フォーム読み込み中
突然ですが、Google Workspace (以下、GWS) 提供の Context-Aware Access (コンテキスト アウェア アクセス) ってご存じですか?
多くの企業では、契約業者による社内リソースへのアクセスを制限したいと考えています。現在、多数の企業はIPアドレス制御をよく使っています。
しかし、IPアドレスだけでは制限が十分ではなく、OSの種類やバージョン、暗号化、会社所有デバイスなどの属性により、社内リソースにアクセスすることを一括で管理したくなるとおもいます。そんな場合、Context-Aware Accessの出番です。
Context-Aware Accessを使って、特定の組織部門やグループ、アプリケーション(またはアプリケーション群)にアクセスレベルを割り当てようとすると、アプリケーションの数やアクセスレベルの数を減らすように求めるエラーメッセージが表示されることがあります。
そこで、本記事はContext-Aware Accessの簡単な紹介と、一部の機能を抜粋して説明致します。
はじめに
Context-Aware Accessとは、アクセス制御の機能になり、ユーザ ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリに対する詳細なアクセス制御ポリシーを作成でき、それらに基づいてアクセス制御が行えます。
※現段階では、この機能はEnterprise Standard以上のライセンスプランのみが利用可能です。
組織部門またはグループの全てのメンバーに 2 段階認証プロセスを適用するなどのアクセス ポリシーも引き続き設定できます。コンテキストアウェア アクセスを使用することで、さらにきめ細かく、コンテキストに応じてユーザを制御することができます。
現在流行っているゼロトラストネットワークとは違い、従来型のネットワークのセキュリティ対策は、ファイアウォールなどの境界を設け、境界でリスクを遮断するセキュリティ対策です。
その従来型のネットワークのセキュリティ対策の一つは「IPアドレスによる制限」、ほとんどの企業はインターネットの出口に指定される複数のグローバルIPしか社内システムにアクセスできなく、それ以外のグローバルIPからアクセスさせないといったポリシーを作成することにより、社外からのアクセスは拒否することが可能になります。
そこで、本記事は「Context-Aware AccessのIPアドレスによる制限」、「アクセスレベルの設定」、「Context-Aware Accessのremediatorの使用方法」などについて紹介させていただきます。
アクセス制御の使用可能範囲
アクセス制御可能な機能は、Google Workspace のコアアプリケーションに限られます。
※コンシューマ向けサービスをGoogle Workspaceのアカウントでログインする際に、アクセス制御は対象となっていません。(例:Youtube、Googleマップ、Google Translate)
詳細は以下の通りとなります。
アクセス制御の条件
IPアドレスによる制限
社員、パートナー、社外の協力者、クライアントなどが必要とする IP の範囲を特定します。
IPアドレス以外の制限 (一部)
- アクセス元の地域
- 国ごとに設定して制限することができる。
- デバイスポリシー
- 管理者の承認を必須にすること
- 会社所有デバイスを必須にすること
- 画面ロックを必須にすること
- デバイスの暗号化を必須にすること
- デバイスのOS
- 指定できる対象のOSは以下の通りです。
- Windows OS
- Mac OS
- Linux OS
- iOS
- Android OS
- Chrome OS
操作手順(IPアクセスによる制限)
Context-Aware AccessはGoogle Workspaceの「組織」単位で設定が可能です。
本番に設定するとき以外はルートや、一般社員の方が所属する組織で設定しないよう、十分注意をしてください。
アクセスレベルの設定
まずはアクセスレベルを設定する必要があります。コンソールの右上にある「アクセスレベルを作成」をクリックすると条件編集画面になります。
1. 名前と説明を記載します。
※アクセスレベルとは、アプリケーションの利用範囲が定義されたポリシーです。
2. 条件は一つ設定を確定すると、次の条件があれば、「AND」か「または」で条件付けてから設定をし続けます。
条件の中には「属性」があり、ターゲットの属性を選択します。
※属性により、詳しい設定事項があります。
下記に2つの例をあげます。
- 属性 [アクセス元の地域] には、[次に一致] の詳細設定があり、その中から目標の国を選択できます。
- 属性 [デバイスのos] には、macosやWindowsなどの詳細選択肢があり、更にバージョンを指定することもできます。
