Google は、最もリスクの高い従業員を対象とした、より厳格なセキュリティ ポリシーのセットである、企業向けの高度な保護プログラムのベータ版の提供を開始しました。
高度な保護プログラムのコンシューマー バージョンはすでに提供されており、エンタープライズ バージョンでも、含まれているセキュリティ ポリシーを個別に実装できるという点ではまったく新しいものではありませんが、それらをバンドルして管理者が簡単に実装できるようにしています。
Google が最もリスクの高いユーザーとして推奨しているのは、管理者、政治活動家、ジャーナリスト、著名人、ビジネスリーダー、法律事務所、暗号通貨を扱う人などです。
実際には、個人秘書や若手スタッフが機密情報へのアクセスやなりすましのルートになる可能性があるため、組織内のほぼ全員を危険にさらしていると見なす方が良いかもしれません。
一連のポリシーは、物理的なセキュリティキー(キー群)の使用を必須とすることから始まり、ユーザーはメインキーとバックアップキーを所有する必要があります。Google独自のTitanセキュリティキーは、今回初めてヨーロッパで販売開始となり、USBキーとBluetoothキーがセットになった50ポンドのバンドル版として提供されています。Yubicoなどのサードパーティ製のキーも利用可能です。
ユーザーの視点から見たFIDO U2Fセキュリティプロセス(クリックして拡大)
キーは、強力な第 2 要素デバイスを可能にする FIDO Alliance と W3C の標準である FIDO U2F (Universal Second Factor) をサポートしています。
ユーザーの観点から見ると、FIDOデバイスをGoogleに登録する必要があり、その後、ログイン時にキーのボタンを押すように求められます。これにより、盗まれたパスワードでは不十分となり、フィッシングサイトから保護されます。SMSで送信されるコードよりも安全です。その理由の一つは、携帯電話番号はアカウント乗っ取りの危険性があるのに対し、キーデバイスは物理的に盗まれなければならないからです。また、サービスが実際に登録されたクライアントと通信していることを検証するため、中間者攻撃にも耐性があります。
もう一つのポリシーは、信頼できるアプリのみにアクセスを許可するというものです。デフォルトの信頼できるアプリは、Googleネイティブアプリ、メール、カレンダー、連絡先などのAppleネイティブiOSアプリ、そしてMozilla Thunderbirdです。管理者は、利用可能なAndroidまたはiOSアプリの固定リスト、あるいはOAuth2クライアントIDを持つウェブアプリケーションからこのリストに追加できます(これは、アプリのホワイトリスト化における現在のアプローチと同じであると想定されます)。アプリパスワードを必要とするアプリは2FA要件に違反するため、使用できません。
追加のポリシーには、ウイルスやフィッシングの試みに対する強化された電子メールスキャン、管理者を経由する必要がある厳格なアカウント回復、Google Chrome でのダウンロード保護などが含まれます。
管理者は、選択したユーザーを高度な保護機能プログラムに登録する必要があります。登録期限のオプションも設定できます。登録が完了すると、ユーザーはすべてのデバイスとアプリからログアウトされ、再度ログインする必要があります。
高度な保護プログラムには、物理的なセキュリティ キー以外の追加費用はかかりません。
Google は、G Suite アラート センターに異常検出機能を実装し、「Google ドライブの異常な動作に基づく潜在的なデータ流出リスク」を管理者に通知しています。このようなリスクとは、Google のアルゴリズムによって異常と検出された外部ファイル共有やダウンロードのことです。
高度な保護機能を有効にすると、Google以外のアプリケーションの使用が難しくなるという副作用があります。ただし、信頼できるアプリケーションのホワイトリストによるサポートは一部あります。例えば、Microsoft Outlookを高度な保護機能で使用できるかどうかは明確ではありませんが、Microsoftの最新バージョンではGmailでOAuth2認証が問題なく機能します。もちろん、ファーストパーティアプリケーション経由でセキュリティを管理する方が簡単ですが、導入の妨げになることもあります。®
