Google Workspace を使用すると、ユーザーは組織全体およびパートナーとドキュメントを共有できます。 ただし、機密データを外部ユーザーに公開したり、共有リンクを介して公開したりすることもできます。 これらのリスクは、悪意のあるアクターや、危険を認識できない従業員から生じる可能性があります。 Google Workspace には、大規模なサード パーティ製アプリ エコシステムもあります。 これらのアプリは、悪意のあるアプリやアクセス許可が多すぎるアプリから組織を危険にさらす可能性があります。
Google Workspace をDefender for Cloud Appsに接続すると、ユーザー アクティビティの可視性が向上します。 また、機械学習、データ保護アラート (外部共有など)、自動修復制御、サード パーティ製アプリからの脅威の検出を通じて脅威検出を取得することもできます。
Google Workspace 環境に対する主な脅威
Google Workspace を Defender for Cloud Apps に接続すると、次の脅威に対処できます。
- 侵害されたアカウントとインサイダーの脅威
- データ漏洩
- セキュリティに対する認識が不十分
- 悪意のあるサード パーティ製アプリと Google アドオン
- マルウェア
- ランサムウェア
- 管理されていない私物端末の業務利用(BYOD)
Defender for Cloud Appsが環境を保護するのにどのように役立つか
Google Workspace でDefender for Cloud Appsを使用して、次の作業を行います。
- クラウドの脅威、侵害されたアカウント、悪意のある内部関係者を検出する
- クラウド内の機密データの検出、分類、ラベル付け、保護
- 環境内の OAuth アプリを検出して管理する
- クラウド データに DLP ポリシーとコンプライアンス ポリシーを適用する
- 共有データの公開を制限し、コラボレーション ポリシーを適用する
- 調査にアクティビティの監査証跡を使用する
Google Workspace の SaaS セキュリティ体制管理
Google Workspace を接続して、Microsoft セキュア スコアのセキュリティに関するヒントを取得します。 接続したら、[セキュリティ スコア ] で [推奨されるアクション ] を選択します。 次に 、Product = Google ワークスペース でフィルター処理して結果を表示します。
Google Workspace では、 MFA の適用を有効にするセキュリティに関する推奨事項がサポートされています。
詳細については、以下を参照してください:
組み込みのポリシーとポリシー テンプレートを使用して Google ワークスペースを制御する
次の組み込みのポリシー テンプレートを使用して、潜在的な脅威を検出して通知できます。
重要
ファイル ポリシーは、2027 年 1 月 6 日に廃止されます。 このアプリのファイル ベースのデータ保護を維持するには、Microsoft Purview DLP または自動ラベル付けポリシーに移行します。
| タイプ | 氏名 |
|---|---|
| 組み込みの異常検出ポリシー |
匿名 IP アドレスからのアクティビティ 頻度の低い国からのアクティビティ 疑わしい IP アドレスからのアクティビティ 不可能な移動 終了したユーザーによって実行されるアクティビティ (IdP としてMicrosoft Entra IDが必要) マルウェア検出 複数回のログイン試行の失敗 通常とは異なる管理アクティビティ |
| アクティビティ ポリシー テンプレート | 危険な IP アドレスからのログオン |
| ファイル ポリシー テンプレート | 未承認のドメインと共有されているファイルを検出する 個人用メール アドレスと共有されているファイルを検出する PII/PCI/PHI を使用してファイルを検出する |
ポリシーの作成の詳細については、「ポリシーの 作成」を参照してください。
ガバナンス制御を自動化する
潜在的な脅威の監視に加えて、次の Google ワークスペース ガバナンス アクションを適用して自動化して、検出された脅威を修復できます。
| タイプ | アクション |
|---|---|
| データ ガバナンス | - Microsoft Purview Information Protection の秘密度ラベルを適用する - ドメインに読み取りアクセス許可を付与する - Google ドライブでファイル/フォルダーをプライベートにする - ファイル/フォルダーへのパブリック アクセスを減らす - ファイルからコラボレーターを削除する - Microsoft Purview Information Protection の秘密度ラベルを削除する - ファイル/フォルダーの外部コラボレーターを削除する - ファイル エディターの共有機能を削除する - ファイル/フォルダーへのパブリック アクセスを削除する - ユーザーに Google へのパスワードのリセットを要求する - DLP 違反ダイジェストをファイル所有者に送信する - DLP 違反を最後のファイル エディターに送信する - ファイルの所有権を転送する - ごみ箱ファイル |
| ユーザー ガバナンス | - ユーザーの一時停止 - ユーザーにアラートを通知する (Microsoft Entra ID経由) - ユーザーに再度サインインを要求する (Microsoft Entra ID経由) - ユーザーを一時停止する (Microsoft Entra ID経由) |
| OAuth アプリ ガバナンス | - OAuth アプリのアクセス許可を取り消す |
アプリからの脅威の修復の詳細については、「 接続されたアプリの管理」を参照してください。
Google ワークスペースをリアルタイムで保護する
外部ユーザーをセキュリティで保護して共同作業し、機密データのダウンロードをアンマネージド デバイスまたは危険なデバイスにブロックして保護するためのベスト プラクティスを確認します。
Google ワークスペースをMicrosoft Defender for Cloud Appsに接続する
次の手順では、コネクタ API を使用して既存の Google Workspace アカウントにMicrosoft Defender for Cloud Appsを接続する方法について説明します。 この接続を使用すると、Google ワークスペースの使用を可視化して制御できます。
