Google Workspaceには、2021年5月10日より最高レベルのセキュリティ保護を提供する「Advanced Protection Program for Enterprise(APP for Enterprise)」が提供されています。このプログラムは、組織の機密情報を標的とした高度なサイバー攻撃からユーザーアカウントを厳重に保護します。
この記事を読んだほうが良い人
- 高度なセキュリティ対策を必要とする企業の情シス担当者
- Google Workspace環境での情報漏洩リスクを最小化したいと考えている情シス担当者
- 既存のセキュリティ対策では不十分と感じており、さらなる強化を検討している方
- Advanced Protection Program for Enterpriseの導入を検討している方
Advanced Protection Program for Enterprise(APP for Enterprise)とは
Advanced Protection Program for Enterprise(以下、APP for Enterprise)は、Google Workspace環境における最も堅牢なセキュリティ保護を提供するプログラムです。特に、組織内の要人や機密情報にアクセスするユーザー(経営層、IT管理者、法務部門など)を標的とした高度なフィッシング攻撃やアカウント乗っ取りから保護することを目的としています。
従来のAdvanced Protection Program(APP)が個人ユーザー向けに提供されてきたのに対し、APP for Enterpriseは企業・組織向けに、管理者が組織部門(OU)やセキュリティグループ単位でプログラムを適用できる機能が加わっています。これにより、企業はリスクレベルに応じて柔軟かつ強力なセキュリティ対策を講じることが可能になります。
主な保護機能
APP for Enterpriseは、以下の多層的なセキュリティ機能を提供します。
-
高強度認証の強制(物理セキュリティキー必須): フィッシング耐性のある物理セキュリティキー(FIDO準拠)の使用をユーザーに義務付けます。これにより、パスワードが漏洩しても、物理キーがなければログインできないため、フィッシング攻撃によるアカウント乗っ取りを効果的に防ぎます。
-
信頼できないサードパーティ製アプリのブロック: Google Workspaceデータへのアクセス許可を求める、信頼性の低い、または危険な可能性のあるサードパーティ製アプリケーションの接続を自動的にブロックします。これにより、悪意のあるアプリによるデータ漏洩リスクを低減します。
-
GmailとGoogleドライブの強化された保護: Gmailの添付ファイルやドライブのファイルに対して、より詳細なマルウェアスキャンとリンク保護を適用します。未知の脅威や巧妙なフィッシングリンクからユーザーを保護します。
-
Google Cloud Platform (GCP) 環境の保護: GCPプロジェクトの作成制限やSSHキーの管理強化など、GCP環境におけるセキュリティリスクも低減します。
これらの機能は、標的型攻撃やサプライチェーン攻撃など、高度化するサイバー脅威から組織を守るための重要な柱となります。
APP for Enterprise 導入のメリット・デメリット
APP for Enterpriseの導入は、組織のセキュリティ体制を大きく強化しますが、同時に考慮すべき点も存在します。
メリット
- 最高レベルのセキュリティ保護: Googleが提供する最も厳格なセキュリティ基準が適用され、特に標的型攻撃に対する耐性が飛躍的に向上します。
- アカウント乗っ取りリスクの低減: 物理セキュリティキーの強制により、フィッシング攻撃によるアカウント乗っ取りのリスクを最小限に抑えます。
- データ漏洩リスクの抑制: 信頼できないアプリのブロックやファイルのスキャン強化により、意図しないデータ流出やマルウェア感染のリスクを低減します。
- コンプライアンス要件への対応: 厳格なセキュリティ要件が求められる業界や規制に対し、高いレベルで対応できる体制を構築できます。
デメリット
- ユーザーへの影響と利便性の低下: 物理セキュリティキーの使用が必須となるため、ユーザーは常にキーを携帯し、ログイン時に使用する必要があります。これは、特に慣れないユーザーにとっては利便性の低下と感じられる可能性があります。
- 管理の手間とコスト: 物理セキュリティキーの配布、管理、紛失時の対応など、情シス側の運用負担が増加します。また、物理セキュリティキー自体の購入費用や、プログラム利用に必要なGoogle Workspaceのライセンス(Enterprise Standard、Enterprise Plus、Education Plus、Cloud Identity Premiumなど)のコストがかかります。
- 導入時の周知とトレーニングの必要性: ユーザーがスムーズに移行できるよう、導入の背景、手順、新しいログイン方法について丁寧な周知とトレーニングが不可欠です。
これらのメリットとデメリットを十分に理解し、組織のリスク許容度や運用体制に合わせて導入を検討することが重要です。
APP for Enterprise の設定手順
APP for EnterpriseをGoogle Workspace環境に導入する具体的な手順を解説します。
前提条件の確認
-
Google Workspace ライセンス: APP for Enterpriseの利用には、以下のいずれかのライセンスが必要です。
- Enterprise Standard
- Enterprise Plus
- Education Plus
- Cloud Identity Premium
-
物理セキュリティキーの準備: 対象ユーザー全員分の物理セキュリティキー(FIDO準拠)を準備します。YubiKeyやTitanセキュリティキーなどが一般的です。
Google Admin Consoleでの有効化
Google Workspace 管理コンソールからAPP for Enterpriseを有効化し、設定を行います。
-
管理コンソールにログイン: スーパー管理者権限を持つアカウントでGoogle Workspace 管理コンソールにログインします。
-
設定画面への移動:
セキュリティ>高度な保護機能プログラムへと進みます。 -
プログラムの有効化と対象の選択: 「高度な保護機能プログラム」のページで、「高度な保護機能プログラムを有効にする」ボタンをクリックします。 次に、プログラムを適用する組織部門(OU)またはセキュリティグループを選択します。通常、まずは少数の高リスクユーザーやテストユーザーを含むOU/グループに適用し、段階的に拡大することを推奨します。
-
セキュリティキーの登録強制: 選択したOU/グループに対して、セキュリティキーの登録と使用を強制する設定を行います。これにより、対象ユーザーはログイン時に物理セキュリティキーの使用が必須となります。
-
その他の保護設定の確認: APP for Enterpriseを有効にすると、以下の設定も自動的に有効になるか、または設定オプションとして提供されます。
- 信頼できないサードパーティ製アプリへのアクセスブロック: Googleデータへのアクセスを許可するアプリを制限します。
- Gmailとドライブの強化された保護: フィッシングやマルウェアに対するスキャンレベルを強化します。
これらの設定が意図通りに適用されているかを確認します。
設定を保存すると、選択したOU/グループに属するユーザーに対してAPP for Enterpriseの保護が適用されます。ユーザーは次回のログイン時にセキュリティキーの登録を求められることになります。
ユーザーへの周知とトレーニング
APP for Enterpriseの導入は、ユーザーのログイン方法に大きな変更をもたらします。スムーズな移行のためには、丁寧な周知とトレーニングが不可欠です。
導入の背景と目的の説明
なぜAPP for Enterpriseを導入するのか、その背景(組織のセキュリティ強化、情報漏洩リスク低減など)と、ユーザー自身を守るためのものであることを明確に伝えます。一方的にルールを課すのではなく、目的を共有することで理解と協力を得やすくなります。
ユーザーが準備すべきこと
- 物理セキュリティキーの取得と管理: 会社から配布される物理セキュリティキーを受け取り、
コーポレートITのご相談はお気軽に
この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。
御社の IT 部門、ここにあります。
「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。