Supported editions for this feature: Chrome Enterprise Premium. エディションの比較
Chrome Enterprise Premium で利用可能な Evidence Locker を使用すると、管理者はマルウェアとして報告されているファイルやデータ保護ルールに違反しているファイルを検査できるため、潜在的なリスクに対する可視性と制御性が向上します。ファイルは組織の Google Cloud Storage バケットに保存され、セキュリティ管理者は Google Workspace セキュリティ調査ツール(SIT)からダウンロードできます。
始める前に
以下が必要です。
Chrome ブラウザ
詳しくは以下をご覧ください。
Chrome Enterprise Premium のライセンス
- 詳細とお申し込みについては、Chrome Enterprise Premium でセキュリティを強化するまたは Chrome Enterprise Premium の概要をご覧ください。
- Chrome Enterprise Premium ライセンスを表示、管理する手順は以下のとおりです。
メニュー アイコン
[お支払い] > [サブスクリプション] にアクセスします。
アクセスするには、お支払いの管理の管理者権限が必要です。
Evidence Locker を設定する
ステップ 1: Google Cloud Storage のバケットを作成Evidence Locker は、疑わしいファイルや機密性の高いファイルを Google Cloud Storage(GCS)バケットに保存します。以下の手順でバケットを作成する必要があります。Google Cloud Storage に関してある程度知識があると役に立ちます。
ヒント: Google Cloud Data Loss Prevention(DLP)ルールが緩すぎると、バケットに多数のファイルが保存され、ストレージ コストが高くなる可能性があります。非常に疑わしいファイルのみを保存するルールを作成しましょう。
- Google Cloud プロジェクトを作成します。詳しくは、プロジェクトの作成と管理をご覧ください。
- サービス アカウントと Google Cloud ユーザーには、バケットを含む Google Cloud プロジェクトに対するストレージ管理者権限が必要です。プロジェクト レベル、バケットレベル、マネージド フォルダ レベルでのロールの付与をご覧ください。
- プロジェクトで Cloud Resource Manager API を有効にします。
- Cloud Resource Manager API を使用すると、Google Cloud 内の組織やプロジェクトなどのコンテナ リソースをプログラムで管理できます。
- project_number については、Cloud Resource Manager API をご覧ください。
- 顧客管理の暗号鍵(CMEK)を使用してバケットを作成します。
- KMS API を有効化します。顧客管理の暗号鍵を使用するをご覧ください。
- (省略可)CMEK キーリングと鍵を作成するには、[セキュリティ] > [鍵管理] > [キーリングを作成] に移動します。
- [Cloud Storage] > [バケット] でバケットを作成します。バケットを作成するをご覧ください。
- GCS バケットは、組織が所有し、同じドメイン内に存在する必要があります。
- CMEK はバケットと同じリージョンに存在する必要があります。詳細
- (省略可ではあるが推奨)ファイルに有効期間(TTL)を設定します。たとえば、30 日経過すると自動的に削除するようにします。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [Chrome Enterprise セキュリティ サービス] をクリックします。
- [オン(すべてのユーザー)] または [オフ(すべてのユーザー)] をクリックし、[保存] をクリックします。
-
(省略可)特定の組織部門に対してサービスを有効または無効にするには:
- 左側で組織部門を選択します。
- サービスのステータスを変更するには、[オン] または [オフ] を選択します。
- 次のいずれかを選択します。
- [サービス] のステータスが [継承] になっており、親組織の設定が変更された場合でも現在の設定を維持したい場合は、[オーバーライド] をクリックします。
- [サービスのステータス] が [上書きされました] になっている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして新しい設定を維持します(親組織の設定が変更された場合でも、現在の設定を維持します)。
注: 詳しくは、組織構造についてのページをご覧ください。
- [Evidence Locker の設定] をクリックします。
- Google Cloud Storage バケット名を入力をクリックします。
- サービス アカウントがない場合は、[サービス アカウントを生成する] をクリックします。続行するにはサービス アカウントが必要です。
- サービス アカウントを Google Cloud Storage(GCS)バケットに追加します。
重要: サービス アカウントには、バケットを含む GCP プロジェクトに対するストレージ管理者権限が必要です。Google Croud Storage バケットを作成するをご覧ください。- Google Cloud コンソールで、メニュー
