JamfもIntuneもあるけどChromeEnterpriseじゃないとできないこと

周りから「使えない」と散々聞いてたから自分ではほとんど検証してなかったけど、プライベートのGoogle環境をGoogle Workspace Enterpriseへ一新して、Googleのデバイス管理周りの機能がお触りし放題になったので、お触りしまくってわかった事を書くやで。
オレが課題感を持ってた、特に重要なデータの扱いや委託先の管理が解決できるかもしれん


Google Workspaceにおけるデバイス管理
どれくらい認知されてるのかわからんけど、Google Workspaceには意外とデバイス管理系の機能が多かった。管理できる対象がいくつかあって
  • モバイルデバイス
  • エンドポイント
  • Chromeデバイス
  • 管理対象ブラウザ
モバイルデバイス
AndroidとかiOSの事みたいで、普通のMDM機能と思ってもらって差し支えないと思います。セキュリティ設定を適用するとか、アプリ配布、ワイプとかができるらしい。感想としては思ってたより使えそう
エンドポイント
パソコンのMDMみたいやけど、一般的なMDMと比較にならないくらい非力です…というかコレ、macOSを管理できると言ってしまっていいのか?
Chromeデバイス
これはそのまんまでChromeデバイスの管理ができる機能です。でもChromeデバイスを使う事ってそんな無いよな(/・ω・)/
管理対象ブラウザ
これがChromeブラウザの事で、Chrome Enterpriseと言われるやつです。詳細は後述
Chrome Enterpriseができる事
詳細はこのページを見てもらいたいですが、Chrome EnterpriseではポリシーでChromeの設定を制御でき、そのポリシーにはいくつか種類があります。(他にもアプリと拡張機能の配布とかありますが割愛)
中でも、Google Workspaceの管理コンソールで管理できるのは、「マシンレベルのクラウド ポリシー」(以降、マシンポリシー)と「Chrome プロファイルのポリシー」(以降、プロファイルポリシー)なので、この2つについて書きます。
まず、マシンポリシーもプロファイルポリシーも設定できる機能としては同じで、いくつか挙げてみます。
  • ログインできるGoogleアカウントを特定のドメインに制限する
  • パスワードマネージャーの使用を制御する
  • ブラウザの履歴を削除できないように制御する
  • 特定のURLへのアクセスをブロックする(許可する)
  • データのダウンロードを制御する
  • 印刷を制御する
  • 自動更新を制御する
  • ポリシーの適用順を制御する(マシンポリシーよりプロファイルポリシーを優先するなど)
ポリシーは組織部門へ適用するのですが、適用先の組織部門に所属しているのがGoogle Workspace上のユーザーになる場合はプロファイルポリシー、管理対象ブラウザになる場合はマシンポリシーとなるようです。
下の図はポリシーの仕組みのイメージです


Chrome Enterpriseのポリシーの仕組みのイメージ図
例えば、私物デバイスと会社デバイスの管理対象ブラウザを組織部門で分けて、ユーザーもロールによって組織部門を分けて管理できていれば、下記のような使い分けも可能です。
  • 管理対象ブラウザにユーザーAがログインした場合のポリシー
  • 管理対象ブラウザにユーザーBがログインした場合のポリシー
  • 私物デバイスにユーザーAがログインした場合のポリシー
  • 私物デバイスにユーザーBがログインした場合のポリシー
Chrome Enterpriseにしかできない事
最初に書きますが、他のデバイス管理っぽいプロダクトでできたらゴメンやし、Google Workspaceのエンドポイント管理機能やコンテキストアウェアアクセスも使います‍♂️
デバイス周りのセキュリティプロダクトはEDRやCASB、SASEなど色々新しい物が出てきて、やれることも増えましたが、いつも課題になるなーと困っているのが、このあたりです。
  • 特に重要な情報の取り扱い
  • 委託先の脆弱なIT環境
これらをChrome Enterprise(と色々)で解決します。
特に重要な情報の取り扱いで感じる課題
特に重要な情報が漏洩しないよう、持ち出されないようコントロールする所が課題に感じています。
今っぽいIT環境だと、MDM、IDaaS、CASB(あとDLPとか)みたいなもので構成されてるのかなと思います。
こういう環境で例えば、BigQueryやRedashのようなデータが大量にあるシステムからのデータの持ち出しにどういう対策をされてますか?
  • DLPでコントロール?検知する対象のデータをどう定義するか?
  • URLフィルタリング?ブラックリスト管理はほぼ意味無いよね?
  • CASBでダウンロード制御?ダウンロードできちゃうときあるよね?あと色んな所でトラブルよね
という感じで、どれも厳しいなというのが、これまでやってみた感想です。
委託先の脆弱なIT環境
委託先のIT環境をセキュアに管理・監督するのが難しい且つ工数やお金がかかるのが課題に感じています。
わい「セキュリティチェックシート回答お願いします」
??「回答しました」
わい「今回重要なデータの取り扱いがあるので、このあたり対策を講じてもらいたいです」
??「検討はしますが難しいと思います」
わい「いやいや、そこを何とか」
??「検討した結果無理でした」
わい「では当社のPCを使って業務をするようお願いします」
みたいなのを永遠に続けるのツラいよねてゆーか、パソコン高いし配れる範囲に限界ある。
Chrome Enterprise(と色々)で解決する方法
図を描いたのでご覧ください。

これで技術的に何を実現しているかと言うと、大きくは下記の3つです。
  1. 特に重要な情報を扱うサービスへのアクセスは、会社PCかつ管理対象ブラウザからのアクセスのみ許可する
  2. 管理対象ブラウザ利用時のデータのダウンロードを制御する
  3. 会社管理のクラウドサービスへのアクセスは、会社PC or 管理対象ブラウザからのアクセスのみ許可する
特に重要なデータを限られた範囲で取り扱う事や、委託先の環境のChromeを制限させてもらう事の調整が必要にはなりますが、元々感じていた課題は解決できそうな雰囲気です。
※実装方法までは体力の限界で書ききれなかった‍
まとめ
今回お触りしてみて思ったのは、周りで色々聞くよりGoogleできるやんって事です。既存のMDMの代替にはならないですが、痒い所に手が届いて非常に良きです。上には書いてないけど、Gmailとドライブでポリシーを使い分けたりできるのでキメ細かな管理ができます(Gmailは私物からアクセスOK、ドライブは私物からアクセスNGとか)

Googleの世界観はクセがあるけど、できたら凄いスマートやろうなと思わせてくれるので、いつかどこかで作り上げたい。
たぶんこれからエンドポイント周りのセキュリティをやりたい、でもそこまでコストかけられないスタートアップ企業とかに向いてると思うので、やってもいいよって企業の方はDMください!

Try Harder!

このブログの人気の投稿

リスクアセスメント

セキュリティ監視入門! MITRE ATT&CK編 その②現状の評価