コンテンツに移動
プロダクトの発表

新しいゼロトラストとデジタル主権管理を使用して Workspace の Google AI を拡充

2023年9月4日
https://storage.googleapis.com/gweb-cloudblog-publish/images/Nextsecurity.max-2500x2500.png
Google Cloud Japan Team

※この投稿は米国時間 2023 年 8 月 24 日に、Google Workspace blog に投稿されたものの抄訳です。

セキュリティ、機密性、コンプライアンスは、民間企業や公共部門の組織にとって最優先事項であり続けていますが、それには相応の理由があります。昨年、サイバーセキュリティ攻撃は 38% 増加し、1 件あたりのデータ侵害が組織に与えた損害は平均 435 万ドルにのぼりました。最新の攻撃は規模が拡大しているうえ、動機を持つ攻撃者の手口も巧妙化が進んでいるため、従来の生産性ソリューションでは迅速に対応しきれなくなっています。こうした状況への対応に適した方法が、ゼロトラストの原則に根差し、AI を搭載した脅威防御で強化されたクラウドネイティブ アーキテクチャです。Google Workspace はこのアーキテクチャを採用しており、お客様に次のような実質的な効果をもたらします。

セキュリティの仕事は、尽きることがありません。そこで、Google は Google AI を搭載した新しいゼロトラスト、デジタル主権、脅威防御コントロールを発表し、組織がデータの安全を確保できるように支援します。

AI によるゼロトラスト制御で場所を問わず、より安全な作業を実現

ゼロトラスト セキュリティ モデルは、分散型ワークに伴うセキュリティ リスクを軽減するために欠かせない存在になりました。Workspace は、データ損失防止(DLP)やコンテキストアウェア アクセス(CAA)などの組み込みの制御を提供し、組織がゼロトラストの導入を加速して、CISA のゼロトラスト成熟度モデルのような業界のフレームワークを満たせるようサポートします。

Roche は、より安全な作業を実現するために Workspace のゼロトラストを使用してきた多くのお客様のうちの一社です。「当社では、何年もの間 VPN やオフィス ネットワーク接続からの脱却に努めています」と Roche の情報セキュリティ担当ドメインリードである Tim Ehrhart 氏は言います。「コンテキストアウェア アクセス(CAA)はアクセスを二値選択させるのではなく、アクセス ポリシーにより柔軟性を与え、適切な人、アプリケーション、データに適用できるようにすることで、リスク管理に役立っています。CAA を使用するようになってから、ユーザーは Google Workspace をより多くのシナリオで利用できるようになり、作業の安全性にも自信が持てるようになりました。」

本日は、IT チームとセキュリティ チームにデータの使用とアクセスに対してよりきめ細かい制御を提供する、次のような新しい機能をご紹介します。

  • Google AI を活用して Google ドライブでデータの分類とラベル付けを自動的かつ継続的に行うことでデータが適切に共有され、流出から保護されるようにする: 管理者は、各組織向けに独自にカスタマイズされた機密性を保持した AI モデルを使用して、ドライブ内の新規および既存のファイルを自動的に分類し、ラベル付けできます。その後、DLP や CAA などのデータ保護コントロールをセキュリティ ポリシーに基づいて適用できます。これは現在プレビュー版で利用可能です。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/4_MB_AI_Classification_Labels_GIF__nnxvCvw.gif
Google ドライブにおける、Google AI を活用した自動データ分類およびラベル付け


  • ドライブでのコンテキストアウェアな DLP 制御の適用: Workspace の管理者は、デバイスの場所やセキュリティの状況など、ユーザーがドライブで機密コンテンツを共有するために満たす必要がある条件を設定できます。この新しい機能は、意図しないデータ損失を防ぐためによりきめ細かな制御を提供するもので、今年後半にプレビュー版が利用可能になる見込みです。

  • DLP 制御の強化版を Gmail に拡張: すでに Google Chat、ドライブ、Chrome で利用可能で、セキュリティ チームが組織内外の機密情報の共有を制御するのに役立っている DLP 制御の強化版が Gmail にも導入されます。プレビュー版は今年後半に利用可能になる見込みです。

データ所在地にとどまらない、データ主権管理

企業や公共機関はデジタル主権の重要性を認識していますが、その限界を十分に理解しないままデータ所在地で妥協していることが多くあります。Workspace は、安全性が確保されたインフラストラクチャ、技術的なデータアクセス制御、業界認定資格のすべてを単一のクラウド インスタンスで提供することで、証明可能なデジタル主権を大幅に変革できます。

PwC UK は、厳しい規制要件に対応するために Workspace の主権管理を試験運用しました。「PwC UK は CSE の Gmail 試験運用に参加し、Google が PwC と当社の要件だけでなく、クライアントの要件についても、技術的なデータ境界の重要性を理解していることを目の当たりにしました」と PwC UK の英国オペレーションおよびテクノロジー担当ディレクターである Shaun Bookham 氏は言います。「Google がこの CSE とアクセス管理機能の開発に影響を与えることで急速に進化する規制要件に適応し続けると確信しており、当社は主権とコンプライアンスの最前線に立ち続けながら、体制の変革を実現できます。」

