問題

以下のCASBルールが設定されており、ユーザーがGoogle ドライブの「マイドライブ」にアクセスするのをブロックします。これは「フローのフルパスURL」に「my-drive」が含まれることで一致します。

しかし、「マイドライブ」のブロックは断続的でした。このルールにもかかわらず、一部ユーザーは正常にブロックされましたが、他のユーザーはGoogle ドライブの「マイドライブ」に接続できました。

環境

TLSインスペクション有効

ユーザーがURLに直接アクセスした場合 - https://drive.google.com/drive/my-drive、トラフィックはCASBルールと一致し、正常にブロックされました。
しかし、ユーザーが最初にGoogle ドライブのホームページ (https://drive.google.com/drive/home) にアクセスし、左のナビゲーションペインで「マイドライブ」をクリックすると、ページはランダムに生成されたURLで読み込まれます。下のスクリーンショットではアドレスバーにhttps://drive.google.com/drive/my-drive が表示されているにもかかわらず、HARデータは更新されたURLパスに対する対応するネットワークリクエストが行われないことを示しています。
これは、アプリがクライアントサイドのルーティングに依存していることを示しています。ブラウザは/drive/my-driveの新しいリクエストを送信しません。代わりに、JavaScriptがアクションを受け取り、ページのコンテンツを適切に更新します。
その結果、トラフィックは設定されたCASBルールと一致せず、接続はブロックされません。

この技術的な制限は、Googleがページの読み込み方法を変更することでのみ解決されます。回避策として、フルパスURLに基づいてブロックするのではなく、ダウンロード、アップロード、または表示に基づいてルールを設定することが考えられます。