Chrome Enterprise Premium で実現する高度なChrome DLP機能

CEP による Chrome の DLP

DLPとは「Data Loss Prevention」の略で、「データ損失防止」の機能です。

「データ損失」と聞くとデータを削除してしまい無くなってしまうようなイメージを受けてしまう方もいるかも知れませんが、実際は「情報漏えい」を防止するための機能です。

Google Workspace Enterprise Standard 以上のライセンス や Cloud Identity Premium を使っていると、Google ドライブ 、Google Chat 、Gmail （ベータ版）は標準で利用可能ですが、CEPを使用すると「Chrome (ブラウザー)」に対してDLPの機能を追加することができます。

以下の画面がCEPを契約している環境と、それ以外の環境の画面の違いです。

管理コンソール > セキュリティ > アクセスとデータ管理 > データの保護 にある「ルールの管理」ページで「ルールを追加」して設定を進める設定項目が確認できます。
※デフォルトでは何のルールも設定されていません。誤ってルールを適用しないようにご注意下さい。

Chrome のDLP機能でできること

前項のスクリーンショットでも表示されていますが、CEPで追加されるChrome 関連機能は以下です。

• ファイルアップロードの制御
• ファイルのダウンロードの制御
• コンテンツの貼り付け(コピー&ペースト)の制御
• 印刷されたコンテンツ
• アクセスしたURL

この機能は、Google Workspace のサービスは関係なく、Chrome 上で表示されるWebサービスなど全てを制御の対象とすることができます。

例えば以下はソフトバンクのPrimeDrive というオンラインストレージサービスにファイルをアップロードした際にブロックした画面となります。

Chrome のDLPルールとアクセス制御機能の組み合わせ

上記のDLPルールですが、GWSの機能である「コンテキストアウェアアクセス」のアクセスレベルを割り当て、ルールを適用するための条件を設定することが可能です。
例えば以下のような組み合わせになります。
※アクセスレベルは 管理コンソール > セキュリティ > アクセスとデータ管理 > コンテキストアウェアアクセス 内で設定できます

【DLPのルール】
「ファイルサイズが0バイト以上」

【アクセスレベルのルール】
「社内のIPアドレスに一致しない」 等

このように設定すると会社のIPアドレス以外(自宅やネットカフェ)などからはChrome を通してのファイルのダウンロードができなくなります。

このようにDLPとアクセスレベルを組み合わせることで、色々なパターンのダウンロード/アップロードを制限することが可能になります。

また、CEPを使わないDLPとアクセスレベルの組み合わせの場合、Google ドライブからのダウンロード制限は「閲覧権限」のアカウントのみが対象になります。

CEPを使うとGoogle ドライブの権限がたとえ「管理者」であってもダウンロードができないように制限を掛けることが可能です。

文字の貼り付けの制御

Webサイト上のサービスに文字の貼り付けなどでの情報漏えいリスクもあるかと思います。

Chrome DLPを使うと、文字の貼り付けも制御することができます。

この機能を使うことで、例えばURLが「クラウドストレージ」のカテゴリのときに「文字の貼り付け」を禁止したり、警告を出したりすることが可能になります。
これによりファイルアップロード以外での情報漏えいも防ぐことが可能になります。
※クラウドストレージにはGoogle ドライブが含まれますが、Google ドライブのみ除外することも可能です

また、生成AI が流行っていますが、生成AI に機密情報を入力してしまうと情報が社外に漏えいしてしまうリスクがあります。

この機能を使用すると例えば生成AIのチャットへ機密情報の貼り付けを禁止することもでき、かつ、Google のGemini アプリにだけは貼り付けることができるようにすることも可能です。

以下イメージ動画になります。
画面左がGemini アプリで、右側がPerplexity Pro という生成AIになります。

この機能により、生成AIを今より安心して使うことができるようになるかと思います。

監査ログとアラートセンター

DLPのルールが適用されたかどうかは監査ログまたはアラートセンターで確認することが可能です。
誰がいつどのファイルで何をしたか(ダウンロードやアップロード)がわかるようになっています。

ダウンロードフォルダの場所(ダウンロードしたファイルのフルパス)も確認可能なため、例えば悪意のあるファイルがいつの間にかどこかにダウンロードされてたとしても気付くことができると思います。

Chrome の利用を強制する

CEPの機能が適用されるのはChrome のみになります。
Windows や Mac のデフォルトのブラウザーである Edge や Safari を使っていると適用されません。

Edge 利用の場合は LBS という機能を使うことでEdge の通信を全てChrome にリダイレクトさせることが可能です。
詳細は Windows 向けの統合LBSを設定する を参照ください。

場合によっては企業用のChrome に入れ替える必要がありますが、Active Directory などを使用してポリシー配布することで大きな手間なく設定が可能です。(.msiファイルが公開されています)
※Chrome の入れ替えは再インストール(アンインストール→インストール)ではなく上書きインストールで問題ありません

macOS の場合はデフォルトがSafari になりますが、現在はSafari の通信をChrome にリダイレクトさせることができません。
そのため、macOS の方は要注意となります。
※macOS にはそもそもダウンロードさせないようなケアが必要です

このように一部制約がありますが、会社端末としてWindows またはChromebook 端末のみ利用しているという方には利用価値の高いサービスになっているかと思います。

まとめ

Chrome Enterprise はChrome 利用においてのセキュリティ強化のためのアドオンライセンスです。
Chrome のDLP機能を使い、かつインターネットへの通信をChrome のみにすることができれば、セキュリティの強化をシンプルに達成することが可能になります。

今は社外からSlack 、Teams 、Box などでファイルのやり取りをしたいと言った要望を受けるお客様も多いと思います。

情報漏えいを気にした場合、なかなか難しい事も出てくると思いますが、ローカルの各アプリではなくChrome 利用で統一し、DLP機能を使うことである程度、情報漏えいリスクを下げることが可能になります。

Chrome Enterprise Premium を使用し、セキュリティ強化・他社とのコミュニケーションの強化を実施してみてはいかがでしょうか！

最後まで読んでいただきありがとうございました。

◆Google WorkspaceまたはGoogle Cloudに関することは、ぜひソフトバンク窓口又は担当営業までご相談下さい

関連サービス