本日は、組織がデータ管理を強化するための新しい機能をご紹介します。

  • 第三者による機密データへのアクセスの防止: 暗号鍵の所有権を通じて、クライアントサイド暗号化(CSE)は、組織がデータ保護のレイヤを追加し、Google や外国政府機関などの外部エンティティからの第三者によるアクセスを防止するために役立ちます。本日は、Google カレンダー、Gmail、Meet におけるモバイルアプリのサポート(一般提供)、特定の組織部門で CSE をデフォルトに設定する機能(今年後半にプレビュー版で利用可能)、Meet でのゲストアクセスのサポート(今年後半にプレビュー版で利用可能)、Google ドキュメントでのコメントのサポート(今年後半にプレビュー版で利用可能)、Microsoft Excel ファイルの表示、編集、変換機能(プレビュー版で利用可能)など、CSE の多くの追加機能をご紹介します。

  • 暗号鍵の場所の選択: グローバルなセキュリティ プロバイダである Thales、Stormshield、Flowcrypt との戦略的パートナーシップを通じて、CSE のお客様が任意の国の信頼できるパートナーに暗号鍵を保管できるようにし、設定を簡素化して、現地の規制コンプライアンスをサポートします。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/GmailMobileCSE_R01_01-5MB_t4NkpuO.gif
CSE 保護をデフォルトで有効にして新しいメールを送信


  • データの保存場所と処理場所の選択: 現在、組織は保存データの保存場所を選択できます。今年後半に利用可能になるプレビュー版では、組織は対象となるデータを処理する場所(EU または米国)を選択できるようになります。組織は、Workspace データのコピーを任意の国に保存することもできます。

  • リージョン サポート担当者のアクセスを強制的に適用: 現在、世界中のお客様は、アクセス承認を使用して、トラブルシューティングを目的とした Google サポートアクセスを制御し、アクセスの透明性を使用して Google のアクションをモニタリングできます。さらに、お客様はアクセス管理を使用して、承認アクセスを米国ベースのサポートに制限できます。今年後半に利用可能になるプレビュー版では、お客様はアクセスを EU ベースのサポートにも制限できるようになります。

サイバー脅威を未然に防止

フィッシングなどのソーシャル エンジニアリング攻撃は、データ侵害の最も一般的なエントリ ポイントの一つです。Workspace の脅威防御コントロールは、ソーシャル エンジニアリングやその他の ID ベースの攻撃を未然に防止、検出、対応するために役立ちます。本日は、アカウントの乗っ取りからセキュリティ チームが身を守るために役立つ追加機能をご紹介します。

  • 一部の企業管理者に 2 段階認証プロセス(2SV)を義務付ける: 不正使用された管理者アカウントは甚大な影響を及ぼす可能性がありますが、2 段階認証プロセスはアカウントが不正使用される確率を 50% 減少させることができます。今年後半から、段階的なアプローチで、販売パートナー様と大企業のお客様における特定の管理者アカウントは、セキュリティを強化するためにアカウントに 2 段階認証プロセスを追加する必要があります。

  • 管理者の機密アクションに対する複数の関係者による承認の要求: Workspace 管理者は、ユーザーの 2 段階認証プロセス設定の変更など、機密性の高い操作を完了するために、別の管理者による追加の承認を必要とすることで、悪意のある行動に対して防御を徹底できます。これは、今年後半にプレビュー版で利用可能になる予定です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/MultiPartyMPA_copy.max-1700x1700.jpg
機密性の高い操作を完了するための別の管理者からのリクエストを確認


  • Gmail で機密性の高い追加操作を保護する: Google の AI による防御を拡張し、メールのフィルタリングや転送など、Gmail の機密性の高い追加操作に対して自動保護を提供しています。この保護はプレビュー版で利用可能です。

  • 数クリックでログを Chronicle にエクスポート: Workspace 管理者は、Workspace のログを Chronicle にエクスポートして異常を特定し、脅威への対応時間を改善できます。このインテグレーションはプレビュー版で利用可能です。

使ってみる

Google は、中小企業から大企業、学校、行政機関まで、お客様がセキュリティとコンプライアンスの態勢を強化し、データを安全に保つことができるよう常に取り組んでいます。詳しくは、無料トライアルをお試しいただき、技術ドキュメントを確認し、今後の Next ‘23 でのセッションにご参加いただいて、新機能を試すための早期アクセスにお申し込みください。

AI システムの安全確保に関する情報については、Google SAIF をご覧ください。これは、成長し続ける AI 技術を実務担当者が連携して安全確保するために役立つ概念的な枠組みです。


- Workspace プラットフォーム、プロダクト管理担当バイス プレジデント、Yulie Kwon Kim
- Workspace セキュリティ、プロダクト管理ディレクター、Andy Wen

投稿先