Google Workspace ユーザーの Chrome ブラウザを保護する 8 つの方法

※この投稿は米国時間 2023 年 3 月 1 日に、Google Security blog に投稿されたものの抄訳です。

1. Chrome をクラウド管理下に置く

Google Workspace のユーザーとデータの安全を確保するための取り組みは、Chrome ブラウザをクラウド管理下に置くことから始まります（追加の費用は発生しません）。Chrome ブラウザ クラウド管理では、Windows、Mac、Linux、iOS、Android の各種デバイスで動作する Chrome ブラウザのポリシーとセキュリティ制御を単一の管理コンソールから適用できます。また、最新ではないブラウザ、ユーザーが使用している拡張機能など、ブラウザ フリートを詳細に可視化し、企業における潜在的なセキュリティの盲点を把握することもできます。

クラウドから Chrome を管理することで、Google Workspace 管理者は完全管理対象デバイスのブラウザ全体に企業の保護とポリシーを適用できるため、ユーザーが Chrome にログインしてポリシーを適用する必要がなくなります。また、企業の管理対象デバイスだけでなく、管理対象ユーザーが任意の Windows、Mac、Linux パソコンで Chrome ブラウザにログオン（Chrome ブラウザのユーザーレベル管理により）したときに適用されるポリシーを適用することもできます。

これにより、フルマネージド デバイス、個人用デバイス、ベンダーが使用する完全管理対象外デバイスのいずれから仕事用のリソースにアクセスしても、企業データとユーザーの安全を確保できます。

始めるのは簡単です。組織でまだ設定を行っていない場合は、こちらのガイドでデバイスの登録手順をご確認ください。

2. フィッシング、ランサムウェア、マルウェアに対する組み込みの保護機能を強化する

Chrome は、Google のセーフ ブラウジング技術を利用して、ユーザーが危険なサイトに移動したり、危険なファイルをダウンロードしたりしようとすると警告を表示して、毎日数十億台のデバイスの保護に貢献しています。セーフ ブラウジングは、ユーザーが Chrome をダウンロードすると、すべてのユーザーに対してデフォルトで有効になります。管理者は、SafeBrowsingProtectionLevel ポリシーを適用することで、ユーザーがセーフ ブラウジングを無効にできないようにすることが可能です。

ここ数年間、ウェブ上の脅威は巧妙さを増しています。セーフ ブラウジング保護強化機能を有効にすると、危険なウェブサイト、不正なダウンロード、拡張機能の保護が大幅に強化されます。ウェブベースの攻撃に対して最大限の保護を実現するために、Google が提供するセーフ ブラウジング保護強化機能をユーザーに適用しましょう。

3. Chrome で会社の認証情報の保護を有効にする

会社のパスワードの再利用は、重大なセキュリティ リスクをもたらします。従業員が会社の認証情報を個人のログイン情報として再利用したり、また、その逆を行ったりすることはよくあります。場合によっては、フィッシング サイトに会社のパスワードを入力してしまうことさえあります。従業員のログイン情報が再利用されることで、犯罪者は企業データに容易にアクセスできるようになります。

Chrome Enterprise のパスワードの再利用検出機能は、従業員が会社の認証情報を他のウェブサイトに入力した際にそれを検出することで、個人情報の盗難と従業員や組織のデータ漏洩を防ぎます。

Chrome の Google パスワード マネージャーには、パスワード チェックアップ機能も組み込まれており、ユーザー名とパスワードがデータ侵害により公に漏洩されているのを発見した際にユーザーにアラートを送信します。

パスワード アラートは、監査ログとセキュリティ調査ツールに表示され、管理者が自動化ルールを作成したり、ユーザーにパスワードのリセットを依頼してパスワードの漏洩を抑えるための適切な措置を講じたりするのに役立ちます。

4. 監査ログ、Google セキュリティ センター、または選択した SIEM を通じて、重要なセキュリティ イベントの分析情報を得る

IT チームは、Google Workspace ユーザーが Chrome を使用してウェブを閲覧する際に遭遇する潜在的なセキュリティの脅威やイベントに関する有益な分析情報を得ることができます。また、セキュリティレポートにより、脅威に対する予防策を講じることもできます。

組織は Google Workspace 管理コンソールを使用して Chrome ブラウザを登録し、ブラウザのデプロイに関する詳細情報を取得できます。IT チームは、ポリシーの設定や拡張機能の管理なども行えます。Chrome 管理ポリシーは、適用されているエンドユーザー ベースのポリシーと連携するように設定できます。

セキュリティ イベント レポートを有効にすると（上の画像）、監査ログでレポート イベントを表示できます。Google Workspace Enterprise Plus または Education Plus のユーザーは、Workspace セキュリティ調査ツールを使用して、潜在的なセキュリティの脅威を特定して選別し、対応できます。

