はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
今回はFalcon Data Protection を利用してGoogle Driveエンタープライズアカウント(社内利用アカウント)と通信を行うWindows端末を制御するための設定方法についてご紹介いたします。設定はWindows、Mac それぞれ別々に設定を行う必要がある点について予めご了承ください。
Falcon Data Protection とは?
CrowdStrike Falcon Data Protection はWebブラウザ・USBデバイス経由の機密データ送信を可視化・ブロックすることが可能です。
Falcon Data Protection の利用はライセンスが必要となります。※ライセンスの詳細につきましては弊社までお問い合わせください。
今回の設定で作成するData ProtectionのWebアプリについて
今回はFalcon Data Protection で利用する管理対象Webアプリとして、Google Workspaceのエンタープライズアカウント(社内利用アカウント)へアクセスするための設定を作成します。
このアプリの具体的な利用例としては社内利用のGoogle Workspace の各アプリについてのアップロードは許可し、それ以外の機密データを含んだファイルアップロードをブロックといった機密情報制御設定を行う際、許可する分類の宛先として今回作成したWebアプリを指定して利用します。Google Drive の共有ドライブも含めた制御をするためには本設定が必要となり、コネクタとしてFalconでは扱われます。トータルの設定としては以下ブログでご紹介いたします。
前提条件
※Google Drive > 共有ドライブも含めた制御をするためにはドライブのラベル(Drive Labels)機能を利用するため、Enterprise Standard 以上が必要となります。※Business Starter の場合、以下のようなエラーとなりますのでご注意ください。
設定の流れ
本設定は、CrowdStrikeとGoogle双方の管理コンソールを行き来します。流れは以下の通りとなります。
- ①データ保護 > Webアプリケーション(管理対象Webアプリケーション) よりアプリ追加
- ②Google Cloud Console側での設定
- ③Google Admin Console側での設定
- ④CrowdStrikeのData Protection for Google Workspace 画面に戻って値を入力
- ⑤CrowdStrikeのデータ保護 > 分類 の設定に戻り続きを設定
それでは以下①より管理対象Webアプリケーションを作成していきます。
①データ保護 > Webアプリケーション(管理対象Webアプリケーション) よりアプリ追加
データ保護 > Webアプリケーション(管理対象Webアプリケーション) より、プラットフォーム:Windows が選択された状態で、Webアプリケーションの追加 をクリックします。
エンタープライズアカウントを選択し、CrowdStrike Storeに移動をクリックします。
Data Ingestion > Data Protection for Google Workspace をクリックします。
設定 をクリックします。
設定の追加をクリックします。
以下のような画面がでますので、以下の6つのURLを控えて、次項より一旦画面をGoogle側での設定に切り替えて作業を行います。
https://www.googleapis.com/auth/drive.readonlyhttps://www.googleapis.com/auth/drive.labels.readonlyhttps://www.googleapis.com/auth/drive.activity.readonlyhttps://www.googleapis.com/auth/gmail.readonlyhttps://www.googleapis.com/auth/admin.directory.user.readonlyhttps://www.googleapis.com/auth/admin.directory.group.readonly
②Google Cloud Console側での設定
Google Cloud Console を開いて、CrowdStrike サービス アカウントをホストするプロジェクトを選択 or 作成し設定していきます。
APIとサービス > 有効なAPIとサービス > API と サービスを有効にする をクリックします。
Google Drive API と Drive Labels API を検索し、それぞれ有効にします。
次に、IAM と管理 > サービスアカウント > サービスアカウントを作成 をクリックします。
サービスアカウント名を入力、作成して閉じる をクリックします。
作成したサービスアカウントより、OAuth 2 クライアントIDをコピーし控えておきます。次に右端の点々 > 鍵を管理 をクリック。
キーを追加 > 新しい鍵を作成をクリック。
キーのタイプ:JSON を選択した状態で作成をクリックすると、ローカルにJSONファイルがDLされますので控えておきます。
③Google Admin Console側での設定
Google Admin Console > セキュリティ > アクセスとデータ管理 > APIの制御 > ドメイン全体の委任を管理をクリックします。
新しく追加をクリックします。
以下を入力します。
-
クライアントID:先ほど控えたOAuth 2 クライアントID を入力
- OAuthスコープ:先ほど控えた6つのURLを入力
④CrowdStrikeのData Protection for Google Workspace 画面に戻って値を入力
以下、入力・設定をします。
- Connector name for your enterprise account:設定の名前を入力
- Google admin email:保護したいリソースへのアクセス権を持つGoogle Workspace管理者メールアドレスを入力
- Google service account JWT key:DLしたサービスアカウントのJWTキー(JSON)を選択
設定を保存すると、設定が完了しますので、この画面は閉じます。
⑤CrowdStrikeのデータ保護 > 分類 の設定に戻り続きを設定
先ほどペンディングしていたWebアプリケーション追加 > タイプの選択画面 で次へをクリックします。
Google Workspace を選択し次へをクリック。
既存のエンタープライズアカウントの表示名、エンタープライズアカウントドメインを追加し次へをクリックします。
すべてのGoogle Workspace アプリを選択し次へをクリックします。
以下選択・設定しサマリーの確認をクリックします。
- 特定のShared drivesベースのWebアプリケーションを追加する:チェック
- エンタープライズアカウントのコネクターを指定:④で作成したコネクタを指定
- 特定のShared drivesを選択する:※許可対象とする特定のShared driveを検索し選択
※今回はテスト用に共有ドライブ > sobar-test-drive を作成しましたので、こちらを検索・指定しました。
保存をクリックします。
参考
さいごに
今回はFalcon Data Protection Google Driveエンタープライズアカウントの制御方法についてご紹介いたしました。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falconの運用一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!
