Google Workspace のよりセキュアな設定を活用し、安心安全な環境づくりをしよう!Vol.1
普段仕事をするときに、セキュリティに気を付けて作業をおこなっていると思いますが、
Google Workspace の新しいセキュリティを知っていますか?
G Suite から Google Workspace に変わり、セキュリティ面でも強化されました!
今回は、新しいセキュリティについて、紹介させていただきます。
ぜひ、ブログを最後まで読んでいただき、安全な環境で仕事を行いましょう!
目次
1. Google Workspace のセキュリティ
Google のセキュリティは世界で高水準のセキュリティだと認められています。
世界でも IT 企業としてトップを貫く Google 。
誰もが想像していなかった、新型コロナウイルスでの生活変化により、
Google では在宅勤務での利用を前提としたアップデートを行いました。
リモートワークが広く普及したことで、IT 管理者にとって、
会社所有でないデバイスはもちろん、組織のすべてのデバイスが
安全な状態であるかを確認できることが、重要になっています。
今回は Google Workspace の詳細設定で、
よりセキュアな Google 環境をつくる為のお役立ち情報をご紹介します。
2. コンテキストアウェアアクセスとは?
「コンテキストアウェアアクセス」という言葉を耳にしたことはありますか?
コンテキストアウェアアクセスとは、Google Workspace で利用できるアプリ(コアサービス)の利用、ウェブアプリ、VM(Virtual Machine)、GCP(Google Cloud Platform)、API(Application Programming Interface)を細かく制限できる機能です。
例えば、以下のような場合に使用できます。
・会社支給のデバイスのみにアプリへのアクセスを許可する
→私用のデバイスでは Google Workspace アプリにアクセスさせないようにする
といったことができます。
・特定の IP アドレスからのアクセスのみ許可する
→会社からのアクセスのみ許可することで社外や自宅からのアクセスを制限することができます。
・特定の OS からアクセスのみ許可する
→会社指定の OS からのみアクセスを許可することで、ユーザーの不正利用を制限できます。
複数の条件を組み合わせて1つのポリシーを作成することもできますので、運用に則った設定を行ってみてください。
3. コンテキストアウェアアクセスを設定しよう
では実際にコンテキストアウェアアクセスの設定をしてみましょう。
なお、コンテキストアウェアアクセスのサポート対象エディションは Enterprise、Education Plus となりますので、その他のエディションの場合はアップグレードをご検討ください。