現在、Chrome はユーザーが以下の操作を行った際にレポートを作成できます。

• 既知の悪質なサイトへの移動。

• 既知のマルウェアを含むファイルのダウンロードまたはアップロード。

• 承認されていないサイトにおける会社のパスワードの再利用。

• 承認されていないサイトで会社のパスワードを再利用した後の会社のパスワードの変更。

• 拡張機能のインストール。

Google Workspace に加え、Google Cloud Pub/Sub、Chronicle などの他の Google Cloud プロダクトや、Splunk、Crowdstrike、PaloAlto Networks などの主要なサードパーティのプロダクトにも、これらのイベントをエクスポートできます。

5. 最新のセキュリティ アップデートでブラウザを最新の状態に保ち、リスクを軽減する

最新のウェブブラウザは、他のソフトウェアと同様に「ゼロデイ」脆弱性がある可能性があります。これは、ソフトウェアに存在する未発見の欠陥であり、特定されて解決されるまで攻撃者に悪用される可能性があります。幸いなことに、すべてのブラウザの中で、Chrome はゼロデイ脆弱性に迅速にパッチを適用することが知られています。ただし、IT チームがこれを利用するには、ブラウザ環境におけるすべてのブラウザが最新であることを確認する必要があります。Google のエンタープライズ ツールは、円滑でシームレスなブラウザの更新プロセスを提供し、最適なセキュリティを維持しながらユーザーの生産性を向上させます。これらのツールを活用することで、企業はユーザーの安全を確保し、潜在的なセキュリティの脅威から保護することができます。

• バージョン レポート: さまざまなオペレーティング システムにわたるフリートの Chrome の全バージョンを日次レポートとして簡単に確認できます。

• Chrome の強制自動更新: Chrome の最新バージョンが利用可能になり次第、更新をトリガーします。エンタープライズ ポリシーを使用して、アップデートが迅速に反映されるようにするために、ユーザーに Chrome の再起動を強制します。これにより、ユーザーは最新のセキュリティ対策が施された最新バージョンの Chrome を使用できます。

• 従来のブラウザの使用管理: 一部のユーザーは、最新のブラウザでサポートされていないプラグインや ActiveX テクノロジーを使用する古いウェブ アプリケーションにアクセスし続ける必要があります。Chrome には従来のブラウザのサポート機能が統合されているため、ユーザーが安全性の低いブラウザを使用する時間を短縮できます。

6. 従業員が審査済みの拡張機能のみを使用するようにする

拡張機能は大きなセキュリティ リスクをもたらします。多くの拡張機能は高度な権限を要求するため、悪用されるとセキュリティ侵害やデータ損失につながる可能性があります。ただし、エンドユーザーの強い要望により、拡張機能のインストールを完全にブロックできないこともよくあります。

• アプリと拡張機能の使用状況レポート: 企業のフリート全体にインストールされているすべての Chrome 拡張機能を可視化します。管理者は、フリートのあらゆる部分において、拡張機能を自動インストールしたりブロックしたりできます。

• 拡張機能ワークフロー: 管理者は、IT 部門が拡張機能のインストールを確認しなければならない状況を決定できます。管理者は Google 管理コンソールの確認ワークフローにより、特定のユーザーからの拡張機能のリクエスト、または広範なフリートのインストール リクエストを簡単に確認して承認できます。

• 拡張機能の詳細: 管理者は、拡張機能の権限やその他の関連するメタデータについての追加情報を確認できます。この情報は、管理者が容易に拡張機能を管理できるように、拡張機能リストと拡張ワークフロー ページに表示されます。

7. Google Workspace のリソースが、保護機能が有効な管理対象の Chrome ブラウザからのみアクセスされるようにする

コンテキストアウェア アクセスにより、適切なユーザーのみが、適切な条件のもとで、機密情報にアクセスできるようにします。この機能を使用すると、ユーザーの ID、場所、デバイスのセキュリティ状態、IP アドレスなどの属性に基づいて、Workspace データにアクセスするアプリに対する詳細なアクセス制御ポリシーを作成できます。

Google Workspace のリソースが、保護機能が有効な管理対象の Chrome ブラウザからのみアクセスされるようにするには、詳細設定で Common Expression Language（CEL）を使用してカスタム アクセス レベルを作成します。マネージド クエリについて詳しくは、こちらのヘルプセンターの記事をご覧ください。

8. BeyondCorp Enterprise の脅威対策とデータ保護機能を有効にする

データ セキュリティにさらに積極的なアプローチを取りたい組織は、BeyondCorp Enterprise をデプロイして情報を保護し、データ損失防止（アップロード、ダウンロード、印刷、保存、コピーと貼り付けに対する制御など）、リアルタイムのフィッシング対策、マルウェア ディープ スキャン、SaaS アプリケーションへのゼロトラスト アクセスを有効にすることもできます。BeyondCorp Enterprise は Chrome にすでに組み込まれているため、組織は追加のエージェントをインストールすることなく、スムーズに実装できます。

Google が企業向けの安全なブラウザで現代の従業員をサポートする方法について詳しくは、こちらをご覧ください。