セキュリティは複雑であるべきではない。--そう公式ブログで切り出すG SuiteのプロダクトマネージャーChad Tyler氏とSecurity Product MarketingのSam Lugani氏。私たちの製品は、情報漏えい抑止やeDiscovery(電子証拠開示制度)のような課題にも直感的に操作できる"Bank Vault"(銀行の保管室)のようなもので、できるだけユーザーに負担をかけずに理解を進められるように設計しているとその操作性をアピールしている。映画などよく見かける分厚い円形上の扉の奥にある銀行の保管室。分厚い扉自体は、見た目そのまま開けるか閉じるかのシンプルな操作だが、堅く守られている。ブログでは簡単に見直せるG Suiteプロダクトのセキュリティコントロールに関する8ステップを紹介している。
1.Hanghoutsのドメイン外警告
アジャイルな情報のやりとりには欠かせないチャットツール。ドメイン外部とのやりとりを行う場合には、管理者はthe Admin console dashboardのGoogle Hangoutsの設定で外部者とのやりとりへの注意喚起の項目にチェックを入れておくように促している。ソーシャルエンジニアリングが、大きな侵入経路をもたらす原因のひとつであることは古くから言われていることだ。
2.Gmailの自動転送を無効にする
Gmailの自動転送機能は便利な機能。しかし仮に送信先に間違いがあり、気付かずに継続的に転送し続けていたならば、重要情報は常に漏れ続けるとsいうことにも成りかねない。管理に自信がない組織はGmailの自動転送機能をオフにすることも考慮すべきであろう。
3.早期フィッシング探知を有効にする
Early phishing detectionを有効にしておけば、Googleの機械学習能力が活かされている分析を使ったフィッシングメール対策を行える。平均0.05パーセントという少数のメールが分析により数分単位の遅れを生じるだけだと機能の有効化を促している。
4.OAuthによるアクセスを行うサードパーティーアプリのホワイトリスト化
サードパーティ製サービスやアプリからのOAuthによる認証は、便利な機能だがセンシティブなデータやアクセスさせたくないデータが保管される企業データでは、これを管理する必要がある。7月に公式ブログで発表しているG Suite Admin consoleからのアプリケーションコントロールを紹介している。
5.Unintended external reply warning機能(意図しない外部への返信警告)
組織外へのメールへの注意表示。そもそも組織外部へのメール送信自体に情報漏えいの可能性が備わっていることは念頭に置かなければならない。デフォルトでオンになっているこの機能は、文脈やコンタクトリストを判断しながらクイックで注意を促している。
6.カレンダーの共有オプションの設定
何気なく使うカレンダーでも見る人によっては重要なデータとなる場合もある。ドメイン外でのカレンダーの共有はオプションで設定できる。"忙しい"や"空いている"という情報を制限することは、会議のタイトルや参加者から情報を得ようとするソーシャルエンジニアリングによる攻撃を予防する。
7.Google Groupsのアクセス制限
オンラインでの会議の場を提供するGoogle Groupsのチェック項目も見直しておくと良いだろう。会議で出てくる情報は当然、機密を含んでいる。
8.Google+ へのアクセス制限
Google+へのアクセスコントロールも柔軟に行える設定が備えてある。ドメイン外部での投稿の非閲覧、プロフィールの検索結果からの除外とチェックボックスのオンオフで対応できる。Google+におけるビジネス上のクリティカルインフォメーションを制御できる。
すべての組織には、それぞれのビジネスが要求するセキュリティの範囲があり、これをしっかりと鑑み、クリックベースの調整でコントロールするだけでも大きな違いがある。アジャイルな展開が特徴でもあるGoogleプロダクトだが、セキュリティもスムーズに設定できることをアピールしている。ちょっとした設定ミスが大きな損失になってしまう組織における情報コントロール。これを機に見直してみるのも良いのではないだろうか。