[IAM と管理]
- バケットを含む GCS プロジェクトに移動します。
- [権限] タブをクリックします。
- Evidence Locker サービス アカウントを選択します。
- [アクセス権を付与] をクリックします。
- [新しいプリンシパル] に、先ほど生成したサービス アカウントを入力します。
- [ロール] で [ストレージ管理者] を選択します。
- (省略可)特権管理者以外のユーザーにも、バケットを含む GCP プロジェクトに対するストレージ管理者権限が必要です。これは、プロジェクトから GCS バケットを選択するために必要です。
- [保存] をクリックします。
- Google Cloud コンソールで、メニュー
- Google Workspace 管理コンソールの [Evidence Locker] の設定で、Google Cloud バケット名を入力します。
- (省略可)マルウェアとして報告されたファイルのコピーを Evidence Locker に保存するには、[マルウェアを含むコンテンツを Evidence Locker に保存する] を選択します。
- [保存] をクリックします。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [Chrome Enterprise セキュリティ サービス] をクリックします。
- [Evidence Locker の設定] をクリックします。
をクリックし、組織のサービス アカウントが表示されるのを待ちます。
- バケット名フィールドで、[マルウェアを含むコンテンツを Evidence Locker に保存する] を選択します。
データ保護ルール違反が発生した場合に、ファイルを Evidence Locker バケットにコピーできます。コピーされるのは、以下のアクションによってトリガーされたファイルのみです。
- ファイルがアップロードされました
- ファイルをダウンロードしました
- 印刷
[コンテンツを貼り付けました] を使用して報告されたコンテンツは、Evidence Locker にコピーされません。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
プルダウン メニューから [データの保護] を選択します。
- ルールの名前と説明を入力します。
- [範囲] で、このルールの適用対象とする組織部門またはグループを選択します。
注: グループ範囲を選択した場合は、Google 管理コンソールで管理者が作成したグループのみがサポートされます。 - [アプリ] で、Chrome のオプション [アップロードされたファイル]、[ダウンロードされたファイル]、[印刷されたコンテンツ] のいずれかを選択します。
- [アクション] の [Evidence Locker] で、[このルールで検出されたアップロード済みコンテンツ、ダウンロード済みコンテンツ、または印刷済みコンテンツを Evidence Locker に保存する] を選択します。
詳細については、データ保護ルールの作成をご覧ください。
Evidence Locker からファイルをモニタリングしてダウンロードする
重要: Evidence Locker のデータ保護ルールは細かく構成できます。従業員のプライバシー ポリシーに準拠すること、および Google Cloud Storage バケットのすべてのストレージ費用を負担することは、組織の責任となります。大量のファイルを保存するデータ保護ルールを使用すると、Google Cloud Storage の料金が大幅に増加するおそれがあります。
Chrome ログ内-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
以下に示す特定のセキュリティ センター管理者権限が必要です。セキュリティ調査ツールの管理者権限をご覧ください。
- 不審なファイルをダウンロードして管理するには:
[管理] > [Chrome] - 不審なファイルの内容を表示するには:
[機密コンテンツを表示] > [Chrome]
- 不審なファイルをダウンロードして管理するには:
-
[データソース] をクリックし、[Chrome のログイベント] を選択します。
- 検索対象のエントリを見つけて、右にスクロールします。
- [Evidence Locker のファイルパス] 列で、保存されているファイルへのリンクをクリックします。
ファイルの詳細がサイドパネルに表示されます。たとえば、ファイルの元の名前や Google Cloud Storage バケット内のパスなどです。 - 下部の [ファイルをダウンロード] をクリックします。
- ダウンロードした ZIP ファイルはパスワードで保護されています。パスワードは保護されています。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [データソース] をクリックし、[ルールのログのイベント] を選択します。 [検索] をクリックします。
- 目的のルールを含む [アクション完了] 行を見つけ、右にスクロールして [Evidence Locker のファイルパス] 列を見つけます。
- これが、ファイルが保存されているパスです。その他アイコン
をクリックすると、その他の操作が表示されます。
