Google Workspace

安全第一: G Suite に新たに 11 のセキュリティ機能を導入

g suite security.jpg

※この投稿は米国時間 2020 年 7 月 21 日に、Google Cloud blog に投稿されたものの抄訳です。 

リモートワークに切り換える傾向が非常に高まっている中で、連絡と生産性を維持するために使用するツールの安全とセキュリティが、これまで以上に重要視されています。そこで、Gmail、Meet、Chat のセキュリティをいっそう強化する新規アップデートを発表いたします。また、IT 管理者が管理コンソールでデバイスを簡単に管理してそのセキュリティを維持できるようにする新たな方法もご紹介します。

Gmail での BIMI 標準のサポート

Gmail には多くの防護対策が組み込まれていますが、Google はメールが大規模で複雑な相互接続エコシステムで機能することを認識しています。そこで、Google は Gmail の安全を確保するだけでなく、そのエコシステム全体を安全に保つよう取り組んでいます。

そのためにさまざまな方策を取っています。たとえば、セーフ ブラウジングTensorFlow Extended(TFX)で行ったように Google の技術を他者が利用できるようにしたり、業界のワーキンググループでベスト プラクティスに関する協力および共有を推進したり、今日のメールを保護する多くの標準の作成および形成に貢献できるように取り組んだりしています。

これまで取り組んできたもう 1 つの標準、Brand Indicators for Message Identification(BIMI)のパイロット版を本日ご紹介します。BIMI のパイロット版では、メールの認証に DMARC を使用している組織が、自社ロゴの所有権を検証し、Google に安全に伝送することができます。認証されたメールが Google のその他の不正防止チェックをすべて通過すると、Gmail で、Gmail UI の既存のアバター スロット内にロゴが表示されるようになります。

gmail logo display.png

BIMI は、メール エコシステム全体にメリットを提供します。強力な認証を必須にすることで、ユーザーとメール セキュリティ システムにとってはメール送信元の信頼感が高まり、送信者は自社ブランドの信用を活かして、没入感を向上させたカスタマー エクスペリエンスを提供することができます。

「メール上のブランド プレゼンスの信用度を構築したい組織にとって、BIMI は絶好の手段となります。強力な認証の実装が促進され、それにより、すべての人にとって安全性と信用性が向上したメール エコシステムが生まれます」と、AuthIndicators Working Group の議長であり、Valimail の標準および技術担当バイス プレジデントの Seth Blank 氏は述べています。

BIMI のパイロット版は、今後数週間以内に、限られた数の送信者と、ロゴ所有権を検証する 2 つの認証局(Entrust Datacard と DigiCert)を対象にしてスタートします。パイロット版後の BIMI の立ち上げに備えるとともに、エコシステムの保護全般に貢献するため、Google では DMARC の導入を奨励しています。パイロット版の運用が成功して BIMI の一般利用が今後数か月で可能になることを期待しています。その時点で、組織にはこの標準を導入するかどうかを選択していただけます。BIMI の詳細については、作業グループのウェブサイトをご覧ください。

Meet 向けの新しい制御

Google Meet は、Gmail と同様に、世界中の人々を安全につなげています。Meet の使用者が今まで以上に増えている現在、Google では、動画コラボレーションのセキュリティを維持するための新たな方策に懸命に取り組んでいます。今後数週間以内に、新しいセキュリティ制御をリリースします。これは、ビデオ会議への出席を、予定された参加者のみに確実に限定できるよう支援するものです。初期のロールアウトでは、一般ユーザー向けアカウントと G Suite for Education アカウントでこれらのオプションを利用できます。

まず、「ノック」して会議に参加できる対象者を、会議主催者がより強力に制御できるようにします。既存の制御により、会議のカレンダーで招待されていない人は明示的にノックして会議への参加を依頼するよう求められますが、それをベースにして会議ノック機能が強化されます。

  • 一度退出させられた参加者は、主催者がもう一度招待しない限り、ノックして同じ会議に再び参加できません。
  • ユーザーからのノック リクエストが複数回にわたって拒否されると、自動的に、そのユーザーはそれ以降の会議参加リクエストを送信できなくなります。

