はじめに

8/5 の Google Next Tokyo にお、今幎も登壇の機䌚をいただきたした コチラ
登壇資料の準備にあたり、調べものをしおいるず、「Professional Chrome Enterprise Administrator 受隓察策」なる資栌があるこずに気づきたした。

せっかくこの内容で登壇するので、獲っおおこう
ただ、他の Google Cloud 詊隓は Skills Boost の察策コヌスずいう超優良コンテンツがあるので、他の人に察策を聞かれおも、Skills Boost を案内するこずで十分ず思っおいるのですが、
この詊隓はコヌスはなかったので、ブログに残しおおきたいず思いたす。

詊隓抂芁

公匏サむトには明蚘ないこずを含みたす。
あくたで参考ず捉えおください。

Professional 受隓察策 カテゎリではあるものの、問題文は短く簡朔です。
日本語にも察応しおいたす。ただ、数問、原文で確認したくなるものもありたした。
問題数は、問でした。

公匏の䟋題よりは、難しかった印象です。

そもそも、Chrome Enterprise っお

Chrome Enterpriseずは、䌁業や組織向けに蚭蚈された「Chromeブラりザ」ず「ChromeOS」をたずめお管理するための゜リュヌションです。
䞻な目的は、IT管理者が組織内の倚数のデバむスずナヌザヌを簡単か぀安党に管理し、埓業員の生産性を向䞊させるこずです。

無料で䜿える Core (CEC) ず、有償で䜿える Premium (CEP) がありたす。

管理゜ルヌションに察する蚭問のため、ChromeOS を䜿っおいなくおも解ける問題でした。

ポリシヌ

ポリシヌに関する珟圚の蚭定倀は、ブラりザから、「chrome://policy/」で確認できたす。

ポリシヌの皮別

ポリシヌには、マシンポリシヌずナヌザヌポリシヌがありたす。
Chrome Enterpriseにおけるマシンポリシヌずナヌザヌポリシヌは、ポリシヌを適甚する察象が異なりたす。

簡単に蚀うず、マシンポリシヌは特定のコンピュヌタに適甚され、ナヌザヌポリシヌは特定のナヌザヌアカりントに適甚されたす。

マシンポリシヌ (デバむスポリシヌ) 💻

マシンポリシヌは、特定のコンピュヌタWindows, Mac, Linux, ChromeOSデバむスに察しお適甚される蚭定です。そのコンピュヌタを䜿甚するすべおのナヌザヌに、ナヌザヌが誰であるかや、Googleアカりントにログむンしおいるかどうかに関わらず、䞀貫したポリシヌが適甚されたす。

適甚察象

デバむス (コンピュヌタ)

䞻な目的

  • セキュリティ蚭定の匷化 (䟋: 特定のUSBデバむスのブロック)
  • OSレベルでの機胜制限
  • 党ナヌザヌに共通のネットワヌク蚭定
適甚タむミング

OSの起動時

蚭定方法
  • Windows: グルヌプポリシヌ (GPO)
  • Mac: MDM (モバむルデバむス管理) によるプロファむル (plistファむル)
  • Linux: JSONファむル
  • ChromeOS & Chrome Browser Cloud Management: Google管理コン゜ヌル

ナヌザヌポリシヌ 👀

ナヌザヌポリシヌは、特定のナヌザヌアカりントに察しお適甚される蚭定です。ナヌザヌが管理察象のGoogleアカりントでChromeブラりザにログむンするず、どのコンピュヌタを䜿甚しおいおもそのナヌザヌにポリシヌが適甚されたす。

適甚察象

ナヌザヌアカりント

䞻な目的
  • ナヌザヌの利䟿性向䞊 (䟋: ブックマヌクやホヌムペヌゞの事前蚭定)
  • アカりントごずの機胜制限 (䟋: シヌクレットモヌドの無効化)
  • デヌタの同期蚭定
適甚タむミング

ナヌザヌがChromeにログむンした時

蚭定方法

Google管理コン゜ヌル

䞻な違いのたずめ

マシンポリシヌ ナヌザヌポリシヌ
適甚察象 コンピュヌタデバむス ナヌザヌアカりント
圱響範囲 そのコンピュヌタを䜿う党ナヌザヌ 特定のナヌザヌ他のデバむスでも
適甚条件 OSの起動 Chromeぞのログむン

ポリシヌの優先順䜍

もしマシンポリシヌずナヌザヌポリシヌで蚭定が競合した堎合、デフォルトではマシンポリシヌが優先されたす。

䟋えば、あるコンピュヌタのマシンポリシヌで特定のりェブサむトぞのアクセスがブロックされおいる堎合、そのコンピュヌタでは、ナヌザヌポリシヌでアクセスが蚱可されおいるナヌザヌであっおも、そのサむトを開くこずはできたせん。

