セキュリティ & アイデンティティ

Android のコンテキストアウェアアクセスを適用するための追加シグナル

2023年10月20日

Google Cloud Japan Team

※この投稿は米国時間 2023 年 10 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。

セキュリティに対するゼロトラストアプローチを利用すれば、ユーザー、デバイス、アプリを保護できるだけでなく、不正なアクセスやデータの引き出しからデータを保護できます。

組織によるゼロトラストの導入を支援する Google Cloud の取り組みの一環として、Google は BeyondCorp Enterprise（BCE）ソリューションを設計しました。これは、Chrome、デスクトップオペレーティングシステム、モバイルデバイスが発信するさまざまなシグナルをお客様が使用できるようにする拡張可能なプラットフォームです。BeyondCorp Enterprise、Workspace CAA、Cloud Identity は、高度な管理対象デバイス、そして今回初めて対象となる基本的な管理対象デバイスの両方にとって不可欠な Android デバイスセキュリティシグナルを受信できるようになりました。

たとえば、お客様は、有害な可能性があるアプリがインストールされているデバイス、または改ざんされたデバイス（ルート化されている場合など）へのアクセスをブロックするルールを定義できるようになりました。これらのシグナルが、Workspace 管理コンソールのデバイス管理 UI と Cloud Identity Devices API で利用できるようになり、管理者は限定公開アプリ、SaaS アプリ、Workspace データにアクセスするデバイスの状態のオブザーバビリティを確保できます。

メリット

コンテキストアウェアアクセスは、管理者がきめ細かい制御ポリシーをデプロイして、IP アドレス、デバイスの状態、時刻などに基づいてユーザーアクセスを適用できるようにするセキュリティ機能です。基本アクセスレベルモードでは Android デバイス向けの 5 つのデバイス属性（画面ロック、OS バージョン、暗号化、会社所有、確認付きブート）がサポートされており、詳細モードではその他のデバイス属性もサポートされています。

以下は、お客様の要望に基づいて追加された新しいシグナルです。

シグナルの詳細

属性: 確認付きブート
タイプ: ブール型
説明: 確認付きブートは、実行されるすべてのコードが、攻撃者や破損からではなく、信頼できるソース（通常はデバイスの OEM）からのものとなるように努めます。これにより、ハードウェアで保護されたルートオブトラスト、ブートローダー、ブートパーティションのほか、システム、ベンダー、OEM パーティション（オプション）を含むその他の検証済みパーティションなど、完全な信頼チェーンが確立されます。

属性: 有害な可能性があるアプリ
タイプ: ブール型
説明: Google Play プロテクトは、インストール時にアプリをチェックします。また、定期的にデバイスをスキャンします。これにより、有害な可能性があるアプリがデバイスにデプロイされているかどうか、または既存のアプリが潜在的に悪意のあるアプリとして分類されているかどうかのフラグが立てられます。

有害な可能性があるアプリが検出されたデバイスを禁止します。

属性: Google Play プロテクト
タイプ: ブール型
説明: デバイスで Google Play プロテクト検証アプリを有効にする必要があります。このフラグは、Google Play プロテクトがデバイスで有効になっているかどうかを確認します。Google Play プロテクトは、Android スマートフォン上のすべてのアプリを自動的にスキャンし、有害なアプリのインストールを防止します。

属性: CTS コンプライアンスチェック
タイプ: ブール型
説明: SafetyNet Attestation API が、暗号化された署名付き証明書を提供し、デバイスの整合性を評価します。このフラグは、デバイスが CTS に合格した認定済みの本物のデバイスであることを証明します。

CAA ルールに加えて、フリート全体にわたるこれらの新しいシグナルを含むデバイスの状態を可視化できます。これらの追加の状態は、管理コンソールだけでなく API 経由でも利用できます。デバイスの詳細ページで、新しいシグナルで更新された管理コンソールのスクリーンショットを確認できます。