Google Workspace(Gmail および Google Drive)の有効化

事前準備

Google Workspace を有効化するには、次のものが必要です。

  • Google Workspace を有効化するための Administrator アクセス権限が必要です。

  • Email Security と統合するための追加の Google Workspace ライセンス。(無料の G-Suite ライセンス階層をご利用のお客様では、統合はサポートされていません。)

  • サポート対象の最小 SaaS ライセンスが必要です。参照: SaaS アプリケーションを有効化するための最小ライセンス要件.

  • オンプレミスとクラウドのユーザグループを同期するために GCDS(Google Cloud Directory Sync)を使用している場合は、Google Workspace を有効化する前に、これらのユーザグループに対する除外ルールを作成する必要があります。

    • check_point_inline_policy

    • check_point_inline_outgoing_policy

    • check_point_monitor_policy

    • check_point_monitor_outgoing_policy

    詳細:ユーザ グループ.

デフォルトでは、Google Chrome ブラウザは、選択したアカウントではなく、サインインしている Chrome ユーザを Google Workspace で認証します。Google Chrome にサインインしているかどうかを確認するには、ブラウザ's の右上隅にあるユーザ名を確認します。

可能な回避策:

  • Chrome 以外のブラウザを使用して Google Workspace の有効化を実行します。

  • 続行する前に、ログインしている Chrome ユーザをサインアウトします(Guest に切り替えます)。

Google Workspace(Gmail / Google Drive)のオンボーディング中に、Email Security はルート組織部門にサービス ユーザ(cloud-sec-av@[domain])を作成します。

オンボーディングの前に、Google Admin console でこれらの設定が選択されていることを確認してください。

  • ルート組織部門のAuthentication Settingsに移動し、これらの設定を確認します。

    • Allow users to turn on 2-Step Verification チェックボックスが選択されています。

    • Only security key オプションが選択されている場合は、Don’t allow users to generate security codes オプションを選択しないでください。

:

Authentication Settings がサポートされていない場合、オンボーディングは失敗します。この問題を解決するには、次のいずれかを実行します。

  • ルート組織部門のサポートされていない Authentication Settings を維持する場合は、サービス ユーザ(cloud-sec-av@[domain])を、サポートされている Authentication Settings を持つ組織部門に移動します。その後、Gmail または Google Drive のオンボーディングを再度開始します。

  • サポートされている Authentication Settings を持つ新しい専用の組織部門を作成し、サービス ユーザ(cloud-sec-av@[domain])をその組織部門に移動します。その後、Gmail または Google Drive のオンボーディングを再度開始します。

Gmail の有効化

00:00:

