「Google Workspace」の主要エディションには、「Googleドライブ」のログ管理機能が備わっている。Mitiga Securityはこの機能で、一部エンドユーザーのログを記録できなかったと報告した。どういうことなのか。
クラウドセキュリティベンダーMitiga Securityは、Googleのオフィススイート「Google Workspace」(旧「G Suite」)に関する、ある報告をした。Google Workspaceの主要エディションが備えるログ管理機能を検証したところ、オンラインストレージサービス「Googleドライブ」(Google Drive)における一部エンドユーザーの行動を、ログとして記録できないことがあったというのだ。どういうことなのか。
Google Workspaceの主要エディションには、ファイルのコピーや削除、ダウンロードといったGoogleドライブにおけるエンドユーザーの各種行動を記録し、ログとして管理する機能がある。外部ドメインに関係するイベントも、ログとして記録する。ユーザー企業はログを閲覧すれば、不正なアクセスがあったかどうかが分かる。
Mitiga Securityは公式ブログで、このログ管理機能の検証結果を報告した。ログ管理機能を利用可能な、Google Workspaceの有償エディションを契約したユーザー企業を想定して検証を実施。その結果、有償エディションのライセンスを正しく適用できていないエンドユーザーについては、Googleドライブにおける行動をログとして記録しないことがあることが分かったという。攻撃者がこの事象を悪用すると、Googleドライブで攻撃対象のアカウントを侵害し、痕跡を残さずにデータの操作や盗難ができる可能性があると、同社は注意を促す。
ログを記録できなかったのは、GoogleのIDaaS(Identity as a Service)「Cloud Identity」の無償エディション「Free Edition」のライセンスで、Googleドライブを利用するエンドユーザーの行動だ。Cloud IdentityのFree Editionは、メールサービス「Gmail」といった一部のGoogle Workspaceサービスを必要としないエンドユーザーに対して、ユーザー企業がGoogleサービスの共通アカウント「Googleアカウント」を発行する手段となる。Cloud IdentityのFree Editionのライセンスを持つエンドユーザーは、Googleドライブを利用できる。
ユーザー企業は自社のシステムへの不正アクセスがあったかどうかを把握するために、ログを活用する。ログを取得できていないと、不正アクセスがあった場合にデータ盗難の有無はもちろん、どのようなデータが盗まれたかといったことも分からない。そのため「ユーザー企業は攻撃に対処しにくくなる」と、Mitiga Securityのセキュリティ研究員、アリエル・スザーフ氏とオール・アスピール氏は指摘する。
GoogleはCloud IdentityのFree Editionについて、そもそも「ログ管理機能を求める組織向けには設計していない」と指摘し、Mitiga Securityの報告内容に反論している。次回以降は、Mitiga Securityが指摘するGoogle Workspaceのセキュリティリスクと、それに対するGoogleの見解を紹介する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
