セッション バインディングで Cookie の盗難を防止する

Google Workspace は、デバイスにバインドされたセッション認証情報(DBSC)を使用して、ユーザーのオンライン セッションのセキュリティを自動的に強化します。DBSC は、セッション ハイジャック(Cookie 窃取とも呼ばれます)を防ぐように設計されています。

この種のサイバー攻撃は、ログイン中にウェブサイトから発行されるセッション Cookie(多くの場合、ユーザーのデバイス上のマルウェアを介して)が盗まれ、不正な第三者がユーザーのアクティブなウェブ セッションを乗っ取ることで発生します。セッション Cookie は、一意のセッション ID を含んだ小さなデータファイルです。攻撃者は、この盗まれた Cookie を提示することで、正規のユーザーになりすまして認証済みセッションを継続できます。

DBSC は、ユーザーのセッションを特定のデバイスにバインドすることで、攻撃者が盗んだ Cookie を他のデバイスで使用することを困難にします。これにより、ハードウェアベースのセキュリティ境界が作成され、ユーザー アカウントに対する不正アクセスのリスクが軽減され、センシティブ データが安全に保たれます。DBSC は、すべての Workspace アカウントでデフォルトで有効になっています。この保護を有効にするために管理者の操作は必要ありません。

DBSC を使用するための要件

  • Chrome ブラウザ: Windows の場合はバージョン 146 以降、macOS の場合はバージョン 148 以降 。詳しくは、Google Chrome を更新するをご覧ください。
  • ハードウェア セキュリティ: セッションをデバイスにバインドするために使用される暗号鍵を安全に保存するには、ハードウェアベースのセキュリティ機能が必要です。 Windows の場合、これはトラステッド プラットフォーム モジュール(TPM)です。 Windows 11 が稼動しているほとんどのデバイスで標準搭載されています。macOS の場合、これは Secure Enclave(最新の Mac ラップトップで利用可能)です。ハードウェアの機能については、デバイス メーカーのドキュメントをご確認ください。

DBSC 保護の適用方法

ユーザーのデバイスとブラウザが必要な技術要件を満たしている場合、DBSC 保護は自動的に適用されます。場合によっては、セッションがバインドされないことがあります。一般的な理由は次のとおりです。

  • サポートされていない環境—ユーザーのオペレーティング システム、ブラウザ のバージョン、ハードウェア セキュリティ(Windows の TPM など)に関する問題。
  • 既存のセッション—DBSC 保護は新しいセッションにのみ適用されます。DBSC が有効になったときにすでにログインしていたユーザーは、セッションをバインドするためにログアウトして再度ログインする必要があります。
  • ブラウザの変更—特定のブラウザ拡張機能や Cookie の手動変更により、DBSC が正しく機能しないことがあります。

コンテキストアウェア アクセスで DBSC を強制適用する

デスクトップ ウェブアプリに限定され、モバイルアプリや API には適用されません

特定の Google Workspace アプリにアクセスする際に、ユーザーに対して DBSC を必須にすることで、セキュリティをさらに強化できます。DBSC を強制適用すると、以前に確立されたバインドされたセッションとの違いが検出された場合、ユーザーに再度ログインするよう求められます。この再認証により、システムは新しい安全なバインディングを試行できます。サポートされていないプラットフォームのユーザーは、保護されたアプリにアクセスできません。このセキュリティ対策は、コンテキストアウェア アクセスを使用して構成されます。

DBSC の強制適用を設定するには:

  1. DBSC セッションからのアプリへのアクセスのみを許可するの手順に沿って、カスタム アクセスレベルを作成します。
  2. モニターモード で、DBSC セッションのみにアクセスを許可したいアプリにアクセスレベルを割り当てることで、ユーザーのアクセスをブロックすることなく適用をシミュレートできます。
  3. 影響を評価したら、アクティブ モード でアクセスレベルを割り当て、DBSC セッションによるアクセスのみを適用します。詳しくは、コンテキストアウェア アクセスを実装する をご覧ください。

DBSC の強制適用は即時ではありません。つまり、ユーザーがログインしてから強制適用されるまでの間に猶予期間があります。この設計は、一時的なバインディングの問題に対応するためのものです。バインドされると、指定されたアプリにアクセスするユーザーが DBSC セッションをバインドしているかどうかが定期的にチェックされます。再認証を行うとこの猶予期間はリセットされます。また、この再認証の際には DBSC の強制適用は行われません。

