G Suite で管理者がフィッシングからアカウントを保護する 7 つの方法
2017年9月21日木曜日
この記事は 9 月 8 日に英語版ブログに掲載された記事を翻訳したものです。
(The Keyword(英語)に同じ内容が投稿されています)
投稿者: Nicolas Kardas(プロジェクト マネージャー Gmail セキュリティ)、Sam Lugani(セキュリティ プロダクト マーケティング G Suite)
Google ではフィッシング攻撃からお客様の企業を保護するため、機械学習の活用をはじめ、検出アルゴリズムの調整、目に見えない攻撃を事前検知する機能の構築に努めています。外部からの攻撃をできる限り多くブロックすると同時に、IT 管理者が社内でしっかりしたフィッシング対策を施せるような各種機能の構築、提供も継続的に行っております。
ここでは、G Suite 管理者が従業員データをより安全に保護するために役立つおすすめの方法を 7 つご紹介します。
1. 2 段階認証プロセスを適用する
2 段階認証プロセス(2SV)は、誰かにパスワードを知られた場合にもアカウントに対するアクセスを防止できる優れた方法です。G Suite では、管理者が 2 段階認証プロセスを必須に設定できます。2 段階認証プロセスを適用するとログインの際、従業員に対して追加の本人確認が求められるので、フィッシング攻撃が成功するリスクを減らせます。追加の本人確認はスマートフォン プロンプト、音声通話、モバイルアプリ通知などの形で行われます。
G Suite はユーザー管理型のセキュリティ キーにも対応しています。これは簡単に使用できる認証システム ハードウェアです。セキュリティ キーの使用を必須にするかどうかは、管理者が選択できます。セキュリティ キーの使用を必須にすると、盗難にあった認証情報がアカウントの不正使用に利用されるリスクを減らせます。セキュリティ キーは暗号化された署名を送信し、許可したサイトでのみ機能します。セキュリティ キーは管理コンソールから直接導入、監視、管理できます。
2. Chrome にパスワード アラート拡張機能を導入する
Chrome のパスワード アラート拡張機能は、ユーザーがアクセスした各ページについて Google のログインページになりすましたページではないか確認し、ユーザーが Google のログインページではないページに G Suite の認証情報を入力していないかどうかを管理者に通知します。
管理者は Google 管理コンソールにログインするとすぐに Chrome のパスワード アラート拡張機能の導入を必須にできます([端末管理] > [アプリの管理] > [パスワード アラート])。[ユーザー設定] と [公開セッションの設定] の両方の下にある [強制的にインストール] のチェックをオンにする必要があります。
また、管理者はパスワード アラートの監視を有効にし、G Suite の認証情報がフィッシング サイトなどの信頼されていないウェブサイトで使用された場合にメールアラートを送信したり、パスワード変更ポリシーを適用したりすることもできます。
3. 信頼できるアプリにのみデータへのアクセスを許可する
OAuth のアプリのホワイトリスト登録を利用すると、ユーザーの G Suite データにアクセスできるアプリを指定できます。この設定を行うと、ユーザーが各自の G Suite アプリのデータへのアクセスをホワイトリスト登録されているアプリにのみ許可できるようになります。その結果、悪意のあるアプリにだまされて、承認されていないアクセスをうっかり許可することがなくなります。アプリのホワイトリスト登録は、管理者が管理コンソールの [G Suite の API 権限] の下で行えます。
4. 組織の DMARC ポリシーを公開する
フィッシング攻撃やなりすましでお客様の企業の評判に傷が付くことのないよう、G Suite は DMARC 標準に準拠しています。DMARC に準拠していると、承認されていないメールがお客様のドメインから届いた場合に Gmail などの参加メール プロバイダがどのように処理するかについて、ドメインのオーナーが簡単に決定できるようになります。ポリシーを定義して DKIM メール署名を有効にすると、お客様の組織を送信元とするメールについて、本当に送信元かどうか確認することができます。
5. サードパーティのメール クライアントからの不必要なアクセスを無効にする
Gmail クライアント(Android、iOS、ウェブ)には、Google セーフ ブラウジングを使ったフィッシング対策が組み込まれており、不審なリンクや添付ファイルの無効化、ユーザーが不審なリンクをクリックしないよう警告する表示などのセキュリティ対策が行われます。
管理者が POP と IMAP、Google Sync、G Suite Sync for Microsoft Outlook を無効にするよう選択すると、G Suite の大部分のユーザーが Gmail クライアントのみを使用するようにして Gmail クライアントから提供される組み込みフィッシング対策を適用させることができます。この他の対策として、以前にブログでもお伝えした、OAuth のアプリのホワイトリスト登録を有効にしてサードパーティ クライアントをブロックする方法などもあります。
注: 上記の対策を実施すると、ネイティブ モバイル メール クライアントを含むすべてのサードパーティ メール クライアントの動作は停止します。
6. 外部への返信に関する警告に注意するようチームに呼びかける
デフォルトでは、定期的なやり取りがないか、連絡先に含まれていないドメイン外部の送信元から送信されたメールに対して G Suite ユーザーが返信しようとすると、Gmail クライアント(Android、ウェブ)から警告が通知されるようになっています。警告を通知することで、企業内のユーザーが悪意ある人物から送信された偽装メールに返信するのを防止でき、間違った連絡先にメールを送るという昔からある単純な人為的ミスも防げます。こうした警告を確認し、承認されていない送信元に対して返信する前には注意を払うよう、従業員の皆様にお伝えください。意図しない外部への返信に関する警告は、管理コンソールの Gmail の [詳細設定]で管理できます。
7. Android の仕事用プロファイルの使用を必須にする
