CASB(クラウド アクセス セキュリティ ブローカー)は、ユーザーとインターネット アプリケーションの間に位置するオンプレミスまたはクラウドベースのソフトウェアです。CASB では、セキュリティ ポリシーの適用、マルウェアの脅威の軽減、ドメインのセキュリティに影響を与える可能性のあるユーザーの活動の監視が行われます。
重要: Google Workspace にサードパーティ製 CASB を設定することは必須ではありません。設定する場合には、以下のガイドラインとトラブルシューティング手順をお読みいただくことをおすすめします。
CASB ガイドライン
可能な限りオフライン CASB を使用する
ユーザーと Google の間のネットワーク トラフィックには、可能であればインラインでアクティブな CASB を使用しないでください(プロキシとネットワーク フィルタを使用しないでください)。API や Gmail のアドオン(オフライン CASB など)のような別の方法で目的を実現するよう検討してください。Google サポートチームは、インラインのアクティブな CASB ソリューションに関連する Google Workspace の潜在的な問題のトラブルシューティングと解決についてはサポートできません。
代わりに、Google Workspace で提供されている以下のオプションの利用をおすすめします。
CASB を無効にしてテストできるようにする
CASB を使用しなければならない場合は、特定のコンピュータまたはユーザーの CASB をバイパスまたは無効にして、設定をテストできるようにしてください。Google サービスへの接続問題は(Google 側ではなく)CASB のプロバイダまたは設定が原因で発生することが多いため、テストできることが重要です。
以下は、Google Workspace の問題が CASB に起因するかどうかをテストするための一般的な方法です。
- (推奨)ネットワーク トラフィックが CASB を経由せず、ローカル ネットワーク フィルタまたはブラウザ拡張機能のインストールを必須とする企業ポリシーが適用されていないコンピュータを使用して接続します。たとえば、個人のデバイスから Google サービスにアクセスするか、該当するコンピュータを社内ネットワークではなくモバイル ネットワークに接続(テザリング)します。
- このコンピュータからのトラフィックをパススルーするように CASB を設定します。このオプションは、設定が難しい場合があります。
- Google Workspace アカウントへの直接接続が組織のポリシーにより許可されていない場合は、Google Workspace テスト環境を別途用意してください。
Google のトラフィックをブロックしなければならない 場合は、ペイロードまたはレスポンス ボディを変更(独自の JavaScript コードを挿入するなど)しないでください 。代わりに、CASB またはプロキシでレスポンスを 500 レスポンスに置き換えるようにします。この 500 レスポンスには、CASB からのレスポンスであることを示す一意のヘッダーを付けるのが理想的です。レスポンス ボディを変更した場合、その結果発生する問題については、Google によるサポート提供を保証できません。
CASB の設定は Google サポートの対象外
ブラウザ(または API クライアント)と Google との間のネットワーク トラフィックをブロックまたは変更することに関連する問題、およびそのような変更の副作用として発生する問題については、Google によるいかなるサポートの提供も保証できません。Google は連携のための API を提供していますが、他の手段(コード/CSS インジェクションなど)で作成された連携はサポートできません。これは、Google がサードパーティのシステムの設定やコードを把握しておらず、非公開のインターフェースに関する保証を提供できないためです。
また、Google Workspace サポートチームは、サードパーティのコードのデバッグに関するサポートを提供できません。特に、コードが正規の Google API またはインターフェースを使用していない場合は、サポートを提供できかねます。たとえば、Gmail のアドオンを使用して Gmail UI にボタンを追加することは可能であり、サポート対象です。しかし、Chrome 拡張機能または MITM(man-in-the-middle)プロキシを使用して独自の JavaScript を挿入する方法で Gmail UI にボタンを追加することは、サポート対象外です。
トラブルシューティング
CASB/ネットワーク フィルタに関する問題を特定する
ネットワークの問題が CASB/ネットワーク フィルタに関連するものである場合、次のような副作用と症状が見られる可能性があります。なお、これは問題を網羅したものではないため、ここに挙げた以外の症状が起きる可能性もあります。
- ユーザー インターフェースが読み込まれない、または空白である。
- キャッシュを削除したにもかかわらず、キャッシュを削除する方法が記載された Google のサポートページ に繰り返しリダイレクトされる。
- アプリケーションは読み込まれているが、一部の機能が無効になっている(メールの作成ができない、ドキュメント、スプレッドシート、スライドのエディタのオプションが無効またはグレー表示である、など)。
- Google Workspace ステータス ダッシュボードで障害が報告されていないにもかかわらず、関連性のない複数の Google Workspace サービス(Gmail とドライブなど)でエラーが発生している。
ネットワーク トラフィックまたはブラウジング セッションが CASB/プロキシによって変更されていないかどうか確認する
- HTTPS 証明書のフィンガープリントを実際の Google の証明書と比較します。たとえば、SSL Server Test を使用して、ブラウザに表示されている証明書のフィンガープリントと、同じホスト名(例: docs.google.com)で表示されているフィンガープリントを比較します。
- 証明書が異なる場合は、CASB がインラインまたはアクティブであることを示しています。Google との直接接続(前述のようにモバイル ネットワーク経由で接続した別のコンピュータなど)で問題を再現してみて、ネットワーク トラフィックを傍受するローカル エージェントがないことを確認してください。
- 証明書が同じであれば、インライン CASB はないと考えられます。Chrome のシークレット モードでの実行が許可された Chrome 拡張機能がないことを確認したうえで、シークレット モードで問題を再現してみます。これにより、問題が Chrome 拡張機能としてインストールされたローカル エージェントに関連しているかどうかがわかります。
次のステップ
CASB またはネットワークの問題が発生し、上で説明したように、ネットワーク トラフィックが CASB またはプロキシによって変更されていることが確認できた場合は、以下のように対応してください。
- ネットワーク管理者に相談する。
- 関係のないコンピュータまたはアカウントで問題が発生していないか確認する(上のセクションをご覧ください: CASB を無効にしてテストできるようにする)。接続が中断されたり変更されたりした場合、またはそれによってページが変更された場合、Google はそのような接続とページが想定どおりに動作することを保証できません。ご利用の CASB プロバイダにお問い合わせください。
- それでもなお、この問題の原因が Google 側にあると思われる場合は、以下の情報を収集して Google サポートチームにご提供ください。
- 上述の CASB / ネットワーク フィルタに関する問題を特定する、およびネットワーク トラフィックまたはブラウジング セッションが CASB / プロキシによって変更されていないかどうか確認するに関連して判明した情報: 上述の CASB / ネットワーク フィルタに関する問題を特定する、およびネットワーク トラフィックまたはブラウジング セッションが CASB / プロキシによって変更されていないかどうか確認する
- Google のサイトまたは Google 以外のサイトで見られるその他の症状または予期しない問題
- その他のお気づきのパターン(特定のユーザー、ユーザー グループ、地域、ネットワーク トポロジー グループ、特定のページなど)
- すべて拡張機能を無効にしたシークレット モードで問題を再現したときの HAR キャプチャ(HAR キャプチャを取得する方法をご覧ください)
- エラー発生時のスクリーンショットまたは動画