G SuiteやGoogle Cloud Platformなどの採用が広がり、企業の重要なデータを扱うシーンがさらに増えているGoogle。以前からセキュリティの強化に力を注いできたが、「Google Cloud Next ‘19 in Tokyo」の2日目では、国内ユーザーがより安全かつ簡単に利用できる機能やサービスをいくつか発表した。
 |
Titan セキュリティキーの国内提供開始
まずは、FIDO標準に準拠した2要素認証用ハードウェア「Titan セキュリティキー」の国内提供開始を発表。これまで米国でのみ提供されてきたが、7月31日よりカナダ、フランス、イギリス、日本のGoogleストアでも販売を始めた。
 |
|
Titan セキュリティキー。左がBluetoothタイプ、右がUSBタイプ。セットで販売される |
Titan セキュリティキーにより、ログイン処理においてホワイトリスト型のURL検証がかけられ、これまで対策が難しかった、正規のサイトを模したフィッシングサイトにも強い耐性を持てる。
動作の概要は以下のスライドのとおり。
 |
|
Titanセキュリティキーの動作概要 |
アクセスを許可するURLをセキュリティキーに登録しておき、認証が求められた際にはWebブラウザやスマートフォンアプリからセキュリティキーに対して正しいURLかどうかの問い合わせをかける。この段階で、類似ドメインなどを使った偽サイトはブロックする仕組みだ。
その後、正規のサイトであることがわかれば、秘密鍵で暗号化されたトークンをサーバに送付し、認証を完了させる。Titan セキュリティキーには、Googleが設計したハードウェアチップが組み込まれており、ファームウェアや秘密鍵のパーツを抜き取る物理攻撃にも強いという特徴がある。
「フィッシングサイトへの対策としては、URLを確認するなどの方法が推奨されるケースが多いですが、正直、毎回確認するのはなかなか難しい。自働化してユーザーに負担のないような対策を施すのが大切でしょう」(Google Cloud スペシャリスト カスタマーエンジニア 西日本技術リード 小林 直史氏)
価格は、USBタイプと、BLE(Bluetooth Low Energy)タイプがセットで6000円(税込)。
なお、Androidは今年中にTitan セキュリティキーのNFC通信に対応予定。USBタイプをNFC読取部分にタッチするかたちの認証も利用可能になるという。
企業向けAdvanced Protection Programのβ版を提供へ
Titan セキュリティキーと関連して、国内でも、企業向けAdvanced Protection Program(高度な保護機能プログラム。以下、APP)のベータ版の提供を開始することを発表した。
企業向けAPPは、主に金融業や政府機関、企業のIT管理者、経営者など、標的型攻撃のターゲットとなりやすいユーザーを意識している。機能としては以下のようなものがある。
- Titan セキュリティキーなどのFIDOセキュリティキーを用いた2要素認証
- 管理者が許可しないサードパーティ製アプリ(API)へのアクセスをブロック
- メールの添付ファイルなどをサンドボックス環境で実行し、安全性を確かめる拡張スキャン
 |
|
企業向けAPPの特徴 |
いずれも設定をONにするなどの簡単な操作で終えられる。追加コストも不要で、組織ユニット単位で設定を変えられるなど、大規模な組織でも利用できるよう配慮されている。
機会学習による異常なアクティビティ検出機能
そのほか、機会学習ベースの異常検知機能もβ版として8月1日にリリースされた。G Suite Enterprise、およびG Suite Enterprise for Educationの管理者向け画面から設定できる。
同機能を有効にすると、異常なアクセスを検知し、G Suiteアラートセンターに通知が届くようになる。異常検知の種類としては、データのシェアと、データのダウンロードの2つがあるという。