仕事用プロファイルを利用すると、お客様の組織で使用するアプリと個人的に使用するアプリを分けられるので、企業データと個人データを分離しておくことができます。G Suite に組み込まれている端末管理の機能を使って仕事用プロファイルの使用を必須とすれば、企業データにアクセスするアプリをホワイトリストに登録し、提供元不明のアプリのインストールをブロックすることが可能になります。このようにして企業データにアクセスできるアプリを管理することができます。
投稿者: Nicolas Kardas(プロジェクト マネージャー Gmail セキュリティ)、Sam Lugani(セキュリティ プロダクト マーケティング G Suite)
Google ではフィッシング攻撃からお客様の企業を保護するため、機械学習の活用をはじめ、検出アルゴリズムの調整、目に見えない攻撃を事前検知する機能の構築に努めています。外部からの攻撃をできる限り多くブロックすると同時に、IT 管理者が社内でしっかりしたフィッシング対策を施せるような各種機能の構築、提供も継続的に行っております。
ここでは、G Suite 管理者が従業員データをより安全に保護するために役立つおすすめの方法を 7 つご紹介します。
1. 2 段階認証プロセスを適用する
2 段階認証プロセス(2SV)は、誰かにパスワードを知られた場合にもアカウントに対するアクセスを防止できる優れた方法です。G Suite では、管理者が 2 段階認証プロセスを必須に設定できます。2 段階認証プロセスを適用するとログインの際、従業員に対して追加の本人確認が求められるので、フィッシング攻撃が成功するリスクを減らせます。追加の本人確認はスマートフォン プロンプト、音声通話、モバイルアプリ通知などの形で行われます。
2. Chrome にパスワード アラート拡張機能を導入する
Chrome のパスワード アラート拡張機能は、ユーザーがアクセスした各ページについて Google のログインページになりすましたページではないか確認し、ユーザーが Google のログインページではないページに G Suite の認証情報を入力していないかどうかを管理者に通知します。
管理者は Google 管理コンソールにログインするとすぐに Chrome のパスワード アラート拡張機能の導入を必須にできます([端末管理] > [アプリの管理] > [パスワード アラート])。[ユーザー設定] と [公開セッションの設定] の両方の下にある [強制的にインストール] のチェックをオンにする必要があります。
3. 信頼できるアプリにのみデータへのアクセスを許可する
OAuth のアプリのホワイトリスト登録を利用すると、ユーザーの G Suite データにアクセスできるアプリを指定できます。この設定を行うと、ユーザーが各自の G Suite アプリのデータへのアクセスをホワイトリスト登録されているアプリにのみ許可できるようになります。その結果、悪意のあるアプリにだまされて、承認されていないアクセスをうっかり許可することがなくなります。アプリのホワイトリスト登録は、管理者が管理コンソールの [G Suite の API 権限] の下で行えます。
フィッシング攻撃やなりすましでお客様の企業の評判に傷が付くことのないよう、G Suite は DMARC 標準に準拠しています。DMARC に準拠していると、承認されていないメールがお客様のドメインから届いた場合に Gmail などの参加メール プロバイダがどのように処理するかについて、ドメインのオーナーが簡単に決定できるようになります。ポリシーを定義して DKIM メール署名を有効にすると、お客様の組織を送信元とするメールについて、本当に送信元かどうか確認することができます。
5. サードパーティのメール クライアントからの不必要なアクセスを無効にする
Gmail クライアント(Android、iOS、ウェブ)には、Google セーフ ブラウジングを使ったフィッシング対策が組み込まれており、不審なリンクや添付ファイルの無効化、ユーザーが不審なリンクをクリックしないよう警告する表示などのセキュリティ対策が行われます。
管理者が POP と IMAP、Google Sync、G Suite Sync for Microsoft Outlook を無効にするよう選択すると、G Suite の大部分のユーザーが Gmail クライアントのみを使用するようにして Gmail クライアントから提供される組み込みフィッシング対策を適用させることができます。この他の対策として、以前にブログでもお伝えした、OAuth のアプリのホワイトリスト登録を有効にしてサードパーティ クライアントをブロックする方法などもあります。
注: 上記の対策を実施すると、ネイティブ モバイル メール クライアントを含むすべてのサードパーティ メール クライアントの動作は停止します。
デフォルトでは、定期的なやり取りがないか、連絡先に含まれていないドメイン外部の送信元から送信されたメールに対して G Suite ユーザーが返信しようとすると、Gmail クライアント(Android、ウェブ)から警告が通知されるようになっています。警告を通知することで、企業内のユーザーが悪意ある人物から送信された偽装メールに返信するのを防止でき、間違った連絡先にメールを送るという昔からある単純な人為的ミスも防げます。こうした警告を確認し、承認されていない送信元に対して返信する前には注意を払うよう、従業員の皆様にお伝えください。意図しない外部への返信に関する警告は、管理コンソールの Gmail の [詳細設定]で管理できます。
仕事用プロファイルを利用すると、お客様の組織で使用するアプリと個人的に使用するアプリを分けられるので、企業データと個人データを分離しておくことができます。G Suite に組み込まれている端末管理の機能を使って仕事用プロファイルの使用を必須とすれば、企業データにアクセスするアプリをホワイトリストに登録し、提供元不明のアプリのインストールをブロックすることが可能になります。このようにして企業データにアクセスできるアプリを管理することができます。
上記のような手順でお客様の組織のセキュリティ対策を改善し、フィッシング攻撃への耐性を高めることができます。詳しくは、gsuite.google.com/security をご覧いただくか、2017 年 9 月 20 日のセキュリティ ウェブセミナーにご登録ください。このウェブセミナーでは Forrester による新しいセキュリティ関連の研究について取り上げ、サイバーの脅威にクラウドで効果的に立ち向かう方法のデモを行います。