00:05: このチュートリアルでは、Check Point Email SecurityでGmailの

00:09: 保護を有効にする方法を説明します。

00:11: Check Point Portalにログインし、Email Security Administration Portal

00:16: にアクセスします。GmailがEmail Securityにオンボーディングする最初の製品である場合は、

00:21: Welcomeページが表示されます。

00:23: すでにCheck Pointからコントラクトを購入している場合は、「already have a contract」をクリックし、

00:27: 画面上の指示に従ってUser Centerアカウントを追加します。

00:30: それ以外の場合は、デフォルトでStart free trialをクリックします。

00:34: 試用期間は14日間で、すべての機能にアクセスできます。

00:38: 「welcome to checkpoint」ページが表示された場合は、let's get startedをクリックし、SaaS

00:42: 選択ページが表示されたら、GmailのStartをクリックします。

00:45: すでにEmail Securityで別のSaaS アプリケーションをオンボーディングしている場合は、Overview

00:49: ページが表示されます。Security Settingsをクリックし、次にSaaS Applicationsをクリックします。

00:55: GmailのStartをクリックします。

00:57: 表示される確認ポップアップで、確認のためStartをクリックします

01:01: インストールモードを選択します。checkpointでは自動

01:05: モードの使用を推奨しています。これは、より優れたメンテナンス管理と、よりスムーズなユーザ

01:09: エクスペリエンスを提供します。

01:10: 確認のためOKをクリックします。

01:12: Googleログインページにリダイレクトされますので、画面上の

01:16: 指示に従い、Google Global administratorの認証情報でサインインします。

01:20: Google Workspaceへの認証に成功すると、

01:25: Email Securityアプリケーションのインストールページにリダイレクトされます。「Admin Install」をクリックします。

01:30: 表示される確認ポップアップでContinueをクリックします。

01:34: 権限を確認し、everyone at your organizationを選択します。

01:39: 利用規約を選択してNextをクリックします。

01:42: アプリケーションのインストールが正常に完了すると、確認ポップアップが

01:46: 表示されるので、Doneをクリックします。

01:48: アプリケーションが正常にインストールされたので、組織内のすべてのユーザを保護するためのGmailグループ選択

01:52: ポップアップが表示されます。

01:55: すべての組織を選択して、特定のグループ

01:59: のユーザを保護するには、specific groupを選択してグループ名を入力し、その後

02:04: OKをクリックします。

02:05: Gmail SaaSが有効になり、Email

02:07: Securityがセキュリティイベントのモニタを開始します。脅威を防止するには、

02:11: ポリシー保護モードを変更する必要があります。

02:15: そのためには、左側のナビゲーションパネルから、ポリシーをクリックします。

02:19: Google mailを展開し、default threat protectionをクリックします。

02:23: ポリシー保護モードとしてprevent inlineを選択します。

02:27: 下にスクロールしてSave and Applyをクリックします。

02:28: これでポリシー保護モードがPrevent (Inline)に変更され、Email Securityが

02:33: 防止アクションの実行を開始します。

02:36:

Gmail を有効化するには:

  1. Security Settings > SaaS Applications に移動します。

  2. Gmail の Start をクリックします。

  3. 動作モードを選択します:

    • Automatic mode

      Email Security は Google Workspace 環境に必要な設定を実行し、Monitor only モードで動作します。

    • Manual mode

      アプリケーションを Gmail アカウントにリンクする前、およびメールに関連付けられたセキュリティポリシーを追加または編集するたびに、Google Admin Console で必要な設定を手動で構成する必要があります。

    -Check Pointは、保守と管理を向上させ、よりスムーズなユーザーエクスペリエンスを実現するために、Automatic mode の使用を推奨しています。Manual modeを使用する前に、Check Point Supportへ連絡して、オンボーディングのAutomatic modeで発生した問題の解決について支援を受けてください。

  4. I Accept Terms Of Service チェックボックスを有効にして、OK をクリックします。

  5. 表示される Google Workspace ウィンドウで、Google 管理者の認証情報を使用してサインインします。

  6. 認証が正常に完了すると、Email Security アプリケーションのインストールページにリダイレクトされます。

    Admin Installをクリックします。

  7. 表示される Admin install ポップアップで、Continue をクリックします。

  8. Email Security アプリケーションによって要求される権限を確認します。Everyone at your organization を選択し、利用規約に同意して、Finish をクリックします。

  9. Email Security アプリケーションのインストール完了後に表示される確認ポップアップで、Done をクリックします。

    Gmail - Group Selection表示されるポップアップ。

  10. 組織内のすべてのユーザを保護するには、All Organization を選択し、OK をクリックします。

  11. 組織内の特定のユーザを保護するには、 Specific group を選択し、グループ名を入力して OK をクリックします。

    - グループ名には関連付けられたメールアドレスが必要です。

    動作のために Automatic mode を選択した場合、Email Security は Gmail SaaS アプリケーションを有効にし、セキュリティイベントのモニタリングを開始します。

    動作のために Manual mode を選択した場合、Google Gmail を Email Security と統合するために追加の変更を行う必要があります。

