クラウド道場

忙しい人のための 【Google Cloud Next ’19 in Tokyo サマリー:Google における Chrome を活用した クラウド時代のセキュリティ技術】

Author
Oda
Lv:7 Exp:422

クラウドエース 事業企画部所属です。たまに参上します。

7/31 – 8/1で行われた Google Cloud Next ’19 in Tokyo。
YouTube で動画も続々とアップロードされていますが、2時間も見てる時間がない…要約だけ知りたい…
という方向けのセッションサマリーとなります。

ブレイクアウト セッション – 40 分 • D2-2-S11
Google における Chrome を活用した クラウド時代のセキュリティ技術

YouTubeはこちら

Google Cloud Chrome Enterprise エンジニアリング マネージャー:山本 草詩

セキュリティは動く標的!

  • 標準:一人当たり22種類のクラウドベースアプリと3代の端末使用
  • 98%が不正アクセスを経験
  • 従業員には安定したアクセスが必要

もっとも重要な端末機能

  • 生産性を損なわない
  • 使用端末を問わずどこからでもアクセス
  • アカウントとアプリへのシングルサインオン
  • 端末間でパスワード、プラグイン、ブックマークを維持
  • ドキュメントやファイルでのリアルタイムコラボレーション

虚弱性に対応するための支出は増加が予測される

  • 2019年には1240億ドルになると予測されている
  • 標的型攻撃数は27%以上増加している
  • サイバーセキュリティへの追加投資だけではインシデント数を減らせない
  • よくある種類のサバー攻撃+追加投資≠インシデントの現象

レガシーなエンドポイントでは、セキュリティは考慮されていない。

  • IT企業の最優先事項
    • コストの削減生産性への投資
    • 企業組織はクラウドネイティブなエンドポイントが必要

クラウドネイティブのセキュリティの考え方

  1. レガシー:終わることのない運用
  2. Google:ユーザープロファイルの中心にセキュア環境を構築=クラウドと同期→ユーザープロファイルを徹底的に守る!
    1. Chromebook:初回ログインで暗号化してキャッシュする

Chrome Enterprise互いに連動する3つのコンポーネント

  1. Chrome browser
  2. Chrome OS
  3. Chrome 搭載端末
  • 多層防御でユーザーとデータを保護します
  • アプリケーション:管理者が指定したもの以外は利用できない
  • ブラウザ:セーフブラウジングとサンドボクスで保護
  • OS権限分離、サンドボックス化、暗号化、自動更新で起動時からシャットダウンまで安全性を確保
  • ファームウェア確認済みブーとを装備したOEMが開発googleが承認したファムウェア
  • Chrome搭載端末ユーザーごとに別の秘密鍵で暗号化。

セキュアブート
OSの不正使用を防ぐ、OSの二重化

  • 自動更新
    • 6週間ごとに更新
    • 数秒で完了
    • 48時間以内に適用されるバッチ
    • 管理者がOSのバージョンを制御可能
  • 徹底したサンドボックス化
    • レガシーシステム=他のアプリに干渉
    • システムのファイル・レジストリを書き換える
    • Google=アプリはサンドボックス内で動作互いに干渉できない。
    • アプリはサンドボックス内で動作システム領域と隔離されている=クリーンな状態

Chrome enterpriseによるモニタリングと保護

  1. ユーザーポリシー
  2. デバイスポリシー
  3. ネットワーク
  4. マネージドアプリケーションと拡張機能
  5. アセット管理
    全て管理できる!

  6. 全てのユーザーのセッションを守る

    1. バックグラウンドで更新
    2. バージョン管理
    3. エフェメラルモード
  7. ログイン制御
    1. 承認されていないユーザーはログイン不可(個人使用禁止)
    2. 承認されたドメインユーザーのみ(ユーザーポリシーが必ず適用される)
    3. 外部ストレージのマウント制御
    4. 同じ端末でも、権限がある人のみ外部ストレージを使用可能
    5. パスワードの使い回しを防ぐ
    6. パスワードアラートポリシー
    7. 紛失・盗難時には遠隔ロック可能

Chrome enterprise でユーザーを危険から守る

下記のような攻撃があった場合は、、、

  • フィッシング
    • Google セーフブラウジング
    • 2段階プロセス・セキュリティーキー
    • 攻撃された場合パスワードアラートポリシー
  • ランサムウェア
    • 読み取り専用OS
    • 攻撃された場合:セキュアアラート
  • 悪意のあるアプリケーション
    • 事前許可に基づくリスティング機能
    • Managed Google Play
    • 攻撃された場合:サンドボックス化
  • アプリにすぐアクセス
    • Google Playのアプリにはすぐアクセス可能
    • Chromeウェブストア
    • VDI DaaSを利用したwindowsアプリ
    • Linuxアプリ
  • 管理コンソールからのアプリ管理
    • 設定ファイルと一緒に強制インストール
    • Chromeウェブストアは管理者が制御可能
    • インラインインストールは2018年半ばに無効=管理者が100%管理
  • サンドボックス化=攻撃からの影響を最小化する

  • TCO削減
    • 費用対効果がある

まとめ

  1. エンドポイントは重要
  2. ブラウザ、OS、端末は連動するべき
  3. ユーザープロファイルの制御
次の記事を読み込んでいます
次の記事を読み込んでいます