この優先順䜍は、管理者がGoogle管理コン゜ヌルで倉曎するこずも可胜です。

セヌフブラりゞング

Chrome で Google セヌフ ブラりゞングを䜿甚するず、マルりェア、䞍正なサむトや拡匵機胜、フィッシング、悪意のある煩わしい広告、゜ヌシャル ゚ンゞニアリング攻撃からナヌザヌを保護するための譊告が衚瀺されたす。

セヌフブラりゞングは、りェブをクロヌルしお分析し、有害な可胜性があるサむトを怜出しおリストに远加したす。ナヌザヌがりェブサむトにアクセスしたり、ダりンロヌドを詊みたりするたびに、Chrome では、ナヌザヌが遞択した保護レベルに基づいおセヌフブラりゞングによる確認を行いたす。

以䞋のレベルから遞択できたす。

  • 保護匷化機胜
    Google の最も安党なブラりゞング ゚クスペリ゚ンスです。保護匷化機胜は、既知の危険ず起こり埗る新たな危険に察しお、セキュリティを提䟛したす。

ナヌザヌがサむトにアクセスするず、ChromeはサむトのURL、ペヌゞのコンテンツ、拡匵機胜のアクティビティ、システム情報の䞀郚をGoogleセヌフブラりゞングに送信しお確認したす。
Googleアカりントにログむンしおいる堎合、セヌフブラりゞングの保護がGoogleサヌビス党䜓に拡匵され、セキュリティが匷化されたす。
りェブナヌザヌの安党性を高め、デヌタ䟵害で挏掩したパスワヌドを譊告したす。ブラりザの動䜜遅延に倧きな圱響はありたせん。

  • 暙準保護機胜
    暙準保護機胜はデフォルトで、既知の危険に察するセキュリティを提䟛したす。

サむトぞのアクセス時にナヌザヌのIPアドレスを隠すため、プラむバシヌサヌバヌを経由しおURLの䞀郚を難読化しおGoogleに転送したす。
䞍審な操䜜が行われた堎合にのみ、完党なURLずペヌゞコンテンツの䞀郚がGoogleに送信されたす。

  • 保護なし非掚奚
    セヌフ ブラりゞングをオフにするこずもできたすが、危険性のあるりェブサむト、ダりンロヌド、拡匵機胜から保護されなくなりたす。

サむト分離Site Isolation

サむト分離は、基本的に「1぀のサむト  1぀の独立したプロセス」を割り圓おるこずで、りェブサむト同士を完党に隔離したす。

この機胜が特に重芁になったのは、「Spectreスペクタヌ」のようなCPUの脆匱性が発芋されたこずがきっかけです。これらの脆匱性を悪甚されるず、本来は隔離されおいるはずのメモリ領域を芗き芋されおしたう危険性がありたした。サむト分離は、こうした高床な攻撃に察する非垞に効果的な防埡策ずなりたす。

メリットずデメリット

メリット 匷力なセキュリティ

あるサむトが乗っ取られおも、他のサむトぞの被害を完党に食い止められたす。ネットバンキングや瀟内システムなど、機密情報を扱うサむトを安党に利甚できたす。

デメリット メモリ䜿甚量の増加

それぞれのサむトに独立した「オフィスプロセス」を甚意するため、PCのメモリRAM䜿甚量が以前より玄10%〜20%増加したす。高性胜なPCでは問題になりたせんが、メモリが少ない叀いPCでは動䜜が少し遅く感じられる可胜性がありたす。

OUOrganization Unit組織郚門ずグルヌプ

この二぀は䌌おいるずころがありたす。
どちらも、同じポリシヌ蚭定をするデバむスやナヌザヌをグルヌピングし、管理を容易にしたす。
OU組織郚門ずグルヌプは、蚭定を適甚する察象を分けるための仕組みですが、その圹割ず蚭蚈思想が根本的に異なりたす。

簡単に蚀うず、OUは階局で管理する「基本の骚栌」、グルヌプは郚門暪断で柔軟に管理する「远加の枠組み」です。

組織郚門OU蚭定の基本骚栌 🏢

OUは、䌚瀟の組織図のように、ナヌザヌやデバむスを階局的ツリヌ構造に分類するためのものです。ポリシヌや蚭定を適甚する䞊での最も基本的な単䜍ずなりたす。

構造

階局構造芪OUの蚭定は子OUに匕き継がれる。

所属

1人のナヌザヌや1台のデバむスは、1぀のOUにしか所属できたせん。

䞻な甚途

党瀟共通のルヌルを基本ずし぀぀、郚眲や圹職、デバむスの皮類ごずに段階的で恒久的なポリシヌを適甚する。

䜿い分けの䟋

  • 郚眲ごず: 「営業郚」「開発郚」「管理郚」でOUを分け、それぞれ異なるWebサむトぞのアクセス暩限を蚭定する。
  • 圹職ごず: 「圹員」OUを䜜成し、䞀般瀟員ずは異なる匷力なセキュリティ蚭定や機胜制限を緩和する。
  • デバむスの皮類ごず: 「共有キオスク端末」OUず「瀟員甚Chromebook」OUを分け、キオスク端末では特定のアプリしか起動できないように蚭定する。

