New Google Workspace feature prevents sensitive security changes if two admins don’t approve them
2024/04/09 HelpNetSecurity — Google が 4月9日に発表したのは、複数の特権管理者アカウントを持つ Google Workspace ユーザー向けに、マルチ・パーティによる承認を導入するというものだ。Google Workspace (旧 G Suite) は、企業向けにデザインされたクラウドベースの生産性とコラボレーションのためのツール/サービスである。この、オプションとして提供されるマルチ・パーティ承認機能は、2023年8月に Google Workspace チームが発表した、新たなセキュリティ機能のうちの一つである。
マルチ・パーティ承認機能の詳細
この機能を有効にすると、特定の機密性の高い管理アクションは、それを開始する管理者とは別の管理者が、承認した場合にのみ実行できるようになる。したがって理論的には、管理者アカウントを侵害したアウトサイダーや、悪意のインサイダーによる、偶発的かつ不正な変更を防ぐことが可能になるという。
承認リクエストの詳細を確認した後に許可/拒否を判断
Google は、「この新たなセキュリティ・レイヤーにより、センシティブなアクションが、適切な範囲/頻度で実行されるようになる。この新機能により、特権管理者は、それらの機密性の高いアクションで変更される内容を確認し、許可/拒否を選択できるようになる。さらに、承認されたアクションは自動的に実行され、アクションの実行者による追加のアクションも不要になるため、管理者にとって便利な機能になる」と、説明している。
マルチ・パーティ承認機能を使用するには
この機能はデフォルトでは OFF になっているが、管理コンソール [Security > Multi-party approval settings] から変更できる。
追加承認が求められる、機密性の高い管理者アクションとして挙げられるのは、2FA とアカウント回復ポリシー/Advanced Protection と Google セッション制御設定/アカウント・ログイン (セキュリティ) 試行/ログイン – パスキーオプションの変更などである。
Google Workspace の Enterprise Standard/Enterprise Plus/Education Standard/Education Plus/Cloud Identity Premium のユーザーであれば、このマルチ・パーティによる承認機能を利用できる。
チームとしての運用が前提になるなら、複数の管理者による確認/合意によるオペレーションを矯正するという発想は良いですね。インサイダーによる脅威だけではなく、ヒューマンエラーという大敵も、この考え方であれば抑制できるでしょう。もっと広まってほしい視点です。よろしければ、カテゴリ Human も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.