IT 管理者のための G Suite による 6 つの BYOD 安全活用方法
Google Cloud Japan Team
※この投稿は米国時間 2020 年 8 月 25 日に、Google Cloud blog に投稿されたものの抄訳です。
Google を含めた多くの組織は、在宅勤務の活用を迅速に進めてきました。リモートワークが広く普及したことで、IT 管理者にとって、会社所有でないデバイスはもちろん、組織のすべてのデバイスが安全な状態であると確認できることが、かつてないほど重要になっています。
Google は BeyondCorp 戦略を使用してゼロトラスト セキュリティを他社に先駆けて開発し、G Suite ユーザーに高度なセキュリティを提供することで、すべてのデバイスへの安全なアクセスを保護しています。G Suite などの企業アプリケーションやデータを管理者がすべてこのように制御すれば、全社で一貫したセキュリティとユーザー エクスペリエンスを確保できます。
今回は、個人所有デバイス(BYOD)アプローチを取る組織の安全を守るため、IT 管理者が G Suite で使用できる主な制御方法を 6 つご紹介します。詳しいセキュリティ チェックリストの確認はこちらを、「Managing G Suite」コースの詳細についてはこちらをご覧ください。
エンドポイント管理でモバイル デバイスとデスクトップ デバイスのセキュリティを保護
組織全体で BYOD デバイスの OS バージョン、ハードウェア モデル、パッチ バージョンなどは大きく異なります。そのため、どのデバイスにも使える万能な管理アプローチというものは存在しません。Google のエンドポイント管理を使うと、ソフトウェア バージョンの最低要件、制限解除されたデバイスやユーザーに root 権限が与えられたデバイスのブロックなどの対策を取る(多くの場合、従業員のプライバシー保護のためすべてのデバイス権限は不要)ことにより、IT 管理者はさまざまなモバイル デバイスとデスクトップ デバイスを容易にサポートできます。
G Suite が提供するモバイル デバイス管理は、基本的なモバイル デバイス管理と高度なモバイル デバイス管理です。
- 基本的なモバイル デバイス管理では、BYOD デバイスがベースライン セキュリティ機能で保護され、エンドユーザー側の摩擦も発生しません。管理者は、パスコード使用の必須化、デバイスの一覧取得、Google アカウントのリモート ワイプ、Android デバイスへのアプリケーションのリモート インストールが可能です。
- 高度なモバイル デバイス管理では、管理者が BYOD デバイスに対するポリシーをより細かく制御できます。Android ユーザーは、Android の仕事用プロファイルで個人データを仕事用データから分離して、プライバシーを守ることができます。iOS デバイスと Android デバイスで仕事用アプリの使用を許可、管理することも可能です。
管理者は、基本的なデバイス管理と Windows 向けの高度なデスクトップ セキュリティでデスクトップ デバイスを管理してセキュリティを確保することもできます。基本的なデバイス管理では、ユーザーが Windows、Mac、Chrome、Linux デバイスのどのブラウザを使用して G Suite にログインした場合でも、そのデバイスがエンドポイント管理に自動登録されます。これにより、G Suite のデータにアクセスするすべてのデスクトップ デバイスの基本的なセキュリティ レベルを保つことができます。Windows 向けの高度なデスクトップ セキュリティでは、管理者が管理コンソールで容易に Windows 10 デバイスを管理、保護できます。
コンテキストアウェア アクセスで、企業 VPN を使用せずに安全な接続を実現
コンテキストアウェア アクセスは、VPN を使用せずに、G Suite サービスへの望ましくないアクセスから保護します。管理者は、国、デバイスのセキュリティ ステータス、要求の IP アドレスなどの要素を考慮しながら、ユーザー ID とリクエストのコンテキストに基づいて異なるアクセス レベルを設定できます。たとえば、G Suite にアクセスする BYOD デバイスに対して暗号化とパスワードを要求したり、会社が管理する Chromebook からコントラクターが G Suite にアクセスするのを制限したりできます。
アプリのアクセス制御でデータアクセスを制御
会社のデバイスでもあっても BYOD デバイスであっても、組織内の全デバイスを企業データへのアクセスを試みる悪意のあるアプリから保護することが重要です。管理者は、アプリのアクセス制御を使用して、こうしたアプリにだまされたユーザーが企業データへのアクセスを誤って許可するのを防ぐための措置を取ることができます。この機能では、アプリへのアクセスを明示的に信頼、制限、ブロックすることで、管理者はユーザーの G Suite データにアクセスできるサードパーティ アプリを選択することが可能です。
2 段階認証プロセスの適用
管理者は、2 段階認証プロセスを使用してユーザーのログイン時に追加の本人確認を求めることで、不正なアクセスのリスクを低減できます。さらに、標的型攻撃のリスクにさらされているユーザーを守る、最も強力な保護機能である高度な保護機能プログラムもご利用いただけるようになりました。企業向けの高度な保護機能プログラムでは、登録済みユーザーに対してセキュリティ キーの適用、信頼できないアプリへのアクセスのブロック、メールによる攻撃を検出する高度なスキャンなど、特定のポリシーが適用されます。
なんらかの理由でセキュリティ キーを使用しない場合は、BYOD デバイスで 2 段階認証プロセスを行うためのオプションが複数あります。Android および iOS では Google からのメッセージ、Google 認証システム、テキスト メッセージ、電話を使用して、2 つ目の認証プロセスの手順を実施できます。
データ損失防止(DLP)でデータ損失と漏出を防ぐ
管理者として、内部情報の安全性とセキュリティを確保することは最優先事項です。そのため Google では、ドライブ、ドキュメント、スプレッドシート、スライド、Gmail の機密情報を損失、不正使用、権限のないユーザーによるアクセスから保護するため、データ損失防止(DLP)ポリシーを開発しました。G Suite DLP により、管理者は機密とするデータの種類と保護方法を詳細に選択できます。さまざまな情報の種類を容易に検出できるうえ、管理者はカスタム コンテンツ検出項目を追加することで組織のニーズに対応することが可能です。また、DLP ルール(ベータ版)を使用してドライブのファイルを自動的に分類し、機密レベルに応じてデータをカテゴリ化できます。DLP ではデータとアプリケーション レベルでデバイスが保護されるため、BYOD デバイスも含めて組織のあらゆるデバイスで利用できます。
DLP に加えて、iOS デバイス向けの DXP を使うと、他のアカウントやユーザーなどへの G Suite のデータのコピーと貼り付けを制限できます。iOS 向けの DXP では、ユーザーが G Suite アカウント内の特定のアプリからファイルをドラッグ&ドロップするのを制限することも可能です。同様に、Google エンドポイント管理を使用して、個人用プロファイルと仕事用プロファイル間でデータが共有されるのを防ぐように Android デバイスを構成できます。
Google Vault を使ってすべてのデバイスで保持と電子情報開示が可能に
情報ガバナンス要件をすべて満たしながら、G Suite に保存された企業データに BYOD デバイスからアクセスするには、Google Vault を使用します。これにより、組織の保持と電子情報開示のニーズに対応できます。Gmail、ドライブ、Chat、Google グループ、Voice、Meet に保存されている組織のデータには、デバイスの所有者が誰であっても Vault からアクセス可能です。
こうした G Suite の機能は、ゼロトラスト セキュリティ モデルを使用して、会社所有か BYOD かにかかわらず、あらゆるデバイスのデータを保護して組織のセキュリティを確保します。
-Google Cloud シニア プロダクト マネージャー Brad Meador
-Google Cloud エンジニアリング マネージャー Emre Kanlikilicer