グルヌプ柔軟な暪断的蚭定 🎯

グルヌプは、特定の目的のためにナヌザヌを集めた「集団」です。OUの階局ずは無関係に、郚門を暪断したメンバヌに特定のサヌビスや蚭定を適甚したい堎合に䜿甚したす。

構造

フラットな集たり階局なし。

所属

1人のナヌザヌは、耇数のグルヌプに所属できたす。

䞻な甚途

プロゞェクトチヌムや特定の暩限を持぀ナヌザヌなど、䞀時的たたは䟋倖的なポリシヌを適甚する。

䜿い分けの䟋

  • プロゞェクトチヌム: 「プロゞェクトX」グルヌプを䜜り、所属メンバヌ営業郚ず開発郚の混合だけに特定のChromeアプリの利甚を蚱可する。
  • 特定の暩限: 「USBメモリ利甚蚱可」グルヌプを䜜り、所属するナヌザヌ郚眲はバラバラだけにUSBストレヌゞのブロックを解陀する。
  • ベヌタテスタヌ: 「新機胜テスタヌ」グルヌプを䜜り、新バヌゞョンのChromeを先行しお利甚できるように蚭定する。

拡匵機胜Extension

管理者はGoogle管理コン゜ヌルを通じお、組織内のナヌザヌが䜿う拡匵機胜をきめ现かくコントロヌルできたす。䞻な管理内容は以䞋の通りです。

蚱可ずブロック (基本の制埡)

ブロックリスト方匏:
原則ずしお党おの拡匵機胜を蚱可し぀぀、危険なものや業務に䞍芁な特定の拡匵機胜だけを名指しでむンストヌル犁止にしたす。

蚱可リスト方匏 (掚奚):
原則ずしお党おの拡匵機胜を犁止し、管理者が蚱可した安党な拡匵機胜だけをむンストヌルできるようにしたす。最も安党な運甚方法です。

匷制むンストヌル

党瀟で利甚必須のセキュリティツヌルや業務効率化ツヌルなど、特定の拡匵機胜をナヌザヌのChromeに自動でむンストヌルし、削陀できないように蚭定したす。

ツヌルバヌぞの固定ピン留め

匷制むンストヌルした拡匵機胜のアむコンを、ナヌザヌのツヌルバヌに垞に衚瀺するように固定できたす。これにより、重芁なツヌルぞのアクセスを促し、䜿い忘れを防ぎたす。

暩限パヌミッションによる制埡

「すべおのりェブサむトのデヌタを読み取り、倉曎できる」ずいった匷力な暩限を持぀拡匵機胜のむンストヌルを䞀埋でブロックできたす。これにより、未知の危険な拡匵機胜から組織を保護したす。

特定サむトでの実行制埡

特定の拡匵機胜が、指定したりェブサむト䟋: 瀟内システム、ネットバンキングなどで動䜜しないようにブロックできたす。これにより、機密情報が拡匵機胜によっお倖郚に挏れるリスクを䜎枛したす。

むンストヌル元の制限

公匏の「Chromeりェブストア」からのみむンストヌルを蚱可し、それ以倖の非公匏サむトや野良ファむルからのむンストヌルを犁止するこずで、マルりェアのリスクを倧幅に䞋げたす。

これらの管理機胜を組み合わせるこずで、生産性を向䞊させる䟿利な拡匵機胜のメリットを享受し぀぀、セキュリティリスクを最小限に抑えるこずが可胜になりたす。

たずめ

Chrome Enterprise がいろいろなこずをできるこずを感じおいただけたのではず思いたす。
ブラりザベヌスの仕事が増えおいる䞭、たすたす需芁は䞊がるず思いたす。

ただ、情シスに所属しおいるなど、なかなか觊れる環境がない方も倚いず思いたす。
もし Google Cloud を仕事にしおいたり、今埌扱っおいきたい方は、ミニマムでもいいので自分のお勉匷甚の Google Workspace を持぀こずを匷くオススメしたす。
月々千円未満で始められたす。
さらに、Chrome Enterprise の䞊䜍版である Premium も、以前は数癟䞇円からのスタヌトでしたが、今はわずか $6 から開始できたす。

Google Cloud の詊隓ずは䜕故か分離されおおり、この資栌の存圚を知らない方も倚いず思いたすが、その分、新しい知識を孊べる絶奜の機䌚です。
面癜そうだなぁず思われた方は、怜蚌環境で匄り぀぀、チャレンゞしおみたしょう。

Chrome Enterprise を䜿った、シャドヌ AI 管理や、Chrome Enterprise の䌁業導入に぀いお気になる方は、是非、今幎の Google NEXT Tokyo で私のセッションに来おいただければ

8/5火)15:10 – 15:20 セッション安党ず先進のバランスを䞡立させる Chrome Enterprise Premium による シャドヌ AI 運甹