、ポリシーごとに設定していくため、TLS Inspectionルールに乗っ取った形で
各パラメータを設定することができ、ポリシー作成後もこれらを編集することが可能です。
なお、本機能を利用した推奨設定は以下のとおりです。
- 組み込みOSのバイパス
- 機密性の高いカテゴリのバイパス
- 人気のあるクラウドアプリの復号化(検査)
- Catoが復号化を推奨するドメインの検査
- 悪意のある/疑わしいカテゴリの復号化
本機能の詳細はこちらのサポートサイトを参照してください。
補足
本記事は下記メーカーKBを参考に作成されています。
Using the TLS Inspection Configuration Wizard