Google Drive の有効化

00:03: このチュートリアルでは、Check Point Email Security を使用して Google Drive

00:07: に対する保護を有効にする方法を説明します。

00:09: Check Point Portal にログインし、Email Security Administrator Portal

00:14: にアクセスします。Google Drive が Email Security に最初にオンボーディングする製品である場合、

00:19: Welcome ページが表示されます。

00:21: すでに checkpoint から契約を購入している場合は、already have a contract をクリックし、

00:25: 画面上の指示に従って User Center アカウントを追加します。

00:29: それ以外の場合は、デフォルトで Start free trial をクリックします。

00:32: トライアル期間は 14 日間で、すべての機能にアクセスできます。

00:36: welcome to checkpoint ページが表示された場合は、let's get started をクリックします。

00:39: そして、表示される SAS selection ページで、Google Drive の Start をクリックします。

00:44: すでに Email Security で別の SaaS アプリケーションをオンボーディングしている場合は、Overview

00:49: ページが表示されます。Security Settings をクリックし、次に SaaS Applications をクリックします。

00:55: Google Drive の Start をクリックします。

00:57: 表示される確認ポップアップで、確認のために Start をクリックします

01:01: これで Google ログインページにリダイレクトされます。画面上の

01:05: 指示に従い、Google Global administrator の認証情報でサインインします。

01:09: Google Workspace への認証が正常に完了すると、次の画面にリダイレクトされます

01:13: Email Security、つまり Harmony Email & Collaboration アプリケーションのインストール

01:18: ページです。「Admin Install」をクリックします。

01:21: Harmony Email & Collaboration アプリケーションがすでにインストールされている場合

01:25: Gmail の SAS アプリケーションのオンボーディング時に、インストール オプションが

01:29: 表示されないため、その場合はメニュー アイコンをクリックします。

01:33: 表示されるリストで、一番下までスクロールして Harmony Email

01:37: & Collaboration アプリケーションを選択します。

01:40: Google Drive SaaS が有効になり、Email

01:43: Security がセキュリティ イベントのモニタを開始します。脅威を防ぐには、

01:47: ポリシー保護モードを変更する必要があります。

01:50: そのためには。左側のナビゲーションパネルから、policy をクリックします。

01:54: Google Drive を展開し、デフォルトの脅威対策ルールをクリックします。

01:59: ポリシー保護モードとして detect and remed. を選択します。

02:03: 下にスクロールして Save and Apply をクリックします。

02:05: これで、ポリシー保護モードが Detect and Remediate に変更されると、Email

02:10: Security は修復アクションの実行を開始します。

Google Drive を有効化するには:

  1. Security Settings > SaaS Applications に移動します。

  2. Google Drive の Start をクリックします。

  3. Google 管理者の認証情報を使用して Google Workspace Marketplace にログインします。

     

  4. Check Point Cloud Security アプリが Google Workspace Marketplace からすでにインストールされている場合、認証が正常に完了すると、Email Security はユーザの Google Drive のスキャンを開始します。

    そうでない場合は、次の手順 3 から続行しますGmail の有効化.

- Google Drive を有効化した後、Email Security はそのコンテンツの遡及スキャンを実行します。

Google Workspace での自動設定の詳細については、以下を参照してください。Google Workspace フットプリント.

Google Workspace フットプリント

次の後Google Workspace(Gmail および Google Drive)の有効化、Email Security は自動的に、スーパー管理者、ホスト(メール ルート)、インバウンド ゲートウェイ、SMTP リレー サービス、2 つのユーザ グループ、および 4 つのコンテンツ コンプライアンス ルールを作成します。

スーパー管理者

Check Point Cloud Security アプリのインストール中に、新しい スーパー管理者 ユーザ アカウントが Google Admin Console に作成されます。

スーパー管理者 ユーザは、cloud-sec-av@[domain] 形式のメール アドレスを持ち、Check Point サービス ユーザと呼ばれることもあります。

このユーザには Gmail ライセンスが必要です。スーパー管理者 ロールの詳細については、Pre-built administrator roles を参照してください。

スーパー管理者ユーザは何に使用されますか?

Email Security は、Google API では実行できないタスクを実行するためにスーパー管理者ユーザを使用します。

Email Security は、これらのタスクを実行するためにスーパー管理者ユーザを使用します。

スーパー管理者のセキュリティ

スーパー管理者 のパスワードには、小文字、大文字、および数字を組み合わせた 43 文字のランダムな文字列が含まれています。パスワードは AWS Key Management Service(AWS KMS)に安全に保存されます。

また、Check Pointでは、このアカウントのセキュリティを強化するために、多要素認証(MFA)を有効にすることを推奨しています。

Google アプリケーション ロールの変更

Google Workspace SaaS アプリケーションを Email Security に正常にオンボードした後、管理者は、Check Pointアプリケーションに割り当てられたロールを変更できます。これを行うには、以下を実行します。

