Googleドライブ

概要

Googleドライブは、ファイル共有とコラボレーションを可能にするクラウドストレージシステムです。Email Security は、Googleドライブで共有されるファイルを悪意のあるコンテンツおよびデータ漏洩防止（DLP）についてスキャンし、悪意のあるコンテンツに対して対応可能なイベントを生成することで、Googleドライブにセキュリティ、プライバシー、およびコンプライアンスを追加します。

仕組み

Email Security は、Googleドライブに対して次のセキュリティ機能を提供するセキュリティレイヤーを追加します。

• データ漏洩防止（DLP）: 機密データを含むアップロード済みファイルを保護します

• アンチマルウェア: ファイル内の悪意のあるコンテンツをスキャンします

• 修復: 悪意のあるファイルおよび機密データを含むファイルを隔離します。

Email Security は、次のシナリオでファイルをスキャンします:

• 新しいファイルが作成されます

• ファイルがアップロードされます

• ファイルが変更（編集）されます

• ファイルまたはディレクトリが新しいメンバと共有されます

注 - Email Security は、インストール時点からファイルのスキャンを開始します。インストール前から存在していたファイルは、遡ってスキャンされません。

必要な権限

Email Security が使用する Googleドライブ のクラウド状態は、次のエンティティで構成されます。

• ユーザ

• グループとメンバーシップ

• トークン

• アプリ

• ファイルとフォルダ

• 権限

クラウド状態が保存されると、Email Security は各ユーザの変更のモニタを開始します。クラウド内の各ユーザの変更を追跡するために、Email Security は次のチャネルを使用します。

• 変更について、各ユーザを Google Push Notifications に登録します（https://developers.google.com/drive/v3/web/push）。

• プッシュ通知が失敗した場合は、1 分ごとに各ユーザのポーリングにフォールバックします（https://developers.google.com/drive/v3/web/manage-changes）

• 各ユーザを Google Reports API に登録して、権限、外部アプリへの認可、およびトークンに関連するそのアクティビティを取得します。（ https://developers.google.com/admin-sdk/reports/v1/get-start/getting-started）

Email Security は、API から Googleドライブ に対して次のリソースを使用します。

• ファイルとフォルダのメタデータ（ファイルコンテンツは含みません）

• ユーザとグループのメタデータ

• 権限

• 変更（変更されたファイルのコンテンツは含みません）

• チャネル

• トークン

• アプリケーション

Googleドライブのアクティブ化

Googleドライブをアクティブ化する手順の詳細については、次を参照してくださいGoogle Drive の有効化.

Googleドライブの非アクティブ化

Googleドライブを非アクティブ化するには:

1. Security Settings > SaaS Applicationsをクリックします。

2. Googleドライブの Stop をクリックします。

   

Googleドライブのセキュリティ設定

隔離のカスタマイズ

管理者は、隔離フォルダと場所（メールアドレス）をカスタマイズできます。

隔離フォルダ

隔離フォルダは、マルウェアに感染したファイル、および組織のデータ共有ポリシーに準拠しない機密情報を含むファイルを隔離するために使用されます。これらすべてのファイルは、あらかじめ定義された単一の隔離フォルダに隔離されます。

注: 隔離フォルダは、指定されたメールアドレスのルートディレクトリに作成されます。エンドユーザはこのフォルダにアクセスできません。 これらの隔離されたファイルを保存するのは Google のみです。

Googleドライブポリシーの設定

マルウェアポリシー

デフォルトでは、Googleドライブのマルウェアポリシーは、アップロードされたファイルに悪意のあるコンテンツが含まれていないかスキャンします。

サポートされるアクション

Googleドライブのマルウェアポリシーは、次のアクションをサポートします。

• マルウェアに感染したファイルを隔離します。

• 所有者にアラート: 悪意のあるコンテンツを含むファイルをアップロードしたユーザにメール通知を送信します。

• 管理者にアラート: 悪意のあるファイルについて管理者にメール通知を送信します。

マルウェアポリシーの設定

マルウェアポリシーを設定するには:

