外部から共有されたGoogle Driveフォルダへのアップロードを検出し、公開範囲を書き換える

こんにちは、ひろかずです

外部から共有されたGoogle Driveフォルダへのアップロードをなんとかしたい。という声が聞こえてきたので一筆書きます

tl;dr的な何か

  • 外部から共有されたGoogle Driveフォルダへのアップロードは、自社テナントを介して行われます
  • この操作は、Netskopeでは、自社テナントへのアップロードと識別されるため、NetskopeのReal-Time Protectionでは制御することができません
  • NetskopeのAPI Data Protectionを用いて、自社テナントのGoogle Driveを介して外部フォルダへアップロードされたファイルの公開範囲を内部へ制限することができます

留意点

  • 本稿は、社外から共有されたGoogle Driveのフォルダに社内Googleアカウントからアップロードしたファイルに対して、社外Googleアカウントのアクセス権を一律的に剥奪するというユースケースに対する内容です
  • 本稿では、自社テナント内から外部への共有については、Google Workspaceのテナント設定で制限していることを前提としています

ざっくり構成

前提条件

  • NetskopeのAPI Data Protection(Google Drive)のライセンスを必要な数量契約していること
  • 自身で管理しているNetskopeテナントに管理者としてログインできること
  • 自身で管理しているGoogle Workspaceに管理者としてログインできること
  • 自身で管理しているGoogle Workspaceに対して、Netskope API Data Protectionにて接続設定が完了していること
  • 組織管理外のGmailアカウントを1つ以上所有していること

工程

  1. API Data Protectionポリシーの設定
  2. 動作確認

1. API Data Protectionポリシーの設定

  • Netskope管理画面にログインし、[Policies] > [API Data Protection]を選択して、[NEW POLICY]を選択

  • APPLICATIONとして、Netskopeと接続したGoogle Driveテナントを指定する

  • USERSとして、作成するポリシーの適用範囲を指定する
    • All Usersと設定する前に、検証用ユーザーを指定して、不測の事態が生じた際の影響範囲を最低限にすることをお勧めします

  • CONTENTとして、[Specific Shareing Option]を選択し、[Public (Indexed and Unlisted)]と[Shared Externally (All External Domains)]を選択

  • DLPとして、[None]を選択

  • ACTIONとして、[Ristrict Access]を指定し、RESTRICT ACCESS LEVELとして[Internal Users]と指定

  • NOTIFICATIONは適宜設定

  • SET POLICYとして、ポリシー名を指定

  • SAVEしたら、忘れずに[APPLY CHANGES]を選択

2. 動作確認

  • 個人所有のGmailアカウントで作成した、Google Driveの共有フォルダを2種類用意

  • 一つは、URLを知っている人がアクセスできる権限とし、編集権を付与
  • もう一つは、社内ユーザーを招待し、編集権を付与

  • 先ほど作成したポリシーを無効化しておく

  • ファイルをアップロードすると、当然ながらこのように見えます

  • この段階では、図式としてはこんな感じです

  • 先ほど作成したポリシーを有効化して暫くすると、共有されたファイルが消えました

  • このような状況となりました

おわりに

共有済みのファイルのアクセス権が変更され、外部ユーザーから見えないようになりました

このように、NetskopeのAPI Data Protectionでは、外部から共有されたフォルダに対するアップロードについても、アクセス権を変更することで、見えないようにすることができました

既存のファイルに対しても影響があるので、注意して設定していきたいですね

今日はここまでです

お疲れ様でした

コメントを残す

メールアドレスが公開されることはありません。