リスクチェック機能は、Google WorkspaceなどのSaaSアプリケーションの潜在的なセキュリティリスクを自動で可視化し、セキュリティ課題の解決を支援します。
本ページではリスクチェック機能について説明します。
リスクチェックの主な機能
- 監視:SaaSアプリケーションのユーザーアカウントの状態を自動で監視します。
- 評価:セキュリティリスクを検知し危険度を表示します。
- 対策:対応方法を自動提示し、対応進捗を表示します。
なお、Google Workspaceとそれ以外のSaaSアプリケーションで、実施できる機能が異なります。
詳細は以下をご確認ください。
リスク情報の詳細(危険度 / リスク / 対応 / 対象SaaS)
| 危険度 | リスク | 対応 | 対象SaaS |
|---|---|---|---|
| 高 | シャドーアカウント | IT Expert Services SaaS管理上で、メンバーまたはシステムアカウントを紐付けします。アカウントが必要ない場合、アカウントを無効化または削除します。 |
すべてのSaaS |
| 高 | 未登録アカウント | すべてのSaaS | |
| 高 | 在籍中ではないメンバーに紐づいたアカウント | アカウントが必要ない場合、アカウントを無効化または削除します。 | すべてのSaaS |
| 高 | ドメイン外のメールアドレス |
アカウントの所有者や関連するマネージャに対して、ドメイン外のメールアドレスが登録されていることについてその理由を確認します。アカウントが必要ない場合、アカウントを無効化または削除します。 ※ 「ゲストアカウント」と紐付くアカウントがドメイン外のメールアドレスを持つ場合、リスクとしては検知されません。 |
すべてのSaaS |
| 高 | 管理者アカウントの2段階認証設定 | Google管理コンソールにログインし、すべての管理者アカウントに対して2段階認証を強制します。 | Google Workspace |
| 高 | 一般アカウントの2段階認証設定 | Google管理コンソールにログインし、一般アカウントに対して2段階認証を強制します。 | Google Workspace |
| 高 | 4つ以上の特権管理者アカウント | 特権管理者ロールを持つアカウントの数を減らしてください。 |
Google Workspace |
| 高 | 特権管理者アカウントが2つ存在しない | 特権管理者ロールを持つアカウントを少なくとも1つ追加で作成します。 |
Google Workspace |
| 中 | 30日間ログインがないアカウント | アカウントの所有者や関連するマネージャに対して、アカウントが一定期間使用されていないことについてその理由を確認します。アカウントが必要ない場合、アカウントを無効化または削除します。 |
詳細は「【マイアプリ】アカウントの最終ログイン日時が取得できるアプリの一覧はありますか?」のヘルプページをご覧ください。 |
| 低 | - | - | - |
- フィルター「危険度」のプルダウン項目に「低」と表示されますが、現時点では「低」に該当するリスク項目はありませんのでご注意ください。
- 「在職中ではないメンバー」は、在籍ステータスが「離職済」のメンバーを指しています。
画面の構成
【リスクチェック一覧】
| 番号 | 項目 | 表示名 | 内容 |
|---|---|---|---|
| ① | リスクチェック結果 | すべて | リスクチェックを実施したすべての項目件数 |
| OK | リスク対象が0件のリスクチェック項目件数(ステータス「OK」の件数) | ||
| 無視 | チェック対象外のリスクチェック項目件数(ステータス「対象外」の件数) | ||
| リスク | 対象が1件以上存在しているリスクチェック項目件数(ステータス「リスク」の件数) | ||
| リスクバー | リスクチェック結果を危険度で色分けして表示します。 | ||
| ② | フィルター | ステータス | リスクチェック結果をステータスで絞り込み表示します。 |
| アプリ | リスクチェック結果をアプリで絞り込み表示します。 | ||
| 危険度 | リスクチェック項目を危険度で絞り込み表示します。 | ||
| ③ | ステータス | リスクチェック結果のステータスを表示します。 | |
| ④ | アプリケーション | リスクチェック結果の対象アプリを表示します。 | |
| ⑤ | リスク | リスクチェックの項目名を表示します。 | |
| ⑥ | 危険度 | リスクチェック結果の危険度を表示します。 | |
⑦ |
リスク対象 | 抵触しているアカウント数を表示します。 | |
⑧ |
対応の進捗 | 対象アカウント数のうち、対応が完了しているアカウント件数を表示します。 | |
⑨ |
チェック対象外にする | 該当のリスクチェック項目をチェック対象外にします。 | |
リスクチェックを開始する
リスクチェックを開始する方法について説明します。方法は2つあります。
- 全項目のリスクチェックを開始します。
- 特定項目のリスクチェックを開始します。
全項目のリスクチェックを開始する
[チェック開始]をクリックします。チェック開始完了後、右下にメッセージが表示されます。チェック完了まで数分から数十分かかる場合があります。
特定項目のリスクチェックを開始する
- チェックしたいリスク名の右横に表示される[開く]をクリックします。
-
リスクチェックの詳細画面が表示されますので、[チェック開始]をクリックします。
- チェック開始完了後、右下にメッセージが表示され、[チェック中]にボタン名が変更されます。チェック完了まで数分から数十分かかる場合があります。
- チェック完了後は[最終チェック時刻]が更新されます。
リスクチェックに対応する
- [フィルター]をクリックします。
- ステータスのプルダウンから[リスク]を選択します。
- チェックしたいリスク名の右横に表示される[開く]をクリックします。
- リスクチェックの詳細画面が表示されるので、[詳細を開く]をクリックし、リスクを確認します。
- [対象]から対応が必要なアカウントを確認します。
- [対応]から対応方法を確認し、必要に応じて対応を行います。
- 対応完了後、[チェック開始]をクリックします。
ボタン名が[チェック中]に変更されます。チェック完了後、リスクチェック結果が更新されているかどうか確認します。チェック完了まで数分から数十分かかる場合があります。
チェック対象外にする
リスクチェックの対象外とする方法について説明します。方法は2つあります。
- 項目自体をリスクチェックの対象外にします。
- リスクチェックに紐付く特定のアカウントを対象外にします。
項目自体をリスクチェックの対象外とする
- 対象外にしたいリスク名の右横に表示される[チェック対象外にする]をクリックします。
- 確認ダイアログが表示されますので、OKをクリックします。完了後、右下に「ステータスを変更しました」とメッセージがメッセージが表示されます。
- 該当のリスクチェック項目のステータスが[対象外]に変更されます。
※同様の手順で、一度、対象外にしたリスクを対象に戻すことも可能です。
- 一度、対象外に設定変更したリスク項目を再度、対象に戻した場合、再びリスクチェックが完了するまでの間はステータスに「未チェック」と表示されます。
リスクチェックに紐づく特定のアカウントを対象外にする
- 対象外にしたいリスク名の右横に表示される[開く]をクリックします。
- チェックの対象外にしたいアカウント名の最右列にある[チェック対象外にする]をクリックします。
- 確認ダイアログが表示されるので、OKをクリックします。完了後、右下に「ステータスを変更しました」とメッセージが表示されます。
- 該当アカウントのステータスが[対象外]に変更されます。
※同様の手順で、一度、対象外にしたアカウントをリスクチェックの対象に戻すことも可能です。
アクティビティに投稿する
アクティビティには、該当のリスクを対象外に変更したなどの履歴が表示されます。履歴を残すことでインシデント確認や監査の際に活用できます。
-
コメントを投稿したいリスク名の右横に表示される[開く]をクリックします。
- リスクチェックの詳細画面が表示されるので、[アクティビティ]を開きます。
- コメントを投稿し、[投稿]をクリックします。