不審なファイルの調査と対処

この機能がサポートされるエディション: Chrome Enterprise Premiumエディションを比較する

Chrome Enterprise Premium で利用可能な Evidence Locker を使用すると、管理者はマルウェアとして報告されているファイルやデータ保護ルールに違反しているファイルを検査できるため、潜在的なリスクに対する可視性と制御性が向上します。ファイルは組織の Google Cloud Storage バケットに保存され、セキュリティ管理者は Google Workspace セキュリティ調査ツール(SIT)からダウンロードできます。

始める前に

以下の項目は必須です。

Chrome ブラウザ

詳しくは以下をご覧ください。

Chrome Enterprise Premium ライセンス

Evidence Locker を設定する

ステップ 1: Google Cloud Storage バケットを作成する

Evidence Locker は、疑わしいファイルや機密性の高いファイルを Google Cloud Storage(GCS)バケットに保存します。次の手順でバケットを作成する必要があります。Google Cloud Storage の知識があると便利です。

ヒント: Google Cloud Data Loss Prevention(DLP)ルールが緩すぎると、バケットに多数のファイルが保存され、ストレージ コストが高くなる可能性があります。疑わしいファイルのみを保存するルールを作成してください。

  1. Google Cloud プロジェクトを作成します。手順については、プロジェクトの作成と管理をご覧ください。
  2. プロジェクトで Cloud Resource Manager API を有効にします。
    • Cloud Resource Manager API を使用すると、Google Cloud 内の組織やプロジェクトなどのコンテナ リソースをプログラムで管理できます。
    • project_number については、Cloud Resource Manager API をご覧ください。
  3. 顧客管理の暗号鍵(CMEK)を使用してバケットを作成します。
    • KMS API を有効化します。顧客管理の暗号鍵を使用するをご覧ください。
    • (省略可)CMEK キーリングと鍵を作成するには、[セキュリティ] > [鍵管理] > [キーリングを作成] に移動します。
    • [Cloud Storage] > [Buckets] でバケットを作成します。バケットを作成するをご覧ください。
      • GCS バケットは、組織が所有し、同じドメイン内にある必要があります。
      • CMEK はバケットと同じリージョンに存在する必要があります。詳細
    • (省略可ではあるが推奨)ファイルに有効期間(TTL)を設定します。たとえば、30 日後に自動的に削除します。

ステップ 2: Evidence Locker を設定する

  1. Google 管理コンソールで、メニュー アイコン 次に [**アプリ**]次に[**その他の Google サービス**] にアクセスします。

    アクセスするにはサービス設定の管理者権限が必要です。

  2. [Chrome Enterprise セキュリティ サービス] をクリックします。
  3. [全員に対してオン] または [全員に対してオフ] をクリックし、[保存] をクリックします。
  4. (省略可)特定の組織部門に対してサービスを有効または無効にするには:
    1. 左側で組織部門を選択します。
    2. サービスのステータスを変更するには、[オン] または [オフ] を選択します。
    3. 次のいずれかを選択します。
      • [サービスのステータス] が [**継承**] になっており、親組織の設定が変更されても現在の設定を維持したい場合は、[**オーバーライド**] をクリックします。
      • [サービスのステータス] が [**オーバーライド**] になっている場合は、[**継承**] をクリックして親と同じ設定に戻すか、[**保存**] をクリックして新しい設定を維持します(親組織の設定が変更された場合でも、現在の設定を維持します)。
        詳しくは、組織構造についての説明をご覧ください。
  5. [Evidence Locker の設定] をクリックします。
  6. [Google Cloud Storage バケット名を入力] をクリックします。
  7. サービス アカウントがない場合は、[サービス アカウントを生成する] をクリックします。続行するにはサービス アカウントが必要です。
  8. サービス アカウントを Google Cloud Storage(GCS)バケットに追加します。
    重要: サービス アカウントには、バケットを含む GCP プロジェクトに対するストレージ管理者権限が必要です。Google Cloud Storage バケットを作成するをご覧ください。
    1. Google Cloud コンソールで、メニュー アイコン 次に[IAM と管理]次に[リソースの管理] に移動します。
    2. バケットを含む GCS プロジェクトに移動します。
    3. [**権限**] タブをクリックします。
    4. Evidence Locker サービス アカウントを選択します。
    5. [アクセス権を付与] をクリックします。
    6. [新しいプリンシパル] に、先ほど生成したサービス アカウントを入力します。
    7. [ロール] で [**ストレージ管理者**] を選択します。
    8. (省略可)特権管理者以外のユーザーにも、バケットを含む GCP プロジェクトに対するストレージ管理者 権限が必要です。プロジェクトから GCS バケットを選択するには、この権限が必要です。
    9. [**保存**] をクリックします。
  9. Google Workspace 管理コンソールの [Evidence Locker] の設定で、Google Cloud バケット名を入力します。
  10. (省略可)マルウェアとして報告されたファイルのコピーを Evidence Locker に保存するには、[マルウェアを含むコンテンツを Evidence Locker に保存する] を選択します。
  11. [**保存**] をクリックします。