<コンテキストアウェアアクセスの設定手順>
1.管理者のアカウントにて、Googleの管理コンソール(https://admin.google.com)にアクセスします
2.[セキュリティ]を開きます
3.[コンテキストアウェアアクセス]を開きます
4.[アクセスレベル]を選択し、[アクセスレベルを作成]を開きます
5.[詳細]欄の「名前」と「説明」を入力します
※ここでは、IPでアクセスを制限する例として「名前」に「本社以外からのアクセス制限」、
「説明」に「本社からのアクセスのみ有効」と入力してみます
6.[条件]欄の[属性を追加]を開き、プルダウンから「IPサブネット」を選択し、
「IPサブネット欄」にアクセスを許可するIPアドレスを入力します
※更に[属性を追加]をクリックすることで、属性を追加することができます
7.画面右下の[保存]で設定内容を保存します
8.[次のステップ]のポップアップが表示されますので、そこから[アクセスレベルの割り当て]を
選択します
9.設定したアクセスレベルを適用させるサービスを選択します
本社のIPアドレスからアクセスした場合のみ使用できるサービスのチェックボックスに
チェックを入れて、上部にある[割り当て]をクリックします
10.[選択した〇個のアプリに対する割り当て]のポップアップが表示されますので、
手順4で作成したアクセスレベルにチェックを付け[保存]ボタンで設定を保存します
※Google のデスクトップアプリ、モバイルアプリにも適用させたい場合は、
「Google のデスクトップアプリとモバイルアプリに適用する」にチェックを
付けてください
11.コンテキストアウェアアクセスのトップページ
(https://admin.google.com/ac/security/context-aware?hl=ja)に戻ります
12.設定したアクセスレベルでアクセスを制限されてしまった際にユーザーに表示させる
メッセージを設定したい場合は、[ユーザーへのメッセージ]を開きます
13.[カスタムメッセージ]欄にメッセージを入力し、[保存]ボタンで設定を保存します
14.最後に、コンテキストアウェアアクセスのトップページ
(https://admin.google.com/ac/security/context-aware?hl=ja)を確認し、
画面左側から設定が有効となっているかどうか確認してください
「オン(すべてのユーザー)」となっている場合は、設定が有効となっている状態です
※「オフ」の場合は、[有効にする]をクリックして「オン」に変更してください
上記の手順で設定することで特定のIPアドレスからのアクセスを許可し、特定の IP アドレス以外からのアクセスを制限することができます。
今回は「IP サブネット」で制限する設定をご案内させていただきましたが、手順6のプルダウンで
属性値を変更することで「アクセス元の地域」や「デバイスの OS」等でも制限することが
できますので、会社の運用ルールにあわせて設定を行ってください。
4. Google エンドポイント管理とは?
Google エンドポイント管理とは、実際なにを管理できるものなのでしょうか。
簡潔にいうと、ユーザーのモバイル デバイス、デスクトップ パソコン、ノートパソコンなどの
ネットワークに接続されている、モバイル デバイスとデスクトップデバイスの
端末のデータのセキュリティを保護し、より安全に扱うことのできる設定です。
Google Workspace や G Suite を利用しているユーザーの
基本的なモバイルデバイス管理と高度なモバイルデバイス管理が、管理コンソールで行えます。
では、それぞれどんな管理ができるのかご紹介します。
〇基本的なモバイルデバイス管理
パスコード使用の必須化、デバイスの一覧取得、Google アカウントのリモートワイプ、
Android デバイスへのアプリケーションのリモートインストールが可能です。
〇高度なモバイルデバイス管理
上述の基本的なモバイルデバイス管理の設定ポリシーをより細かく制御できます。
Android ユーザーは、Android の仕事用プロファイルで個人データを仕事用データから分離して、
プライバシーを守ることができます。
また、iOS デバイスと Android デバイスで仕事用アプリの使用を許可、管理することも可能です。
実際の Google エンドポイント管理の設定方法については次章にてご紹介します。
5. Google エンドポイント管理を使ってデバイスを設定しよう
それでは実際にエンドポイント管理を使ってデバイスを設定してみましょう。
今回はパソコンで設定できるエンドポイント管理について説明します。
モバイルデバイスの場合は、エンドポイント管理ではなく、MDM での設定が必要となりますので、今回のブログでは設定を割愛します。
まずは管理者でエンドポイントの管理を有効にします。
1. 管理コンソールにアクセスし、[デバイス]>[設定]>[一般設定]の順にアクセスします。
2.[データアクセス]内の[エンドポイントを管理]の項目をクリックし、[組織のデータにアクセスするデバイスを確認する]にチェックを入れ[保存]をクリックします。
これで、管理者側でエンドポイント管理の設定が有効になりました。
管理者で設定したエンドポイント管理は、Endpoint Verification という拡張機能を入れることで、ユーザーがどの PC にログインして操作をしたかを確認することができます。
ユーザー自身で Endpoint Verification を入れる必要がありますので、必ず行ってください。
※注意点として、Endpoint Verification を入れることはできるのは Chrome のみとなります。
Edge や IE など Chrome 以外のブラウザでは利用できません。
Endpoint Verification はこちらからインストールができます。
また、管理者側で Endpoint Verification を強制的にインストールするよう設定も可能なので、
全ユーザーに入れる場合は強制インストールがおすすめです。
Endpoint Verification の拡張機能をインストール後、Endpoint Verification の拡張機能のアイコン(パソコンのアイコン)をクリックすると[ADD ACCOUNT]ボタンが表示されるので、画面に沿ってログインを行います。
ログインが完了すると、画像のように表示されます。
ログインすることで、自動的に同期が走り、管理コンソールの登録デバイスに表示されるようになります。
Endpoint Verification がインストールされたパソコンを管理するには、管理コンソールの[デバイス]>[デバイス]で確認できます。
以上でエンドポイントの管理の設定が完了です。
弊社では Google Workspace での運用をサポートしている、カスタマーサクセスチームがございます。
ご運用にあたっての、ご不明な点やお悩みのご相談等ございましたら、以下のページよりお気軽にお問い合わせいただけますと幸いです。
皆様のお力添えができるよう、精一杯サポートいたします。