次の Google Workspace コネクタのセットアップ手順は、Google Workspace 管理者が完了する必要があります。Google Workspace の構成手順の詳細については、Google Workspace のドキュメントを参照してください。 Google ワークスペースで開発する |開発者向け Google
注:
Defender for Cloud Appsには、Google ワークスペースのファイルダウンロード アクティビティは表示されません。
Google ワークスペースを構成する
Google ワークスペース スーパー 管理として、次の手順を実行して環境を準備します。
Google ワークスペースにスーパー 管理としてサインインします。
Defender for Cloud Apps という名前の新しいプロジェクトを作成します。
プロジェクト番号をコピーします。 後で必要になります。
次の API を有効にします。
- 管理者 SDK API
- Google ドライブ API
次の詳細を含むサービス アカウントの資格情報を作成します。
名前: Defender for Cloud Apps
説明: Defender for Cloud Appsから Google ワークスペース アカウントへの API コネクタ。
このサービス アカウントにプロジェクトへのアクセス権を付与します。
サービス アカウントの次の情報をコピーします。 後で必要になります
- クライアント ID
新しいキーを作成します。 ファイルとファイルを使用するために必要なパスワードをダウンロードして保存します。
API コントロールで、上記でコピーしたクライアント ID を使用して、ドメイン全体の委任に新しいクライアント ID を追加します。
次の承認を追加します。 必要なスコープの次の一覧を入力します (テキストをコピーし、[ OAuth スコープ ] ボックスに貼り付けます)。
https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user ```
Google 管理コンソールで、コネクタに使用される Super 管理 ユーザーの Google Drive のサービス状態を有効にします。 すべてのユーザーに対してサービスの状態を有効にすることをお勧めします。
Defender for Cloud Appsの構成
google Workspace 接続を完了するには、Defender for Cloud Appsで次の手順を実行します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリ コネクタ] を選択します。
[+ アプリの接続] を 選択し、アプリの一覧から [Google ワークスペース ] を選択します。
Google Workspace 接続の詳細を指定するには、[ アプリ コネクタ] で、組織に既に接続されている GCP インスタンスがあるかどうかに応じて、次のいずれかの操作を行います。
すでに接続済みの GCP インスタンスがある Google Workspace 組織の場合
- コネクタの一覧で、GCP インスタンスが表示される行の末尾にある 3 つのドットを選択し、[ Google ワークスペース インスタンスの接続] を選択します。
まだ接続された GCP インスタンスがない Google Workspace 組織の場合
- [ 接続済みアプリ ] ページで、[ +アプリの接続] を選択し、[ Google ワークスペース] を選択します。
[ インスタンス名 ] ウィンドウで、コネクタに名前を付けます。 [次へ] を選択します。
[ Google キーの追加 ] ウィンドウで、サービス アカウント ID、プロジェクト番号、P12 証明書、スーパー管理者のメール アドレスを入力します。
前にコピーしたEmail、サービス アカウント ID を入力します。
先ほどコピーした プロジェクト番号 (アプリ ID) を 入力します。
前に保存した P12 証明書 ファイルをアップロードします。
Google Workspace Super 管理のメール アドレスを入力します。
Google Workspace Super 管理ではないアカウントを使用してデプロイすると、API テストでエラーが発生し、Defender for Cloud Appsが正しく機能しません。 特定のスコープが必要なため、Super Admin の場合でも、Defender for Cloud Apps は引き続き制限されます。
Google ワークスペース ビジネスまたは Enterprise アカウントをお持ちの場合は、[チェック] ボックスを選択します。 Google Workspace Business または Enterprise のDefender for Cloud Appsで使用できる機能の詳細については、「アプリの即時可視性、保護、ガバナンス アクションを有効にする」を参照してください。
[ Google ワークスペースの接続] を選択します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリ コネクタ] を選択します。 接続されている App Connector の状態が [接続済み] になっていることを確認します。
Google ワークスペースを接続すると、接続の 7 日前にイベントが受信されます。
Google ワークスペースを接続した後、Defender for Cloud Appsはフル スキャンを実行します。 ファイルとユーザーの数によっては、フル スキャンを完了するまでに時間がかかる場合があります。 ほぼリアルタイムのスキャンを有効にするには、アクティビティが検出されたファイルがスキャン キューの先頭に移動されます。 たとえば、編集、更新、共有されたファイルはすぐにスキャンされます。 これは、本質的に変更されていないファイルには適用されません。 たとえば、表示、プレビュー、印刷、またはエクスポートされたファイルは、通常のスキャン中にスキャンされます。
SaaS セキュリティ体制管理 (SSPM) データ (プレビュー) は、[セキュリティ スコア] ページのMicrosoft Defender ポータルに表示されます。 詳細については、「 SaaS アプリのセキュリティ体制管理」を参照してください。
アプリの接続に問題がある場合は、「 アプリ コネクタのトラブルシューティング」を参照してください。