Chrome Insider: 脅威からデータを保護する BeyondCorp Enterprise の機能を Chrome で管理
Google Cloud Japan Team
※この投稿は米国時間 2021 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。
Google は BeyondCorp Enterprise を最近リリースしました。BeyondCorp Enterprise はゼロトラスト ソリューションを提供し、脅威からの一元化されたデータ保護によって、アプリケーションとクラウド リソースへの安全なアクセスを実現します。こうした脅威からのデータ保護機能は Chrome から直接提供されるため、組織はウェブベースの保護を簡単に利用できます。
Chrome ブラウザを活用した BeyondCorp Enterprise のエージェントレス アプローチにより、これらの機能の導入とデプロイは非常に簡単です。このソリューションは既存のアーキテクチャへの中断のないオーバーレイとして提供され、追加のソフトウェア、クライアント、エージェントをインストールする必要はありません。BeyondCorp Enterprise の脅威からのデータ保護機能は、マルウェア、フィッシング、ソーシャル エンジニアリングなどのウェブベースの脅威を防ぐのに役立ちます。さらに、BeyondCorp Enterprise は Chrome ブラウザを活用するため、ユーザーはさまざまなオペレーティングシステムをサポートできます。つまり、Windows、Mac、Linux、Chrome OS のいずれで操作しているかに関係なく、ファイル スキャン、データ損失防止(DLP)ルール、セキュリティ アラートなどを使用できます。
各機能の管理は Chrome ブラウザ クラウド管理に直接統合されています。Chrome ブラウザ クラウド管理は、Chrome ブラウザの可視性、レポート、管理を強化する無料のクラウドベース ソリューションです。以下では、組織が Chrome と BeyondCorp Enterprise で使用できる脅威からのデータ保護機能と、その仕組みについてご説明します。
BeyondCorp Enterprise の脅威からの保護機能で Chrome ユーザーを保護する
Chrome ブラウザ クラウド管理で BeyondCorp Enterprise を有効にすると、Chrome ユーザーがファイルのダウンロードやアップロードを行うときにマルウェアやフィッシングなどの脅威から保護できます。
ユーザーの一人が、予定しているプレゼンテーションの資料としてウェブで見つけたファイルをダウンロードするとします。または、今まで使ったことのない共有サイトにファイルをアップロードするとします。このような各シナリオで、BeyondCorp Enterprise は次に示す 3 つのレイヤの保護を提供します。
まず、BeyondCorp Enterprise は Google セーフ ブラウジングに対してリアルタイムの URL チェックを実施し、悪意のあるサイトまたはフィッシング サイトであるかどうかを判断します。
サイトが安全でないと判断された場合の処理は、アップロードやダウンロードをブロックするように構成する、アクティビティをログに記録するなど、管理者が指定できます。
サイトが安全であると判断された場合は続けて次の検証が行われ、ファイルのメタデータが調べられます。
ファイルのバイナリ文字列、ハッシュ、証明書、ファイル署名は、Google Cloud によってマルウェアが存在するかどうか分析されます。
Google Cloud によってメタデータに基づきファイルが安全であることが確認された場合、ユーザーは続行できます。ファイルが検証に失敗した場合は追加のアクションを実行できます。ファイルをブロックするか、Google Cloud の高度なサンドボックスに安全に送信してファイルを実行し、その信頼性を判断できます。この処理中、ファイルはチェックが完了するまで使用できないようにすることも、すぐにリリースしてバックグラウンドで検証を行うことも可能です。これらのアクションは管理者が決定し、それに応じて構成できます。
前述のすべてのチェックを経てファイルが安全であると判明した場合は、ユーザーがファイルのダウンロードやアップロードを正常に行えます。そうでない場合は、ダウンロードやアップロードがブロックされ、ユーザーと内部サイトが保護されます。
Chrome の BeyondCorp Enterprise データ保護機能でデータを保護する
この機能は、機密データのアップロードやダウンロードだけでなく、機密データがユーザーのクリップボードからウェブフォームに貼り付けられることも防ぎます。これを示すワークフローは次のとおりです。
BeyondCorp Threat and Data Protection を使用し、データ損失防止(DLP)機能を Chrome に統合することで、アップロードまたはダウンロードされるファイルや、貼り付けまたはドラッグ&ドロップされるコンテンツの機密データ検出機能を実装できます。
データ保護機能は、アクションの発生をトリガーするルールを作成すると動作します。これらのアクションには、データのアップロード、ダウンロード、貼り付けのブロックや、アクティビティの詳細のロギングが含まれます。
この機能では、90 以上の異なる定義済みコンテンツ検出項目によって特定の種類のデータに基づいてアクションをトリガーできますが、独自のカスタム検出項目を定義することも可能です。Google Workspace をご利用の場合、このデータ保護エンジンは Gmail と Google ドライブのデータ保護に使用されているのでお馴染みでしょう。
まずはお試しください
BeyondCorp Enterprise は、エンドユーザーにも管理者にも使いやすいエクスペリエンスを提供するために構築されました。Chrome ブラウザ クラウド管理のすべての設定は、必要なユーザー エクスペリエンスを提供するように構成可能です。アナリストは、Google 管理コンソールのセキュリティ ダッシュボード内でログレポートに簡単にアクセスして表示できます。
BeyondCorp Enterprise と前述の Chrome 機能を使用すれば、セキュリティ体制を改善し、従業員にシームレスなエクスペリエンスを提供できます。
BeyondCorp Enterprise と Chrome について詳しくは、2021 年 5 月 12 日に開催される Google Cloud Security Talks をご覧になるか、オンデマンドでご視聴ください。
また、Chrome ブラウザ クラウド管理で BeyondCorp Enterprise を設定する方法の詳しい手順については、こちらのデモ動画をご確認ください。Chrome で利用できる BeyondCorp Enterprise の脅威からのデータ保護機能について詳しくは、こちらの動画をご覧ください。
-Chrome ブラウザ カスタマー エンジニア Fletcher Oliver