DoiT acquires SELECT to optimize Snowflake and BigQuery
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

2024年、全Super AdminアカウントでGoogle 2段階認証が必須に

By Dustin ChristliebMay 20, 20244 min read

このページはEnglishDeutschEspañolFrançaisItalianoPortuguêsでもご覧いただけます。

Google Workspaceは、全Super Adminアカウントに対するGoogle 2段階認証(2SV)の義務化によって、プラットフォームのセキュリティ強化を進めています。本変更は2024年を通じて段階的に展開され、Super Adminは自身のアカウントで2SVへの登録が必要となります。まずGoogle WorkspaceのEnterpriseエディションを利用する組織から開始し、順次すべてのGoogle Workspaceエディションへ拡大される予定です。

2段階認証(2SV)は、多要素認証(MFA)や二要素認証(2FA)とも呼ばれるセキュリティの第二の層であり、ログイン時に本人確認のため2つの情報の入力をユーザーに求める仕組みです。アカウントのパスワードに加え、サインイン完了のために第二の認証手段が必要となります。第二の要素には、セキュリティキー(最も安全)、Google Authenticatorのプロンプト、電話やSMSによる確認コードの受信(安全性は比較的低い)などがあります。

今回の変更は、Super Adminアカウントのセキュリティを高め、攻撃者による侵害をより困難にする評価すべき一歩です。セキュリティ意識の高いユーザーには歓迎すべき動きですが、サービスアカウントの保護を検討すべき組織にとっては課題となる可能性もあります。なお、本変更の対象はSuper Adminアカウントのみであり、委任管理者や一般ユーザーがGoogleによる2SVの強制対象になることはありません。Super Adminには、強制適用の60日前に2段階認証への登録を促す通知が届くほか、Googleサービスにサインインするたびに、指定日までに2SVを有効化するようリマインダーが表示されます。Super Adminアカウントが日常的に利用されていない場合、こうしたサインイン時の通知が見落とされる可能性もあるため、注意が必要です。さらに強制適用の30日前にも、Super Adminのメールアドレスや携帯電話宛に追加の通知が送信されます。

サービスアカウントは、サードパーティ製アプリケーションがGoogle Workspaceリソースにアクセスする際に利用されるケースがあります。サービスアカウントに2段階認証が設定されていない場合、攻撃者の標的になりやすく、機密データへの不正アクセスや、Google Workspaceドメイン全体の制御権限の奪取につながる恐れがあります。

サービス停止を未然に防ぐため、Google Workspace管理者はすべてのSuper Adminサービスアカウントが2SVに登録済みであることを確認しておきましょう。Adminコンソールで メニュー > レポート > ユーザーレポート > セキュリティ ページを開くと確認できます。レポート上部で「 管理者ステータス」フィルターを適用すれば、Super Adminアカウントのみを表示できます。

各Super Adminアカウントには、**「2段階認証の登録状況」**という列が表示され、2SVへの登録状況を確認できます。この列を見れば、各アカウントが2SVに登録済みかどうかが一目でわかります。

User Reports section filtered to show Super Admin accounts.Super Adminアカウントのみを表示するようフィルターを適用したユーザーレポートのセクション。

Google 2段階認証に未登録のSuper Adminアカウントを特定したら、管理者は今後に向けて2SVポリシーを適用する手順に進めます。Adminコンソールの「セキュリティ > 2段階認証」ページから、現在のポリシーを確認できます。具体的な導入計画は、自社の組織部門の構造や、Google Workspaceアカウントを利用する非管理者ユーザーにサードパーティのIDプロバイダを使用しているかどうかによって異なります。よく用いられる方法としては、すべてのSuper Adminアカウントを専用グループにまとめ、指定の将来日からそのグループに対して2段階認証の強制を有効化するというものがあります。この設定により、新しいポリシーが適用されたグループに追加されたアカウントのうち、まだ2SVに未登録のものは、サインインのたびにGoogleから2段階認証への登録を求められます。「新規ユーザー登録期間」ポリシーオプションを安全に運用するには、これを「なし」に設定したうえで、新しいアカウントにSuper Adminロールを付与する前に必ず2段階認証を設定するよう管理者に徹底するのがおすすめです。

2-Step Verification policy enforcement settings.2段階認証ポリシーの強制適用設定。

Super AdminアカウントをGoogle 2段階認証に登録するのに加え、最新のOAuth2認証(おなじみの「Googleでログイン」画面)に対応していない連携については、ワンタイムのアプリパスワードを利用することもできます。これにより、レガシーなアプリやサービスと連携する場合でも、Googleアカウントは2SV強制ポリシーの保護下に置かれ、サービスアカウントのセキュリティが強化されます。

すべてのSuper Adminを2段階認証に登録する事前対策を講じておくことで、管理者はアカウントのセキュリティを強固にし、Googleによるポリシー強制適用時のロックアウトやサービス停止のリスクを最小限に抑えられます。