DBSC 保護とセッションの問題を調査する

セキュリティ調査ツールを使用して、DBSC 保護をモニタリングし、セッションの中断のトラブルシューティングを行うことができます。DBSC アクティビティのログソースは 2 つあります。

  • ユーザーのログのイベント—アクセス トークンのユーザー デバイスへのバインディングをモニタリングします。
  • アクセス評価のログイベント—特定の Cookie のステータスを確認します。

注: 複数のユーザー アカウントが同じ Chrome ブラウザ プロファイルにログインしている場合、DBSC ログイベントはプライマリ アカウントにのみ表示されます。

ステップ 1: ユーザーのログのイベントで DBSC アクティビティを検索する

このデータソースを使用して、DBSC がキーをユーザー デバイスに正常にバインドし、セッションを検証しているかどうかを確認します。

DBSC がキーをバインドしているかどうかを確認するには:

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**セキュリティ センター**] 次に [**調査ツール**] に移動します。

    調査ツールを開くには、セキュリティ センターの管理者権限が必要です。

  2. [データソース] で [ユーザーのログのイベント] を選択します。
  3. [条件を追加] をクリックします。
  4. [属性] で [イベント]次に[次に一致] を演算子として次に[DBSC キー バインディング] をイベントとして選択します。
  5. [検索] をクリックします。
  6. 結果テーブルで、[イベントのステータス] 列を確認します。
    • 成功—ユーザーに対して DBSC 保護が有効になっており、セッションが保護されています。
    • 失敗—DBSC バインディングに失敗し、ユーザーに対して保護が 有効になっていません。
    • 結果なし—このユーザー セッションでは DBSC 保護が試行されませんでした。

DBSC がセッションを検証しているかどうかを確認するには:

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**セキュリティ センター**] 次に [**調査ツール**] に移動します。

    調査ツールを開くには、セキュリティ センターの管理者権限が必要です。

  2. [条件を追加] をクリックします。
  3. [属性] で [イベント]次に[次に一致] を演算子として次に[DBSC キーの検証] をイベントとして選択します。
  4. [検索] をクリックします。
  5. 結果テーブルで、[イベントのステータス] 列を確認します。
    • 成功—Cookie が正常に検証されました。
    • 失敗—DBSC 検証に失敗しました。ステータス をクリックすると、エラーコードなどの詳細情報が表示されます。

1 回の失敗が必ずしもセッションの 中断を意味するわけではありません。検証の失敗が連続して発生すると、中断が発生する可能性があります。

ステップ 2: アクセス 評価のログイベントでアクセス拒否を確認する

このデータソースを使用して、ユーザーの Cookie へのアクセスが拒否されたかどうかを確認します。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**セキュリティ センター**] 次に [**調査ツール**] に移動します。

    調査ツールを開くには、セキュリティ センターの管理者権限が必要です。

  2. [データソース] で [アクセス 評価のログイベント] を選択します。
  3. [条件を追加] をクリックします。
  4. [**属性**] で [**イベント**]次に[**次に一致**]を演算子として次に[**Cookie 検証リクエストを拒否**]をイベントとして選択します。
  5. [検索] をクリックします。
  6. 結果テーブルで、[拒否]を [イベントのステータス]列でクリックするか、[説明]列のリンクをクリックして、次の失敗理由を確認できるサイドパネルを開きます。
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

ログイベントはセッションごとにグループ化されます。ログの量を管理するため、一意のセッションと失敗タイプごとに 1 時間あたり 1 件のイベント のみが記録されます。同じ詳細情報を使用した他の 試行は、その時間内に記録されません。

ステップ 3: セッションの中断が DBSC によって発生しているかどうかを調査する

セッションの長さの制限 、管理者定義のポリシー、ネットワークの問題など、さまざまな理由でユーザーがログアウトすることがあります。ログアウトは必ずしも DBSC の問題を示すものではありませんが、特定のログシーケンスは、DBSC 関連のアクティビティや、システムが侵害されたセッションをブロックしたインスタンスを特定するのに役立ちます。

次の点を確認して、DBSC 関連のアクティビティを特定します。

  • [ログシーケンスを確認する]—[**DBSC キーの検証**] の失敗の後に [**Cookie 検証リクエストを拒否**] が続く場合は、DBSC がユーザーのログアウトの原因である可能性があります。
  • ユーザーへの影響を把握する—アカウントを安全に保つため、バインディング プロセスでエラーが発生した場合は、ユーザーが再度ログインする必要があります。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。