1. Email Security Administrator Portal の左側のパネルで、Policyをクリックします。

2. Add a New Policy Ruleをクリックします。

3. Choose SaaSドロップダウンリストから、Google Drive を選択します。

4. Choose Securityドロップダウンリストから Malware を選択し、Nextをクリックします。

5. 目的の保護モード（Detect and Remediate または Detect）を選択します。

   必要に応じて、Rule Nameを変更できます。

6. ポリシーの Scope を選択します。

   • ポリシーを特定のユーザまたはグループに適用するには、ユーザとグループを選択して Add to Selectedをクリックします。

   • ポリシーを組織内のすべてのユーザおよびグループに適用するには、All Users and Groups チェックボックスを有効にします。

   • ポリシーから特定のユーザまたはグループを除外するには、ユーザ/グループを選択して Add to Excludedをクリックします。

7. Blades で、ポリシーに必要な脅威検出ブレードを選択します。

   注 - マルウェア検出で利用可能なすべてのブレードを選択するには、All running threat detection blades チェックボックスを有効にします。

8. Suspected malware workflow (Attachment) の Workflows で、ポリシーに必要なワークフローを選択します。

   • 隔離。ユーザに通知され、復元が許可されます

   • 隔離。ユーザに通知され、復元を要求できます（管理者の承認が必要です）

   • 隔離。ユーザには通知されません（管理者は復元できます）

   • 何もしない

   注 - Workflows は、Detect and Remediate 保護モードが有効な場合にのみ使用できます。

9. マルウェアに感染したファイルを隔離するには、Quarantine drive files チェックボックスを有効にします。

   注 - このオプションは、Detect and Remediate 保護モードでのみ使用できます。

10. ポリシーの Alerts を設定します。

    1. マルウェアのファイル所有者にメールアラートを送信するには、Alert file owner of malware チェックボックスを有効にします。

    2. マルウェアについて管理者にメールアラートを送信するには、Alert admin(s) チェックボックスを有効にします。

       

    注：

    • ポリシーでここでアラートが有効になっている場合でも、管理者がセキュリティイベントのメールアラートを受信するのは、Receive Alerts で Specific Service Role ロールが有効になっている場合のみです。Check Point Portal でロールと権限を管理する方法の詳細については、Global Settings > Users を参照してくださいCheck Point Portal Administration Guide.

    • メールアラートテンプレートをカスタマイズするには、アラートの右側にある歯車アイコンをクリックします。

11. Save and Applyをクリックします。

DLP ポリシー

デフォルトでは、DLP ポリシーは Google Drive にアップロードされたファイルをスキャンし、クレジットカード番号や社会保障番号（SSN）などの漏えいの可能性がある情報を検出します。

サポートされるアクション

Google Drive DLP ポリシーは次のアクションをサポートしています:

• 漏えいの可能性がある情報を含むファイルを隔離します。

• 所有者に通知: 機密情報を含むファイルをアップロードしたユーザにメール通知を送信します。

• 管理者に通知: 機密情報を含むファイルについて管理者にメール通知を送信します。

Google Drive の DLP ポリシーを設定する

DLP ポリシーを設定するには:

1. Email Security Administrator Portal の左側のパネルで、Policyをクリックします。

2. Add a New Policy Ruleをクリックします。

3. Choose SaaSドロップダウンリストから、Google Drive を選択します。

4. Choose Securityドロップダウンリストから DLP を選択し、Nextをクリックします。

5. 目的の保護モード（Detect and Remediate または Detect）を選択します。

   必要に応じて、Rule Nameを変更できます。

6. ポリシーの Scope を選択します。

   • ポリシーを特定のユーザまたはグループに適用するには、ユーザとグループを選択して Add to Selectedをクリックします。

   • ポリシーを組織内のすべてのユーザおよびグループに適用するには、All Users and Groups チェックボックスを有効にします。

   • ポリシーから特定のユーザまたはグループを除外するには、ユーザ/グループを選択して Add to Excludedをクリックします。

7. DLP Criteria で、ポリシーに必要な DLP カテゴリを選択します。

   DLP データタイプとカテゴリの詳細については、次を参照してください付録 E: DLP 組み込みデータタイプとカテゴリ.