同じ条件に複数の属性を追加したい場合に、「属性を追加」をクリックする必要があります。その時に属性は必ずANDで成立するため、相反な属性を設定しないように注意してください。
「または」の新しい条件を追加したい場合に、「条件を追加」をクリックし、複数の属性は新しい条件の中で「AND」で複数を設定できます。
※新しい条件を追加する際に、条件を個別に管理する目的などにより、必ずしも「または」を選ぶわけではなく、「AND」でつながる新しい条件でも作成することがあります。
条件を作成完了後、「保存」をクリックする必要があります。
アクセスレベルの割当
アクセスレベルを作成した後、作成の条件を①どの組織の②どのアプリに割り当てるかを選択します。アクセスレベルの割り当てを開くと、左ペインに組織ツリーがあり、右ペインにアプリの一覧が表示されます。
本検証はcma-usersを選び、Gmailに割り当てることにします。
※アクセスレベルが割り当てされている組織はツリーに「●」が付きますので、左ペインにある組織ツリーで判断してください。
Gmailを選択するとダイアログが表示され、先ほど作成したアクセスレベルが一覧表示されるので選択して保存します。
追加説明:
「Googleのデスクトップ アプリとモバイルアプリに適用する」をチェックボックスに入れると、デスクトップアプリ、モバイルアプリにも適用されるようにしておきましょう。 ここをチェックしない場合は、Webブラウザからのアクセスだけがコンテキストアウェアアクセスの対象になります。
ユーザへのメッセージの設定
事前に設定したアクセス条件を満たさずアクセスが禁止された場合に、ブラウザやアプリに表示されるメッセージはカスタマイズ可能です。
そして、今年6月にContext-Aware Access Remediator は更新され、アクセス拒否のためのより多くのコンテキストを提供することができるようになりました。
その更新されたエンドユーザのRemediatorにより、管理者はアクセスが拒否された理由と、アクセスを復元するために実行する必要がある手順についての詳細をユーザに提供できます。
故に、本記事はこの更新されたスマートな修復メッセージを検証することにしました。
しかし、デバイスやOSなどの属性を含めて全てのアクセス拒否原因を検証することが長くなるので、今回はIPアドレスによるアクセス拒否のみを検証します。
詳しくは、管理者が修復を有効にすると、修復が有効かどうかを示すメッセージが管理コンソールに表示されます。各修復アクションは、アクセスが拒否される原因となっている属性に対応しています。エンド ユーザに表示される可能性のある修復アクションのリストについては、ヘルプ センターにアクセスしてください。
Context-Aware Access Remediator (修復機能)
Context-Aware Accessは、ユーザのデバイスが組織の IT ポリシーに準拠しているかどうかなどの状況に基づいて、そのユーザがどのアプリにアクセスできるかを制御することが可能ですが、ユーザが自分でもContext-Aware Accessでのアプリのブロックを解除できるように、Context-Aware Accessの修復メッセージとカスタムメッセージという機能を2022年6月にリリースされました。
その新機能を使用すると、
- ユーザ ID、場所、デバイスのセキュリティ状態、IP アドレスなどの属性に基づいて、アプリへのきめ細かいアクセス制御ポリシーを作成することができます。
- ユーザのデバイスがITポリシーに準拠しているかどうかなど、ユーザのコンテキストに基づいて、ユーザがアクセスできるアプリを制御することができます。
- 2 段階認証などのアクセスポリシーは、組織単位またはグループの全てのメンバーに対して設定することができます。
※Context-Aware Accessは、これらのユーザに対して、さらにきめ細かいコンテキストに基づく制御を提供します。アプリのアクセスは、アクセスが許可された後、継続的に評価されます。ただし、SAMLアプリは例外で、サインイン時に評価されます。
ブロックされると、ユーザにはメッセージが表示されます。そのメッセージには以下のような3種類があります。
・デフォルトメッセージ
修復メッセージまたはカスタムメッセージを追加していない場合に表示されます。
組織のポリシーにより、このアプリへのアクセスがブロックされています。
- 修復メッセージ
ユーザをブロックした特定のポリシー違反に対応するかたちで、 修復メッセージはシステムによって生成され、デフォルトのメッセージに自動で置き換わります。 修復メッセージは、ユーザにいくつかの修復オプションを提示できます。
これらのオプションは、[その他のオプションを表示] をクリックして展開できます。複数の修復オプションの場合、ユーザは、使用可能なオプションのいずれか1つを実行して、自分自身のブロックを解除するための手順を完了する必要があります。
