アイデンティティとセキュリティ
G Suite : OAuth エコシステム管理に役立つベスト プラクティス
2018年10月11日
Google Cloud Japan Team
※この投稿は米国時間 2018 年 9 月 14 日に Google Cloud blog に投稿されたものの抄訳です。
機密性の高いデータや資産の保護という仕事に休みはありません。G Suite は、Gmail や Google ドライブ、その他の G Suite アプリケーションに格納されているドメイン データを保護するべく、Google 以外のベンダーのアプリケーションによるアクセスの完全な可視化と包括的な制御を提供します。今回は、こうしたアクセスの管理方法をおさらいしておきましょう。
1. ドメイン全体への API アクセスが許可されているアプリケーションの再評価
Google カレンダーのような G Suite アプリケーションのデータにアクセスするウェブ アプリケーションやその他の API クライアントの開発者は、そのアプリケーションを Google に登録しなければなりません。そして、こうした登録アプリケーションに対してドメイン内のユーザー データへのアクセスを実際に許可するのは皆さんであり、管理コンソールはそのためのツールです。組織のセキュリティを強化するには、現在のアクセス状況を管理コンソールで再確認し、不要なアクセス権限があれば取り消すようにすべきです。
2. ホワイトリストによる OAuth アプリケーションの管理
どのサードパーティ アプリケーションにユーザーの G Suite データへのアクセスを許可するかは、OAuth アプリケーションをホワイトリストに登録すれば管理できます。この方法なら、データ アクセスを許可するアプリケーションは管理者が信用しているものだけに限られます。OAuth ホワイトリストを整備すれば、データ アクセスはホワイトリストに含まれるアプリケーションだけに制限され、従業員は信用できないアプリケーションから自動的に保護されます。
3. ユーザーごとのサードパーティ アプリケーション使用状況の把握
OAuth Token 監査ログを使用すれば、どのユーザーがどのサードパーティのモバイル / ウェブ アプリケーションからドメイン内の G Suite データにアクセスしているかがわかります。この監査ログには、アプリケーションとユーザーの名前、アクセスしている API(アプリケーションがアクセスを認められた場合)が記録されます。サードパーティ アプリケーションによる実際のデータ アクセスが可視化されるため、どのアプリケーションのアクセスを制限するかを詳細な情報に基づいて決定できます。
4. セキュリティ センターによる新アプリケーションへの OAuth 認可の監視
G Suite セキュリティ センターに備わるセキュリティ ダッシュボードには、新しいアプリケーションの OAuth 認可に関するチャートが含まれています。このチャートは、ドメインの OAuth 利用を監視するのに役立ちます。たとえば、どのアプリケーションが過去数か月の間に最も多くの OAuth 認可を受けたかをモニタリングできます。
以上のような管理機能と、未承認アプリケーションに対する厳格な制限により、私たちは OAuth エコシステムの安全性を高めるとともに、ドメイン内のデータにアクセスできるアプリケーションの管理、評価、監視に役立つツールを提供しています。透明性と制御は常にデータ プライバシーの大原則であり、これらの原則が製品に確実に反映されるよう私たちは絶えず努力しています。適切なリスク管理のための、より粒度の細かい API アクセス制御と組織管理にご注目ください。
詳細は G Suite セキュリティのページをご覧ください。
- Post by Reena Nadkarni, Group Product Manager, G Suite
