2018 年 5 月 7 日開始: Chrome でのログインフローのセキュリティを強化
2018年5月11日金曜日
この記事は 4 月 25 日に英語版ブログに掲載された記事を翻訳したものです。
ユーザーの G Suite サービスへのログインに SAML を利用している組織では*、ユーザーが Chrome ウェブブラウザを使用してログインしようとすると、追加の手順を示す画面が表示されるようになります。2018 年 5 月 7 日からは、SAML プロバイダのウェブサイトでログインすると accounts.google.com に移動し、表示された新しい画面で本人確認を行うことになります。この画面によってセキュリティが一層強化され、攻撃者が作成、管理するアカウントにユーザーがそうとは知らずログインしてしまうことを防止できます。
作業の中断を最小限に抑えるために、この画面は端末ごと、アカウントごとに 1 回だけ表示されます。これをさらに臨機応変に対応できる機能にして、長期的にはこの画面の表示回数が減るよう取り組んでいるところです。
フィッシング攻撃からの保護
この新しい画面の目的は、(フィッシング詐欺などで)ユーザーがクリックしたリンクから、攻撃者が管理する Google アカウントに確認もなく即時ログインしてしまうのを防ぐことです。現在、SAML シングル サインオン(SSO)ではユーザーが操作しなくてもログインが完了するため、別のアカウントにログインしても気付かない恐れがあります。そこで、Chrome ユーザーを保護するためにこの画面を追加しました。
共通の ID の作成
この新しいセキュリティ機能は、Google ウェブサービス(Gmail など)と Chrome ブラウザのネイティブ サービス(Chrome Sync など)間で共通の ID を使用できるようにするという大規模プロジェクトの一部です。ID を共通化することで、ログインした G Suite ユーザーは Chrome ブラウザのネイティブ機能を利用しやすくなりますが、認証時の保護を強化する必要があります。この新しい画面により保護が強化され、SAML SSO の悪用によって偽のアカウントにユーザーがログインしてしまうリスクを減らすことができます。
新しい画面の無効化
組織で新しい画面を表示しないようにするには、管理者が X-GoogApps-AllowedDomains HTTP ヘッダーを作成してドメインを指定し、そのドメインのユーザーが Google サービスにアクセスできるようにします。それらのドメインのユーザーはそのドメインのアカウントを信頼していると考えられるため、これらのユーザーには追加の画面が表示されません。このヘッダーは、Chrome で AllowedDomainsForApps グループ ポリシー (英語) を使用して設定できます。
*G Suite サービスに直接ログインする場合、および G Suite や Cloud Identity を ID プロバイダとして使用している場合は、影響を受けません。Chrome OS が搭載された端末にもこの画面は表示されません。
リリースの詳細
リリース方式:
2018 年 5 月 7 日の即時リリースと計画的リリースの両方が対象
エディション:
G Suite のすべてのエディションが対象
展開ペース:
拡張的に展開(機能が表示されるまでに 15 日以上かかる可能性があります)
対象:
すべてのユーザー
対応:
必要に応じてチェンジ マネジメントを推奨
リリース カレンダー(英語)
リリースの詳細のカテゴリ
サービスに関する更新情報のアラートをメールで受け取る
更新情報の RSS フィードを購読する
作業の中断を最小限に抑えるために、この画面は端末ごと、アカウントごとに 1 回だけ表示されます。これをさらに臨機応変に対応できる機能にして、長期的にはこの画面の表示回数が減るよう取り組んでいるところです。
フィッシング攻撃からの保護
この新しい画面の目的は、(フィッシング詐欺などで)ユーザーがクリックしたリンクから、攻撃者が管理する Google アカウントに確認もなく即時ログインしてしまうのを防ぐことです。現在、SAML シングル サインオン(SSO)ではユーザーが操作しなくてもログインが完了するため、別のアカウントにログインしても気付かない恐れがあります。そこで、Chrome ユーザーを保護するためにこの画面を追加しました。
共通の ID の作成
この新しいセキュリティ機能は、Google ウェブサービス(Gmail など)と Chrome ブラウザのネイティブ サービス(Chrome Sync など)間で共通の ID を使用できるようにするという大規模プロジェクトの一部です。ID を共通化することで、ログインした G Suite ユーザーは Chrome ブラウザのネイティブ機能を利用しやすくなりますが、認証時の保護を強化する必要があります。この新しい画面により保護が強化され、SAML SSO の悪用によって偽のアカウントにユーザーがログインしてしまうリスクを減らすことができます。
新しい画面の無効化
組織で新しい画面を表示しないようにするには、管理者が X-GoogApps-AllowedDomains HTTP ヘッダーを作成してドメインを指定し、そのドメインのユーザーが Google サービスにアクセスできるようにします。それらのドメインのユーザーはそのドメインのアカウントを信頼していると考えられるため、これらのユーザーには追加の画面が表示されません。このヘッダーは、Chrome で AllowedDomainsForApps グループ ポリシー (英語) を使用して設定できます。
*G Suite サービスに直接ログインする場合、および G Suite や Cloud Identity を ID プロバイダとして使用している場合は、影響を受けません。Chrome OS が搭載された端末にもこの画面は表示されません。
リリースの詳細
リリース方式:
2018 年 5 月 7 日の即時リリースと計画的リリースの両方が対象
エディション:
G Suite のすべてのエディションが対象
展開ペース:
拡張的に展開(機能が表示されるまでに 15 日以上かかる可能性があります)
対象:
すべてのユーザー
対応:
必要に応じてチェンジ マネジメントを推奨
リリース カレンダー(英語)
リリースの詳細のカテゴリ
サービスに関する更新情報のアラートをメールで受け取る
更新情報の RSS フィードを購読する