ステップ 3: マルウェア スキャン用に Evidence Locker を有効にする

マルウェアとして報告されたすべてのファイルのアップロードとダウンロードをストレージ バケットに保存できます。このオプションは、Evidence Locker の設定時に有効にすることもできます。

  1. Google 管理コンソールで、メニュー アイコン 次に [**アプリ**]次に[**その他の Google サービス**] にアクセスします。

    アクセスするにはサービス設定の管理者権限が必要です。

  2. [Chrome Enterprise セキュリティ サービス] をクリックします。
  3. [Evidence Locker の設定] をクリックします。
  4. をクリックし、組織のサービス アカウントが表示されるのを待ちます。
  5. バケット名フィールドで、[**マルウェアを含むコンテンツを Evidence Locker に保存する**] を選択します。

ステップ 4: 機密データ転送スキャン用に Evidence Locker を有効にする

データ保護ルール違反が発生した場合に、ファイルを Evidence Locker バケットにコピーできます。コピーされるのは、以下のアクションによってトリガーされたファイルのみです。

  • ファイルがアップロードされました
  • ファイルをダウンロードしました
  • 印刷

[コンテンツを貼り付けました] を使用して報告されたコンテンツは、Evidence Locker にコピーされません

  1. メニュー アイコン 次に [ルール] に移動します。
  2. プルダウン メニューから [**データ保護**] を選択します。
  3. ルールの名前と説明を入力します。
  4. [範囲] で、このルールの適用対象とする組織部門またはグループを選択します。
    注: グループ範囲を選択した場合は、Google 管理コンソールで管理者が作成したグループのみがサポートされます。
  5. [アプリ] で、Chrome のオプション [**アップロードされたファイル**]、[**ダウンロードされたファイル**]、[**印刷されたコンテンツ**] のいずれかを選択します。
  6. [アクション] の [Evidence Locker] で、[このルールで検出されたアップロード済みコンテンツ、ダウンロード済みコンテンツ、または印刷済みコンテンツを Evidence Locker に保存する] を選択します。

詳細については、データ保護ルールの作成をご覧ください。

Evidence Locker からファイルをモニタリングしてダウンロードする

重要: Evidence Locker のデータ保護ルールは細かく構成できます。従業員のプライバシー ポリシーに準拠すること、および Google Cloud Storage バケットのすべてのストレージ費用を負担することは、組織の責任となります。大量のファイルを保存するデータ保護ルールを使用すると、Google Cloud Storage の料金が大幅に増加するおそれがあります。

Chrome のログで

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**セキュリティ センター**]次に[**調査ツール**] にアクセスします。

    アクセスするには、セキュリティ センターの管理者権限が必要です。

    次のセキュリティ センターの管理者権限が必要です。セキュリティ調査ツールの管理者権限をご覧ください。

    • 不審なファイルをダウンロードして管理するには:
      [管理] > [Chrome]
    • 不審なファイルの内容を表示するには:
      [機密コンテンツを表示] > [Chrome]
  2. [**データソース**] をクリックし、[**Chrome のログイベント**] を選択します。
  3. 検索のエントリを見つけて、右にスクロールします。
  4. [Evidence Locker のファイルパス] 列で、保存されているファイルへのリンクをクリックします。
    ファイルの詳細がサイドパネルに表示されます。たとえば、ファイルの元の名前や Google Cloud Storage バケット内のパスなどです。
  5. 下部にある [ファイルをダウンロード] をクリックします。

ダウンロードした ZIP ファイルはパスワードで保護されています。パスワードは「protected」で、すべてのファイルで同じです。

ルールのログで

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**セキュリティ センター**]次に[**調査ツール**] にアクセスします。

    アクセスするには、セキュリティ センターの管理者権限が必要です。

  2. [データソース] をクリックし、[ルールのログのイベント] を選択します。[Search] をクリックします。
  3. 目的のルールを含む [アクション完了] 行を見つけ、右にスクロールして [Evidence Locker のファイルパス] 列を見つけます。
  4. これは、ファイルが保存されているパスです。その他アイコン をクリックすると、その他の操作が表示されます。