大規模なセキュリティ対策: 新しい 10 個のセキュリティおよび管理設定

※この投稿は米国時間 2020 年  9 月 30  日に、Google Cloud blog に投稿されたものの抄訳です。

非常に多くの人がリモートワークをしている今日、生産性を維持するために使用するツールが安全であることが不可欠になっています。Google では今年すでに、お客様のためにセキュリティの強化を図り、脅威防御がより効果的になるよう取り組んできました。

本日は、G Suite と Google Cloud Platform の両方で堅牢な制御を提供し、自動化を可能にして、大規模なセキュリティ管理を簡素化する新しい機能強化についてご紹介します。

API を通じた拡張性の有効化

まず、Cloud Identity をご利用のお客様向けに一般提供されたCloud Identity Groups API とサービス アカウント API アクセスによる、API を使用した拡張性の有効化について見てみましょう。Google Cloud のお客様の中には、グループに大きく依存していながら、G Suite 管理者でない方もいらっしゃいます。Cloud Identity Groups API により、管理者ロールを必要とせずにプログラムによるアクセスでグループを管理できるようになりました。この機能により、グループのオーナーやマネージャーとして、管理者以外のサービス アカウントやユーザーにアクセスを拡張しました。

さらに、サービス アカウント API アクセスにより、サービス アカウントを使用してプログラムからグループを管理できるようになりました。ドメイン全体の委任も管理者権限の借用も使用する必要はありません。この機能と密接に連携するのが、一般提供されたメンバーとしてのサービス アカウントで、これはグループ設定を変更しなくてもグループのサービス アカウントをネイティブでサポートしており、メンバーがサービス アカウントであるかどうかを示します。また、これらの機能により、サービス アカウントによって実行されたアクションをより正確に可視化することもできます。監査ログには、ドメイン全体の委任を介して権限を借用したユーザーではなくアクターとしてサービス アカウントが表示されるようになります。

「ドメイン全体の委任を使用しない API アクセスが可能になるまでは、機能を管理するために多数のグループ管理者アカウントが必要でした。今では、絶対に必要な人だけにアクセスを制限できるようになり、セキュリティ体制の強化に役立っています。」 - Woolworths

次に、Count API が一般提供され、G Suite の Vault API に追加されます。この API を使用すると、検索クエリに一致するメッセージ、ファイル、その他のデータ項目の数を確認できます。Count API のこの機能によってエクスポートのサイズを見積もることができるため、サイズを原因とするエクスポート エラーを削減して、エクスポートの正常完了に役立ちます。

グループ メンバーシップの自動化により時間と労力を節約

Google では、新しいグループ メンバーシップの自動化により、Cloud Identity をご利用のお客様が時間と労力を節約できるよう支援しています。動的グループ（現在ベータ版）を使用することで、グループ メンバーシップの完全な自動化が可能になります。メンバーシップ クエリで適切なユーザー属性を利用するだけで、メンバーシップが自動的に最新の状態に保たれるグループを作成できます。

また、Cloud Identity にメンバーシップの有効期限（ベータ版）を導入しました。これにより、グループ メンバーシップに時間ベースの有効期限を設定して、指定された期間が経過するとグループ メンバーシップを自動的に取り消すことができます。これは、たとえば、エンジニアが一定期間だけ本番環境でデバッグできるようにしたり、一時的な請負業者やベンダーに時間ベースでリソースへのアクセスを許可したりする場合に特に役立ちます。 

コントロールを追加してセキュリティを強化

Google は、お客様が組織のニーズに応じてセキュリティをカスタマイズするために必要なすべてのコントロールを利用できるようにしたいと考えています。そこで、次のようないくつかの方法により、お客様がグループを管理する際にセキュリティ目標を達成できるようにさらに強力なコントロールを提供しています。

Cloud Identity のセキュリティ グループ（現在ベータ版）により、グループにセキュリティ ラベルを追加して、アクセス制御に使用されるグループとメールやその他の通信にのみ使用されるグループを区別することができます。このラベル付けは、セキュリティ グループに組織外のグループやメールのみのグループを含めるのを防止するために役立ちます。

次に、グループの管理をより強力にコントロールできるように、5 月にGCP Console でのグループのベータ版をリリースしました。この機能により、グループの作成、ユーザーの追加、権限の割り当てを簡素化しました。これはこちらでお試しいただけます。

可視性と分析情報を利用してセキュリティの取り組みに戦略的に優先順位を付ける

組織内のアクセスとデータを可視化することは、組織の保護においての重要なステップです。それをさらに一歩進めて、行動の基盤とする分析情報を得ることで、セキュリティの取り組みに戦略的に優先順位を付けられるようになります。

まず、Cloud Identity の間接的なメンバーシップの公開設定と階層 API（現在ベータ版）により得られる可視性について説明します。グループ メンバーシップを簡単に可視化できるよう、この機能は、グループの直接的なメンバーと間接的なメンバーに加えて、ユーザーの直接的なメンバーシップと間接的なメンバーシップをすべて確認し、ユーザーからグループへのパスを特定することを可能にします。さらに、新しい API の確認機能を使用すれば、アカウントが指定されたグループのメンバーであるかどうかを特定することができます。これで複雑なグループ構造と階層を可視化するために必要なすべての情報を取得できます。このようにメンバーシップを可視化することで、グループに追加する人またはグループから削除する人を決定しやすくなります。

次に、Google では組織のデータを安全に保つために役立つ実用的な分析情報により、お客様が可視性を次のレベルに引き上げられるように支援しています。今後数週間の間にデータ保護に関する分析情報の一般提供を開始することになりました。これにより、組織の最も機密性が高いデータタイプを特定できるようになります。また、組織が扱っているセンシティブ データを確認できるだけでなく、データ保護の取り組みに優先順位を付けて集中的に取り組めるように支援しています。データ保護に関する分析情報は、G Suite Enterprise のお客様に加えて、G Suite Business のお客様にもご利用いただけます。

これらのツールにより、Google では、組織の皆様が時間と労力を節約しながら大規模なセキュリティをより効率的かつ安全に管理できるようにする機能を提供しています。クラウド セキュリティに関する最新の考え方を学ぶには、直近の Google Cloud Security Talks をオンデマンドで今すぐご覧ください。

- Google Cloud プロダクト マネージャー Jaisen Mathai

- Google Cloud プロダクト マネージャー Swati Sharma