Google Workspaceのおすすめ統制機能
はじめに
先日、Google Workspace(旧G Suite)に関する認定資格試験を受ける機会があり、かねてより興味があったGoogle Workspaceの管理・統制機能、セキュリティ機能について勉強してみました。
実は過去には G Suite を導入/運用した経験があり、予備知識が全くのゼロではありませんでしたが、それでも得たものが多い試験でした。
現状では日本語の情報こそ多くないものの、Workspaceには管理者向けの機能として多様なツールセットが用意されています。情報システム室やCSIRT、スタートアップの担当の方におかれては 「そもそもどのような管理統制機能があるのか?」 という知識が必要で、それらが日々のセキュアな運用にダイレクトに直結すると考えられます。しかし、実はこの情報がなかなか探しにくいのです...
また、統制機能の背景にはGoogle独自の観点によるベストプラクティスも垣間見え、一般ユーザーでも知っておくと役立つセキュリティ関連の設定もあるため、それらを独断と偏見に基づき紹介できればと思います。
監査のための機能
Workspaceには監査に対応したさまざまな機能があり、GmailやGoogle Docsなどを使った日常業務を管理面から強力にサポートしているといえます。他のドキュメント系SaaSやユーティリティツールなどと比較しても多くの場合で利便性が高い印象で、インターフェイスが共通なため管理者の負担を減らすことができるはずです。
特に第三者認証等を取得しているエンタープライズ企業のコンプライアンス遵守のために無くてはならない機能であり、セキュリティとはやや異なる観点ではありますが考慮すべきポイントは多いと思われます。
具体的に次のような仕組みが用意されています。
Google Vault
Google Vaultは、Workspace内の情報の保全や記録保持のための、ガバナンスツールです。
例えば、業務に関連した法的なトラブルや紛争時にGmailのメッセージを恒久的に保存し、法的な義務やデータ保全の役割を果たすことができます。情報はそれぞれ 「Matter(案件?)」という単位で管理/共有されます。
サポートされているサービスには、Gmail、Google Drive(Docs/Sheets/Slides/Form)、Google Meet、Google Siteなどがあります。
監査ログ
各Googleサービスの膨大なアクティビティのログをカンタンに確認することができます。具体的にサポートしているサービスは以下のページで確認できます
(監査ログページは、最新のアップデートで「監査と調査」ページになりました)
ここでは特定の条件でルールを設定でき、該当のログイベント=インシデントが発生した場合にメール通知を設定することもできます。例えば「不審なログイン」の条件を以下のように作成できます。
また、Workspaceのログと使用状況レポートを Google BigQuery に書き出すこともできます。
BigQuieryには、いわゆるコスト削減のための"テクニック"がいくつかありますので、それらを確認の上でサンプルとして掲載されているクエリを実行するのが良さそうです。
ドライブのスキャン (Google Drive)
Google Driveを安全に使う一つのソリューションとして、Google Cloudのサービスとして提供されている DLP(Data Loss Prevention) の機能を利用したセキュリティスキャンがあります。
DLPは、AWSでいうところの Amazon Macie に相当するサービスで、ドキュメントなどのファイルに機密情報や特定の情報が無いかを走査できるサービスです。
テキストだけではなく、PDFや画像ファイルなどさまざまなファイル形式にも対応しています。
このサービスの機能を利用して、共有ドライブ内にクレジットカード番号などが保存されていないかをスキャンし、問題がある場合にはアラートを発報するなどアクションを実行できます。
DLP自体について掘り下げて調べてみると、マスキングや仮名化などそもそもこのサービス自体の機能も豊富であることがわかります。今後もアップデートされ、その恩恵に預かれるのではないでしょうか。
メール配信前のスキャン (Gmail)
Gmailのフィッシング防止のためのセキュリティ設定として、配信前スキャンが可能です。
注意点として、メール配信にわずかに遅延がおこる点が記載されていますが、是非有効化したい機能です。
判別基準などはおそらく公開されていないですが、予め迷惑メールとして分類されることがわかっていると安心感がありますね。
メール認証 (Gmail)
続いてGmailに関する認証機能です。迷惑メールやフィシング、なりすましメールなどの対策に有効な以下の認証が利用可能です。
- SPF
- DKIM
- DMARC
- BIMI
このうち、BIMI (Brand Indicators for Message Identification) について補足したいと思います。