次に、高度な安全ロックを会議主催者に提供し、より高度な会議保護をシンプルな数回のクリックで実現できるようにします。

  • 安全ロックでは、明示的な参加許可を得るために必要とされる参加方法(たとえばカレンダー招待経由または電話経由など)を主催者が決定できます。
  • 安全ロックを利用すると、匿名ユーザー(Google アカウントにログインしていないユーザー)による会議参加の試みがすべてブロックされ、たとえば、主催が参加するまでほかのユーザーは参加できないなどの要件を適用できます。
  • 特定の安全ロックにより、会議における参加者のやり取りのレベルを主催者が制御できます。チャットロックと画面共有ロックでは、会議でチャットしたり発表したりできる参加者を主催者が制御できます。

Meet Safety Locks.jpg

Meet の安全ロック


これらの機能では、総当たり攻撃を防止するためにすでに配備済みの保護機能が強化され、攻撃者は会議コードを推測できても、主催者の許可がなければ会議に参加できません。主催者が誤って攻撃者の参加を許可しても、チャットロックと画面共有ロックによって、会議の妨害を防ぎます。最後に、なんらかの不正が行われると、ユーザーが会議中に直接報告できます。  

Chat の新しいセキュリティ機能

Chat は、自宅でもオフィスでもそれ以外でも勤務場所を問わずにチームが効率性、生産性、連携を維持できるように支援します。Google では、Chat での会話の安全性をいっそう強化する新しいセキュリティ機能をリリースします。

  • Gmail 内で構築された強力なフィッシング対策機能が Chat に拡張されます。Chat 経由でリンクが送信されると、セーフ ブラウジングからのリアルタイム データと照合され、悪意のあることが判明するとフラグが立てられます。
  • 今後数週間以内に、いずれかのチャットルームで悪意あるアクティビティが疑われた場合はチャットルームを報告しブロックできるようになります。

chat security features.jpg

  • Chat のセキュリティ シグナルや、G Suite のその他の機能を利用して、不正コンテンツを自動的に検出して制限します。たとえば、スパムが疑われる招待をスパムとして分類し、場合によっては自動的にブロックします。

より簡単な管理と、管理者によるセキュリティ管理の強化

私たちの現在の働き方は、6 か月前と比べてかなり変化しているように見えます。そこで、従業員のオンライン接続、生産性、安全性を維持する中心的役割を担うのが、IT 管理者です。Google は、組織の安全を維持する管理者に役立つ、いくつかの新機能を導入します。まず、デバイス管理の簡素化と強化に取り組みました。

  • G Suite 管理コンソールのデバイスページのデザインを変更して、より直感的なデバイス管理ナビゲーションを含めるとともに、各サービスにより管理されるデバイスの数を迅速に表示するようにしました。

security control settings.jpg

  • また、Apple Business Manager(旧称 DEP)との統合を開始して、G Suite Enterprise、G Suite Enterprise Essentials、Cloud Identity Premium、G Suite Enterprise for Education の管理者が会社所有の Apple iOS デバイスを簡単かつ安全に配布し管理できるようにします。

次に、常にセンシティブ データの保護と非公開の維持に優先的に取り組んできた Google が、本日、データ損失防止(DLP)機能の新たな強化を発表します。これは、データへの不正アクセス防止に役立つものです。

  • 管理者が、自動化された Information Rights Management(IRM)制御を使用して、機密コンテンツを含む Google ドライブ ドキュメント、シート、スライドをエンドユーザーがダウンロード、印刷、コピーできないようにすることで、データ流出を防止できるようになりました。
  • これらの制御は、組織に設定されたデータ損失防止(DLP)ルールと結び付いており、管理者は、Google ドライブ内の全ファイルのフルスキャンを実行してこれらの制御を全ユーザー向けに自動的に有効化できます。
  • これらの機能は、現在、G Suite Enterprise、G Suite Enterprise Essentials、G Suite Enterprise for Education をご利用のお客様を対象にしてベータ版として利用可能となっています。

Data Loss Prevention.jpg

最後に、管理者によるアプリアクセス制御を簡素化します。管理者はすでに、OAuth 2.0 でユーザーの G Suite データにアクセスできるサードパーティ アプリを決めることができます。今回、アプリアクセス制御により、G Suite データへのアクセスを必要とする各アプリの許可リストを作成せずにアプリが API 経由で G Suite サービスにアクセスできないようにすることで、管理者の時間の節約が実現します。

control app access.jpg

Google Cloud にとって安全性とセキュリティは優先事項であり、これらのアップデートによって IT 管理者が時間と労力を節約しながら自組織をより簡単に保護できるようになることを願っています。


-G Suite セキュリティ&コントロール担当プロダクト管理ディレクター Karthik Lakshminarayanan

-Gmail セキュリティ担当プロダクト マネージャー Neil Kumaran