はじめに

本記事では、Prisma Access (GlobalProtect) 環境において、**「Always-On（常時接続）モードかつ切断不可」**という厳しいセキュリティ要件を維持しつつ、クライアント端末と同一セグメントにあるプリンターへアクセスするための設定と検証手順を紹介します。

今回は検証環境としてAWSを使用し、LAMPサーバーを擬似的なプリンターに見立てて、GlobalProtect (GP) トンネルを経由せずにアクセス（ローカルブレークアウト）できるかを確認します。

1. 検証シナリオと要件

検証のゴール

GlobalProtectトンネル接続時に、特定のローカルIP（LAMPサーバー）への通信のみをローカルブレークアウトさせ、アクセス可能であることを確認する。

要件

• GlobalProtect設定: Always-On mode（常時接続）、ユーザーによる切断不可。

• ネットワーク構成: クライアント端末とプリンター（LAMPサーバー）は同一セグメントに存在する。

• アクセス制御: 通常のインターネット通信はPrisma Accessを経由させるが、プリンターへの通信は除外（ブレークアウト）する。

前提条件

• AWS上にクライアント端末（GP_Test端末）およびLAMPサーバー（擬似プリンター）のインスタンス構築が完了していること。

• Strata Cloud Manager (SCM) へのアクセス権限があること。

構成

2. Prisma Access (Strata Cloud Manager) 側の設定

まずは管理コンソール側で、ローカルユーザーの作成とGlobalProtectのアプリケーション設定を行います。

2-1. ローカルユーザーの登録

認証に使用するテスト用のローカルユーザーを作成します。

1. Strata Cloud Manager にログインします。

2. メニューより [Manage] > [Configuration] > [NGFWとPrisma Access] を選択します。

3. [Configuration Scope] で [GlobalProtect] を選択します。

4. [IDサービス] > [ローカルユーザーとグループ] へ移動します。

5. **「ローカルユーザーの追加」**をクリックします。

6. 以下の情報を入力し、**「保存」**をクリックします。

2-2. GlobalProtect アプリケーション設定

クライアントの接続挙動（Always-On、ローカルブレークアウト等）を定義します。

1. [セットアップ] > [GPアプリケーション] へ移動します。

2. 「追加」をクリックし、任意の名前を入れて以下の設定を行います。

   • 接続方式: Always-On（常時接続）を選択。

   • Allow User to Disconnect: 無効化（ユーザーによる切断を許可しない）。

3. [Show Advanced Options] をクリックし、Enforcement（強制）設定を行います。

   • ここで、ローカルブレークアウト対象となるIPアドレス（今回の擬似プリンターIP）を設定に含めます（スプリットトンネル設定）。

4. 作成したアプリケーション設定をリストの最上部へ移動させます。

   • 補足: トンネル設定についてはDefault設定のままで問題ありません。

2-3. インフラ設定（認証順序）

1. [セットアップ] > [インフラ] へ移動します。

2. 認証プロファイル設定にて、ローカル認証作成し最上部へ移動させ、優先度を上げます。

3. すべての設定完了後、設定を**プッシュ（コミット）**します。

3. AWS環境でのクライアント設定と接続検証

ここからは、AWS上のクライアント端末（GP_Test端末）を操作して検証を行います。

3-1. GlobalProtect エージェントのインストール

1. 踏み台サーバー等を経由し、リモートデスクトップ (RDP) で GP_Test端末 にログインします。

2. ブラウザを起動し、Prisma Access ポータルの FQDN へアクセスします。

3. 作成したローカルユーザーのID・パスワードでログインします。

4. 画面右上の [GlobalProtect Agent] をクリックします。

5. [Download Windows 64 bit GlobalProtect agent] を選択し、インストーラーをダウンロードします。

6. ダウンロードしたファイルを実行し、インストールを完了させます。

3-2. 初回接続とAlways-On動作の確認

1. タスクトレイ（画面右下の隠しアイコン）にGlobalProtectアイコンが表示されていることを確認します。

2. ポータルの FQDN を入力し、[接続] をクリックします。

3. ユーザー名とパスワードを入力して認証を行います。

4. 接続完了後、以下の点を確認します。

   • 切断不可の確認: エージェントのメニューに「切断」ボタンが表示されない、またはグレーアウトしており、ユーザー側から切断できないこと。

   • 自動再接続の確認: 端末を再起動します。Windowsへのログイン後、GlobalProtectが自動的に立ち上がり、接続プロセスが開始されることを確認します。

3-3. ローカルブレークアウトと通信の検証

最も重要な通信経路の確認を行います。

1. GP接続前の挙動確認（Enforcement動作確認）

   • 端末再起動後、GPが完全接続する前の状態でブラウザを開きます。

   • Yahoo! (yahoo.co.jp) などへアクセスし、インターネットに出られないことを確認します（Enforcement設定により、VPN確立前は指定されたローカルIP/FQDN以外への通信がブロックされるはずです）。

   • この状態で、ローカルブレークアウト設定した擬似プリンター（LAMPサーバー）のIPへはアクセス可能か確認します。

2. GP接続後の挙動確認

   • GlobalProtectが「接続済み」になるのを待ちます。

   • 再度 Yahoo! などへアクセスし、今度はインターネットへ正常にアクセスできることを確認します（Prisma Access経由）。

   • 最後に、**擬似プリンター（LAMPサーバー）**へアクセスします。

     • 同一セグメント上のリソースに対し、VPNトンネルを通さず（ローカルブレークアウトして）アクセスできれば成功です。

まとめ

以上の手順にて、Prisma Access環境下でのローカルブレークアウト検証が完了しました。 セキュリティポリシーで「常時接続」を強制している場合でも、適切にスプリットトンネル（除外設定）を入れることで、ローカルネットワーク上のプリンターや複合機との通信を維持することが可能です。