セッション バインディングで Cookie の盗難を防ぐ(ベータ版)

管理者は、Device Bound Session Credentials(DBSC)を実装することで、ユーザーのオンライン セッションのセキュリティを強化できます。DBSC は、セッション ハイジャック(Cookie 窃取とも呼ばれます)を防ぐように設計されています。

この種のサイバー攻撃は、ログイン中にウェブサイトから発行されるセッション Cookie(一意のセッション ID を含んだ小さなデータファイル)が盗まれ、不正な第三者がユーザーのアクティブなウェブ セッションを乗っ取ることで発生します。攻撃者は、この盗んだ Cookie を提示することで、正当なユーザーになりすまし、認証済みのセッションを続行できます。

DBSC は、ユーザーのセッションを特定のデバイスにバインドすることにより、攻撃者が盗んだ Cookie を他のデバイスで使用することを困難にします。DBSC を使用することで、ユーザー アカウントに対する不正アクセスのリスクを下げ、機微なユーザーデータを安全に保つことができます。

DBSC を使用するための要件

  • 現時点では、DBSC は Windows デバイスの Chrome ブラウザでのみ利用できます。
  • 暗号関連のデータを安全に保存し、処理するために、ユーザーのデバイスはトラステッド プラットフォーム モジュール(TPM)という標準のハードウェア コンポーネントを搭載している必要があります。これは、Windows 11 が稼動しているデバイスであれば、ほとんどのデバイスですでに利用可能です。ユーザーは通常、デバイスのシステム設定を参照するか、デバイス メーカーのドキュメントを参照することで、TPM が搭載されているかどうかを確認できます。
  • ユーザーは Chrome バージョン 136 以上を使用している必要があります。詳しくは、Google Chrome を更新するをご覧ください。

: ベータ版の段階では、セッション バインディングによって保護されるのは一部の限られた Google Cookie のみです。つまり、ユーザーのすべての Cookie が保護されるわけではありません。

DBSC をオンにする

始める前に: 必要に応じて、部門またはグループに設定を適用する方法をご確認ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [Google セッションの管理] にアクセスします。

    アクセスするには、セキュリティ設定の管理者権限が必要です。

  2. (省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。

    グループの設定は組織部門の設定をオーバーライドします。詳細

  3. [デバイスにバインドされたセッション認証情報] で、[DBSC を有効にする] を選択します。
  4. [保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。

    後で継承値を復元するには、[継承](グループの場合は [設定解除])をクリックします。

DBSC をオンにした場合に起こりうること

DBSC を有効にすると、ユーザーに次のような影響が生じる可能性があります。

  • セッションの中断 - ユーザーのセッションが有効であっても、バインドのプロセスでエラーが発生した場合、ユーザーには再度ログインすることが要求されます。こうして、ユーザーのアカウントとデータが保護されます。
  • 継続的な問題 - DBSC で問題が常に発生する場合、ユーザーは頻繁にログアウトされる可能性があります。このような場合は、トラブルシューティングの支援について管理者にお問い合わせください。それによって、当該ユーザーのアカウントの DBSC を無効にすることが必要になる場合もあります。管理者は、DBSC の対象外とするグループを作成し、そのグループに当該ユーザーを追加することができます。

コンテキストアウェア アクセスで DBSC を強制適用する

デスクトップ ウェブアプリに限定され、モバイルアプリや API には適用されません

特定の Google Workspace アプリにアクセスする際に、ユーザーに対して DBSC を必須にすることで、セキュリティをさらに強化できます。DBSC セッションなしで保護されたアプリにアクセスしようとすると、アクセスが拒否されます。このセキュリティ対策は、コンテキストアウェア アクセスを通じて構成されます。

DBSC の強制適用を設定するには:

  1. 保護するユーザーの DBSC を有効にします。手順については、DBSC を有効にするをご覧ください。
  2. DBSC セッションからのアプリへのアクセスのみを許可するの手順に沿って、カスタム アクセスレベルを作成します。
  3. モニターモードで、DBSC セッションのみにアクセスを許可したいアプリにアクセスレベルを割り当てることで、ユーザーのアクセスをブロックすることなく適用をシミュレートできます。
  4. 影響を評価したら、アクティブ モードでアクセスレベルを割り当て、DBSC セッションによるアクセスのみを適用します。詳しくは、コンテキストアウェア アクセスを実装するをご覧ください。

DBSC の強制適用は即時ではありません。つまり、ユーザーがログインしてから強制適用されるまでの間に猶予期間があります。このように設計することで、一時的なバインドの問題に対応できます。バインドされると、システムは、指定されたアプリにアクセスするユーザーに DBSC セッションがあるかどうかを定期的にチェックします。再認証を行うとこの猶予期間はリセットされます。また、この再認証の際には DBSC の強制適用は行われません。

DBSC ログイベントを確認する

DBSC を有効にすると、ユーザーのログイベントで DBSC イベントが発生したかどうかを確認できます。たとえば、DBSC キーのバインディングが成功したか失敗したかを確認できます。

: 複数のユーザー アカウントが同じ Chrome ブラウザ プロファイルにログインしている場合、DBSC ログイベントはプライマリ アカウントにのみ表示されます。

イベントが発生したかどうかを確認するには:

  1. [ユーザーのログイベント] を開きます。
    詳しくは、ユーザーのログイベントをご覧ください。
  2. [フィルタを追加] 次に [イベント] をクリックします。
  3. DBSC イベントを選択して [適用] をクリックします。

イベントについて詳しくは、以下の表をご覧ください。

イベント名 説明
DBSC キーのバインディング ユーザーのセッションをデバイスにバインドしようとしました。イベントのステータスは [成功] または [失敗] と表示されます。バインディングが成功すると、新しい TPM 鍵ペアが生成され、鍵がデバイスにバインドされます。
DBSC キーの検証

DBSC キーの検証が失敗し、次のいずれかのエラーコードが返されました。

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。