  1. スーパー管理者権限を持つアカウントで Google Admin Console にサインインします。

  2. カスタム管理者ロールを作成します。詳細は、Google Documentationを参照してください。

  3. このロールに次の権限を割り当てます。

    1. Admin console 権限で:

      1. Settings 権限を Gmail に割り当てます。

      2. Groups 権限を割り当てます。

    2. Admin API 権限で、Groups 権限を割り当てます。

  4. Cloud-Sec-AV Service Admin ロールを検索し、次を実行します。

    1. Super Admin ロールの割り当てを解除します。詳細は、Google Documentationを参照してください。

    2. 手順 2 で作成したカスタム管理者ロールを割り当てます。詳細は、Google Documentationを参照してください。

ユーザに代わってアクションを実行する

Googleのベストプラクティスによると、Check Pointアプリケーションは、ユーザに代わって特定のアクション(たとえば、メールの隔離)を実行するために委任を使用します。

デフォルトでは、これらのアクションの一部は、オンボーディングプロセス中にアプリケーションを承認したアカウントを使用して、ユーザに代わって実行されます。このアカウントが削除された場合、ユーザが存在しなくなった場合、または必要な権限を持たなくなった場合、Check Pointアプリケーションは、これらのアクションの委任先を自動的にサービスアカウントに切り替えます。

ユーザ グループ

Google Workspaceを有効化すると、Email Securityはこれらのユーザ グループを自動的に作成します。

  • check_point_inline_policy

  • check_point_inline_outgoing_policy

  • check_point_monitor_policy

  • check_point_monitor_outgoing_policy

ホスト

Email Securityは、Google Admin Consoleにホスト(別名 mail route)を自動的に作成します。Google Admin ConsoleのApps > G Suite > SettingsGmail > Hosts でホストを確認できます。

- デフォルトでは、Required mail to be transmitted via a secure (TLS) connection (Recommended)チェックボックスが選択されています。これを無効にするには、次に連絡してくださいCheck Point Support.

受信ゲートウェイ

Email Securityは、Inbound gatewayを自動的に作成します。受信ゲートウェイは、Google Admin consoleのApps > G Suite > Settings for Gmail > Advanced Settingsで確認できます。

SMTP リレーサービス

Email Securityは、SMTP relay serviceを自動的に作成します。SMTP リレーサービスは、Google Admin consoleのApps > G Suite > Settings for Gmail > Advanced Settingsで確認できます。

コンテンツ コンプライアンス ルール

Email Securityは、Content Compliance Rulesを3つ自動的に作成します。コンテンツ コンプライアンス ルールは、Google Admin consoleのApps > G Suite > Settings for Gmail > Advanced Settingsで確認できます。ルール名は次のとおりです。

  • [tenantname]_monitor_ei

  • [tenantname]_monitor_ii

  • [tenantname]_monitor_eo

  • [tenantname]_inline_ei

ここで、ei は受信トラフィック、ii は内部トラフィック、eo は外部へのトラフィックを表します。

- [tenantname]_inline_ei ルールは、Protect (Inline)モードが有効な場合に作成されます。Email Securityでユーザに対するProtect (Inline)モードを削除しても、コンテンツ コンプライアンス ルールはGoogle Admin consoleに残りますが、ユーザ グループcheck_point_inline_ruleの内容は、このモードで保護されているユーザがいないことを反映するように更新されます。

Google Drive の権限変更

管理者によって設定されたGoogle Driveポリシーに応じて、Email SecurityはGoogle Driveにアップロードされたファイルに対してアクション(隔離、権限の削除)を実行します。

Email Securityは、ファイルを含むDriveにオーナーがいるかどうかに応じて、これらのアクションを実行するために異なるユーザを使用します。

  • Google Driveにオーナーがいる場合、Email Securityはオーナーに代わってアクションを実行します。

  • Google Driveにオーナーがいない場合、Email Securityは次の手順に従います。

    1. Email Securityは、スーパー管理者ユーザをDriveのオーナーとして追加します。

    2. Email Securityは、スーパー管理者ユーザを使用してファイルに対して必要なアクションを実行します。

    3. Email Securityは、Driveのオーナーからスーパー管理者ユーザを削除します。