2019年11月28日木曜日

ハイリスク ユーザーを保護する企業向けの高度な保護機能プログラムが一般提供に

この記事は 11 月 20 日に英語版ブログに掲載された記事を翻訳したものです。

こちらは Google Cloud Next ‘19 UK で発表されました。ライブ ストリームやイベントのセッションの録画は、Next OnAir からご視聴いただけます。

 

変更点について

企業向けの高度な保護機能プログラムの一般提供を開始しました。以前はベータ版が提供されていました。

ご利用対象

管理者とエンドユーザー

利点

企業向けの高度な保護機能プログラムを導入すると、組織内で標的型攻撃のリスクが最も高い従業員に対して、強化されたセキュリティ ポリシーを適用できるようになります。標的型攻撃とは、量は少ないながらも巧妙に作り込まれた攻撃であり、多くの場合仕掛けているのは、明確な目的意識と専門知識を持つ者、または政府の支援を受けたグループです。このプログラムでは IT 管理者、経営幹部に加え、金融のような規制産業や政府の職員など、このような攻撃の標的とされる可能性のある従業員を保護することができます。

高度な保護機能プログラムに現在含まれている各ポリシーの適用は、プログラムをご利用いただかなくても可能です。ただし、企業向け高度な保護機能プログラムを利用すれば、組織内のハイリスク ユーザーに対して効果的なアカウント セキュリティ設定を一括で適用することができます。プログラムは随時進化し、ユーザーには Google の最も強固なアカウント セキュリティが継続的に適用されます。

ご利用方法

  • 管理者: 
    • デフォルトで、すべてのユーザーがプログラムに登録できます。ユーザーに対してプログラム登録をオフにするには、管理コンソール > [セキュリティ] > [高度な保護機能プログラム] で組織部門ごとに設定します。
    • ベータ版をご利用の場合: ベータ版ではユーザーによる登録がオフになっており、管理者が明示的にオンにする必要がありました。一般提供の開始をもって、すべてのユーザーに対してデフォルトでオンになります。ベータ版でオンにしてから再びオフにしたユーザーについては、設定はオフのままです。このようなユーザーが登録するには管理者が設定をオンにする必要があります。
    • 詳しくは、企業向け高度な保護機能プログラムについてのヘルプセンター記事をご覧ください。
  • エンドユーザー: 有効になったら、g.co/advancedprotection にアクセスして [使ってみる] をクリックすると、プログラムに登録できます。

詳細

高度な保護機能プログラムでユーザーに適用されるポリシー 

プログラムに登録したユーザーには次のようなポリシーが適用されます。
  • フィッシング対策に効果的なセキュリティ キー(Titan セキュリティ キーなど)の使用を必須とする。
  • 管理者が明示的に信頼していないほとんどのサードパーティ製アプリの、ドライブや Gmail データへのアクセスを自動的にブロックする。
  • メールに対し、高度な脅威検出スキャンを実施する。
  • 高度な保護機能プログラムに登録したアカウントで Google Chrome にログイン中、特定のファイル形式のダウンロードに対して Google セーフ ブラウジングによる保護を適用する。
詳しくは、セキュリティ ポリシーについてのヘルプセンター記事をご覧ください。

高度な保護機能プログラムのユーザーに関する要件

高度な保護機能プログラムは G Suite と Cloud Identity をご利用の組織の全ユーザーが登録できます。ただし、管理者は一部またはすべてのユーザーに対してプログラムへの登録をオフにすることができます。ユーザーが高度な保護機能プログラムに登録する際の要件は次のとおりです。
  • 2 つのセキュリティ キーを登録する(1 つはバックアップ用)。
  • 今後のすべてのデバイスでのログインに、パスワードとセキュリティ キーを使用する。ユーザーはプログラムへの登録時にすべてのデバイスからログアウトされます。
詳細と要件については、ユーザーが各自で g.co/advancedprotection にアクセスしてプログラムに登録する際に表示されます。

今後のデフォルト: リモート アクセス以外で使用するセキュリティ コードの生成を許可する 

ベータ版でのオプションは、高度な保護機能プログラムに登録したユーザーにセキュリティ コードの使用を許可するかどうかの 2 択でした。今後はオプションが 3 つになります。新しいオプションは [リモート アクセス以外で使用するセキュリティ コードの生成を許可する] です。これを選択すると、ユーザーは同じデバイスまたはローカル ネットワークで生成したセキュリティ コードのみを使用できるようになります。

この新オプション([リモート アクセス以外で使用するセキュリティ コードの生成を許可する])が、新規ユーザーと既存ユーザーのデフォルトになります。ベータ版の期間中にセキュリティ コードを使用できなかったユーザーも、ドメインに一般提供版が展開された時点で、リモート アクセス以外でセキュリティ コードを使用できるようになります。なお、ベータ版で [セキュリティ コードを許可] を選択していた場合は、ドメインに一般提供版が展開された後もその設定が維持されます。

一部または全部のユーザーに対してこの設定を変更する場合は、管理コンソール > [セキュリティ] > [高度な保護機能プログラム] に移動し、次のいずれかを選択します。
 
  • ユーザーがセキュリティ コードを生成できないようにする
  • リモート アクセス以外で使用するセキュリティ コードの生成を許可する(デフォルト)
  • リモート アクセスで使用するセキュリティ コードの生成を許可する

詳しくは、セキュリティ コードに関する新しいオプションについてのヘルプセンター記事をご覧ください。
 
ユーザーが高度な保護機能プログラムにオプトインできるかどうかは管理者が設定します
 

関連情報

高度な保護機能プログラムの概要と登録: g.co/advancedprotection 
ヘルプセンター: 高度な保護機能プログラムでユーザーを保護する
 

リリース時期

公開の詳細
  • 即時リリースを利用しているドメイン: 2019 年 11 月 20 日以降、段階的に展開(機能をご利用いただけるようになるまでに 15 日以上かかる場合があります)
  • 計画的リリースを利用しているドメイン: 2019 年 11 月 20 日以降、段階的に展開(機能をご利用いただけるようになるまでに 15 日以上かかる場合があります)
  • 注: 管理コンソール > [セキュリティ] > [高度な保護機能プログラム] に移動したときに「ベータ版」と表示された場合は、まだ展開が完了していません。
G Suite のエディション 
G Suite のすべてのエディションが対象

デフォルト設定 
この機能はデフォルトで有効になっていますが、組織部門単位で変更できます。

G Suite の最新のリリース情報を入手する