- カスタムメッセージ
ブロックを解除するための追加のアドバイスやクリックするのに役立つリンクなど、ユーザに特定のヘルプを追加します。
必要に応じてカスタムメッセージを追加します。カスタムメッセージは、デフォルトメッセージまたは修復メッセージと組み合わせて表示できます。
修復メッセージについて
| 属性 | メッセージ |
|---|---|
| 地域コード | 現在いる場所から、このアプリにアクセスすることはできません。詳しくは、管理者までお問い合わせください。 |
| 画面ロック | デバイスで画面ロック パスワードを設定してください。 |
| デバイスから画面ロック パスワードを削除してください。なお、この操作を行うとセキュリティが低下する可能性があるため、管理者に確認することが必要になる場合もあります。 | |
| 承認済みの Chrome OS | デバイスに検証済みの Chrome OS をインストールしてください。 |
| 検証済みの Chrome OS ではこのアプリにアクセスできません。 | |
| 管理者の承認 | 組織で承認されているデバイスに切り替えてください。アクセス権がない場合は、管理者にお問い合わせください。 |
| 組織に関連付けられていないデバイスに切り替えてください。なお、この操作を行うとセキュリティが低下する可能性があるため、管理者に確認することが必要になる場合もあります。 | |
| 会社所有デバイス | 組織が所有するデバイスに切り替えてください。アクセス権がない場合は、管理者にお問い合わせください。 |
| 組織が所有していないデバイスに切り替えてください。 | |
| 暗号化 | 暗号化ステータスが [ステータス 1、ステータス 2] のいずれかのデバイスに切り替えてください。 |
| 暗号化ステータスが [ステータス] 以外のデバイスに切り替えてください。 | |
| OS の種類 | 以下のいずれかを搭載したデバイスに切り替えてください: [OS1、OS2] |
| [OS1] を搭載していないデバイスに切り替えてください。 | |
| OS バージョン | デバイスを [OS バージョン X] 以降に更新してください。 |
| OS を [OS バージョン X] より前のバージョンにダウングレードしてください。 | |
| IP アドレス | 現在の IP サブネットワークから、このアプリにアクセスすることはできません。詳しくは、管理者までお問い合わせください。 |
| パートナー属性 | デバイスに [パートナー名] をインストールします1。 |
| デバイスが一部の要件を遵守していません([パートナー名] からの情報に基づく)2。 |
IPアクセスによる機能検証
検証パターン
修復メッセージ、カスタムメッセージ設定の組み合わせによる表示メッセージの確認を行いました。
- 検証パターン1
- 検証パターン2
- 検証パターン3
- 検証パターン4
使用推薦のコンテキスト
- 会社支給のデバイスからのみアプリにアクセスできるようにします。
- 会社支給のデバイスからしかアプリを利用できないようにしたい場合 ・ユーザのストレージデバイスが暗号化されている場合のみ、ドライブへのアクセスを許可したい場合。
- 企業ネットワーク外からのアプリへのアクセスを制限します。
また、1つのポリシーに複数のユースケースを組み合わせることも可能です。たとえば、会社が所有し、暗号化され、最小限のOSバージョンを満たすデバイスからのアプリアクセスを要求するアクセスレベルを作成することができます。
まとめ
本記事は、「Context-Aware AccessのIPアドレスによる制限」、「アクセスレベルの設定」、「remediatorの使用方法」、及び「簡単な検証内容」についてまとめました。
Context-Aware Accessのアクセス制限機能については、まだまだ他の選択肢があります。今回はIPアドレスによる制限を説明しました。自社のセキュリティ方針に基づいて、Context-Aware Accessを利用して適切なアクセス制御方法を選んでいただければと思います。引き続き、Context-Aware Accessにおいて別の選択肢の紹介と検証の記事を作成する予定です。
現段階、本機能を利用できる主要なプランはenterterprise plusなので、他の環境でライセンスが割り当てられているユーザのみが本機能にアクセスできます。
今回ご紹介したContext-Aware AccessのIPアドレス制御以外、別のアクセス制御方法を含めて、情報システム部門の方とも十分ご検討、ご相談の上最適な形で決定いただければと思います。
最後まで読んでいただきありがとうございました。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