8. ポリシーに必要な感度レベルを選択します。

   1. 非常に高い（ヒット数 > 0）

   2. 高い（ヒット数 > 2）

   3. 中程度（ヒット数 > 5）

   4. 低い（ヒット数 > 10）

   5. 非常に低い（ヒット数 > 20）

9. 内部ユーザとのみ共有されているメッセージおよびファイルに対して DLP ポリシーを除外するには、Skip Internal itemsチェックボックスを有効にします。

10. ポリシーに必要な Actions を設定します。

    1. 機密データを含むファイルを Vault に送信するには、Send files with sensitive data to vaultチェックボックスを選択します。

    2. DLP に関するメールアラートを管理者に送信するには、Alert admin(s)チェックボックスを選択します。

    3. DLP に関するメールアラートをファイル所有者に送信するには、Alert file owner(s)チェックボックスを選択します。

    4. 機密データを含む検出ファイルを検疫に送信するには（ファイル所有者はアクセス不可）、Quarantine drive filesチェックボックスを選択します。

       

    注：

    • ここでポリシー内でアラートが有効になっている場合でも、管理者がセキュリティイベントに関するメールアラートを受信するのは、Receive Alerts ロールが Specific Service Role で有効になっている場合のみです。Check Point Portal でのロールと権限の管理の詳細については、Global Settings > Users のCheck Point Portal Administration Guide.

    • メールアラートテンプレートをカスタマイズするには、アラートの右側にある歯車アイコンをクリックします。

11. Save and Applyをクリックします。

Google Drive セキュリティイベントの表示

Email Security は、Google Drive の検出をセキュリティイベントとして記録します。イベントタイプは、そのイベントを作成したポリシーのタイプによって異なります。セキュリティイベントは、自動的に検出/防止されたか、防止されなかった後で管理者によって発見されたかに応じて、さまざまな方法で処理できます。

Events 画面には、すべてのセキュリティイベントの詳細ビューが表示されます。

Vault に配置されたファイルに対するアクション

ファイル内でデータ漏洩が検出されると、Email Security は次の手順を実行します。

• ファイル権限を取り消します。

• ファイルを安全な Vault フォルダに移動します。

Email Security はこの vault フォルダをユーザ's ローカルドライブに保存し、他者と共有できません。

外部共有ドライブでの Vault アクション

My Drive に保存されているファイルについては、ファイルまたはフォルダが他者と明示的に共有されていない限り、アクセスはファイル所有者によって管理されます。

共有ドライブでは、ドライブが外部共有されている場合、ドライブに設定された権限がその中のすべてのファイルに適用されます。

注 - ドライブが外部共有されている場合、標準の Vault プロセスは想定どおりに機能しないことがあります。個々のファイルからアクセスを取り消すことはできません。これらのファイルは共有ドライブから権限を継承するためです。

外部アクセスを制限するには、ドライブ全体の権限を変更する必要があります。ただし、顧客は多くの場合、ドライブ全体に影響を与えることなく、データ漏洩防止 (DLP) ポリシーによってフラグ付けされた特定のファイルへのアクセスを制限したいと考えます。

外部共有ドライブでの DLP 検出の処理

外部共有ドライブでの DLP 検出を管理するために、Vault を制御する次の設定オプションを使用できます。

• Use Vault Folder（デフォルト）: ファイルから直接権限（共有ドライブから継承されない権限）を削除し、ドライブのルートにある Vault フォルダに移動します。これにより、外部アクセスを防止しながら、ファイルを内部でアクセス可能な状態に保てます。

• Use Quarantine as Vault: ファイルを Check Point's インフラストラクチャ内の検疫場所に転送します。

• Fail Vault Action: 外部共有ドライブで DLP 検出が発生した場合、このオプションを選択すると Vault アクションは失敗し、エラーを返します。これにより、それが望ましい動作である場合は、変更が一切行われないことが保証されます。