はじめに

皆さんこんにちは。クラウドセキュリティブログ6回目では「iboss」で実現するGoogle Workspace ドメイン制御について設定方法とともに紹介します。

Google Workspace ドメイン制御とは？

Google Workspace（旧G Suite）はGoogle社が提供しているビジネス向けコラボレーションツールでビジネス用に拡張されたGmail、カレンダー、Meet、Chat、ドライブ、ドキュメント、スプレッドシート、スライド、フォーム、サイトなどが利用可能です。※エディションにより利用可能な機能は異なります。
Google Workspace はクラウドサービス（＝SaaS）として提供されており、一般向けに無償提供されているGoogle サービスと同様のログインURLからアクセスする事になります。その為、業務用に会社から支給しているPCやスマートフォンから一般ユーザー向けの個人Gmail アカウントや、別ドメインで管理されているGoogleアカウントからログイン出来てしまい、機密情報の持ち出しや情報漏えいといったセキュリティリスクが存在します。その為、ibossの様なクラウドプロキシを介する事で組織で管理されているビジネスユーザー向けの Google アカウントのみに接続元を制限する事が可能です。この手法は、昨今のリモートワーク環境の様な社外から利用状況下においても非常に有効です。

※「Google サービスへのドメイン制御」の詳しい解説はGoogle社のドキュメントをご確認下さい。
一般ユーザー向けアカウントからのサービス利用を防ぐ

ibossで実現するGoogle Workspace ドメイン制御とは

ibossではどちらか2つの方法が制御を行う事が可能です。

　①CASB機能より制御対象のGoogleサービス毎にドメイン制御
　②Proxy機能でHTTP ヘッダーを追加し許可するドメイン名を挿入

これらの方法を紹介していきます。

①CASB機能より制御対象のGoogleサービス毎にドメイン制御

CASB > CASB App Controls から制御対象のGoogleサービスを有効にして許可するドメインを設定するだけの最も簡単な設定方法です。特定のサービスのみに制御を掛けたい場合に有効です。

②Proxy機能でHTTP ヘッダーを追加し許可するドメイン名を挿入

google.com 宛てのすべての送信トラフィックをSSLインターセプトし、HTTPヘッダーに許可するドメインを挿入する方法です。全てのGoogleサービスにドメイン制御が掛かります。
設定手順は下記の通りです。

①Proxy Rules > Manage Match Patterns > Add Match Pattern よりGoogle宛てのマッチパターンを作成

②Proxy Rules > Add Proxy Rule よりProxy Ruleを作成任意のProxy Rule Nameを設定

③で作成したマッチパターンを選択

④HTTPヘッダーを追加するルールアクションを設定

⑤許可されていないドメインから各Googleサービスへの認証は失敗し、許可されたドメインからのみアクセスが成功します

最後に