BIMIは、GmailやYahoo!メールなど一部のプラットフォームで認証されたメールにのみ「ブランド(企業)ロゴ」の画像を表示させる機能で、近年注目されています。BIMIの設定には、前提としてDMARCの認証設定がされている必要があり、またDNSでTXTレコードを設定しておく必要があります。詳しくは以下のドキュメントをご確認下さい。
ユーザー認証時の2段階認証
管理・統制機能というわけではないですが、近年ではほぼ必須となっているMFAについて。
Workspaceでは以下の選択肢があります。
- セキュリティキー
- ハードウェアセキュリティキーまたはTitanセキュリティキー
- スマートフォン組み込みのセキュリティキー
- Googleからのメッセージ
- スマートフォンアプリ Google認証システム
- テキストメッセージ、または電話
- (バックアップコード)
それぞれメリット/デメリットあるいは運用負荷に差があり、詳細を確認してからの導入が望まれますが、少し興味深い点は、それらに対するGoogleの推奨度合いです。特にテキストメッセージについて以下のように書かれています。
テキスト メッセージはおすすめしません - 外部の携帯通信会社ネットワークを使用するため、傍受される危険性があります。
またWorkspaceではなくGoogle Cloudのブログ記事では以下のように書かれており、やはりSMSや音声コードの利用は必ずしもベストプラクティスではないようです。
We recommend avoiding SMS or voice codes if any of the other 2SV methods are feasible
個人的な推測になりますが、各国の通信キャリアやプロバイダーのセキュリティ対策状況には幅があるため、一概に安全と言えないといった背景もありそうです。不正使用が多い特定の国ではサポートされていない旨も書かれているからです。
それにしてもこの図を見ているとFIDO対応のセキュリティキーを使ってみたくなりますね...
【おまけ】 2段階認証の強制と、使用状況レポート
話は変わりますがWorkspaceの利点としては、この認証設定を組織全体に強制できる点もあります。
さらに状況をモニタリングし、レポートという形で表示させることが可能です。
[ユーザー レポート] のアカウント レポートには、ユーザー アカウントのステータス(2 段階認証プロセスの使用状況、パスワードの安全度など)についての詳細データが表示されます。
2 段階認証プロセスの登録 ユーザーが 2 段階認証プロセスに登録しているかどうか。
2 段階認証プロセスの適用 ユーザーが 2 段階認証プロセスに登録する必要があるかどうか。
Google Admin Toolbox
あまり一般のエンジニアに知られていないサービスかと思いますが、Google Admin Toolboxというwebサービスがあります。
認証などはなく、Workspaceの契約状況に関係なく閲覧することができるようです。
名前のとおり、Workspaceに関連したトラブルシュートやデバッグのための管理者向けツールがまとまっています。以下のような機能があり、詳細な使い方はヘルプページに書かれています。
- Browserinfo: ブラウザベースのデバッグツール
- Check MX: MXレコードの設定のチェックツール
- HAR Analyzer: HARファイルの解析ツール
- Log Analyzer: Chrome等のログ解析ツール
- Encode / Decode: Base64等のエンコード/デコードツール
- Messageheader: SMTPメッセージヘッダーを分析ツール
etc.
しかしこれらの中には別のツールやローカルのCLIで代替できるものもあり、かつこのツールの使用が許可される環境ばかりでは無い(コンプライアンスなどの理由から)と思われます。実は、このToolboxに触れられている公式ドキュメントは現時点では少なく、どういった位置づけにあるのか不明瞭な部分もありますが、今後機能追加など発展性があるのではないかと(勝手に)思っています。
おまけ
ここまで脈絡もなく管理機能・セキュリティ機能を紹介してきましたが、Workspaceでは「新しく追加されるWorkspaceの機能をすぐにユーザーに解放しない」といった選択も可能です。これにより意図しない一般ユーザーの新機能の即時利用を抑制し、その間に機能の概要を確認・ルールの周知などが可能です。
具体的には、管理コンソールの以下を設定します。
- [アカウント] > [アカウント設定] > [リリース設定] > [新機能]
おわりに
Workspaceの料金体系を鑑みるとユーザー数に比例した従量課金に近い側面もあり、契約プランの中で利用できるものは、最大限活用したいところです。
また、一部のセキュリティ関連の設定は一般のユーザーが知っていても良いのではないかと思いました。
Workspace導入前の検討や、運用の見直しの際に参考にしていただければ幸いです。
Discussion