Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモ動画を見る
無料トライアル お問い合わせ

GoogleとOktaでブラウザセキュリティのギャップを埋める

作者について

Karthig Balendran

Group Product Manager

Karthig is a Group Product Manager on Okta's Access Management team, where he leads strategy and execution for Device Assurance, FastPass, and Okta Verify. His work focuses on strengthening Zero Trust security by making it easier for organizations to enforce device context and deliver phishing-resistant authentication. He’s passionate about bridging enterprise security and user experience, especially in complex, cross-platform environments. Before joining Okta, Karthig worked on Microsoft Teams and Intune. Outside of work, you can find him riding through the hills outside Seattle with his kids in tow.

Cynthia Luu

Principal Product Marketing Manager, Devices and Security

Cynthia is a Principal Product Marketing Manager of Okta Workforce Identity Cloud. She covers solutions for devices and security. Prior to joining Okta, she spent four years supporting IBM security in various marketing roles, managing IBM’s portfolio of data protection solutions, initiatives on Zero Trust and data privacy, and their market development and customer insights programs.

14 8月 2025 読了目安時間: ~

目次

このブログはこちらの英語ブログの機械翻訳です。

青色の背景に「Okta Secure Identity Product Blog Series」というテキストのバナー

ブラウザは今日の主要なワークポータルです。ほとんどの企業アプリケーションと機密データは現在、SaaSおよびその他のクラウドサービスの背後に存在し、Chrome、Edge、Safariなどのブラウザを通じてアクセスします。

これにより、ブラウザは単なるアプリケーションから重要なポリシー適用ポイントに昇格し、ブラウザのセキュリティが最新のゼロトラストアーキテクチャの基礎的な要素になります。ただし、企業ブラウザのセキュリティを損なうギャップが 1 つあります。それは、従業員が個人用プロファイルを使用して企業データにアクセスすることです。

個人用と仕事用のブラウジングを混在させると、過大なリスクが生じます。管理されたブラウザプロファイルは、ユーザーエクスペリエンスを犠牲にすることなく、制御を取り戻すのに役立ちます。GoogleとOktaは、管理されたChromeプロファイルを実用的な規模にするために提携しました。

個人プロファイルが問題である理由

BYODとハイブリッドワークにより、個人のデバイスとブラウザのプロファイルを仕事で使用する習慣が一般的になりました。企業の端末では、ユーザーはブックマークやパスワードを同期するために、個人のChromeまたはEdgeプロファイルにサインインすることがよくあります。しかし、その利便性には代償が伴います。職場での個人のブラウザ使用における主なリスクは次のとおりです。

  • クレデンシャル漏洩:個人プロファイルを使用すると、仕事用パスワードを個人のパスワードマネージャーに簡単に保存し、企業の監視外で同期させることができます。個人アカウントまたはデバイスが侵害されると、攻撃者は企業のログイン情報を継承します。パスワードの管理が不十分だとリスクが増大します。多くの従業員が個人用と仕事用でパスワードを使い回したり、仕事用パスワードをブラウザに直接保存したりしています。
  • 安全でない、または検証されていない拡張機能:ブラウザの拡張機能は普及しており、強力です。多くは、サイトデータの読み取りと変更、キーストロークのキャプチャ、Cookieへのアクセス、ローカルファイルとのやり取りの許可を要求します。従業員は、レビューなしに、役立つツールから危険なアドウェアまで、あらゆるものを個人プロファイルにインストールできます。これにより、データ流出、認証情報の収集、セッションハイジャックの信頼できる経路が開かれます。個人のプロファイルは拡張機能の許可/拒否リストの外にあるため、防止とフォレンジックの盲点になります。
  • ポリシー回避とシャドーIT ウェブフィルタリング、ダウンロード制限、データ損失防止(DLP)などの制御は、多くの場合、管理されたブラウザコンテキストに付加されます。個人のプロファイルは、これらの制御を回避する可能性があります。ユーザーは、ブロックされたサイトにアクセスしたり、企業のファイルを個人のドライブにアップロードしたり、承認されていないSaaSサービスを使用したりできます。このアクティビティはSIEMに表示されず、信頼できる監査証跡がないため、修復が困難になります。

マネージドブラウザプロファイルの場合

解決策は、明確な分離を作成することです。仕事関連のブラウジングをすべて企業管理下に置き、個人的な使用はそのままにします。管理対象ブラウザプロファイルは、ポリシーを適用し、アイデンティティスタックをサポートし、セキュリティチームが必要とする可視性を提供すると同時に、従業員が個別の個人プロファイルを維持できるようにします。Googleの管理対象Chromeプロファイルはまさにこれを実現し、Google管理コンソールを介して簡単に構成し、Oktaと連携させることができます。

管理対象プロファイルのコントロールポイントは一貫性があり、包括的です。IDとサインインは専用のワークプロファイルに固定され、企業のシングルサインオン(SSO)(例:Okta)で認証されます。これにより、仕事の資格情報、トークン、Cookieが個人のコンテキストから分離されます。管理者は、多要素認証(MFA)を強制し、個人用Vaultへのパスワードの保存を無効にし、認証中にデバイスのポスチャを確認できます。Webフィルタリング、セーフブラウジング、DLP強制、証明書ピニング、VPNまたはSASEルーティングなどのセキュリティポリシーを、ワークプロファイルに直接適用し、管理対象および管理対象外のデスクトップ全体で一様に適用できます。拡張機能の制御も一元化されており、ITチームは許可リストの定義、未検証のアドオンのブロック、および信頼できるツールの自動インストールを有効にできます。

管理されたブラウザプロファイルには、4つの明確な利点があります。

  1. データの分離:仕事用の認証情報とセッションデータは管理対象プロファイル内に保持され、Cookie、拡張機能、パスワードなどの個人用ブラウジングアーティファクトは分離されたままになります。これにより、個人用アカウントまたはデバイスが侵害された場合のリスクが軽減され、意図しないデータ漏洩(機密ファイルを個人のクラウドストレージにアップロードするなど)を防ぎます。
  2. 一貫したセキュリティポリシー:MFA(多要素認証)、DLP(データ損失防止)、ダウンロード制限、パスワード規則などのセキュリティ制御は、デバイスを越えてユーザーに適用されます。これにより、SaaSアプリへのアクセスは、企業所有または個人所有のマシンであるかどうかにかかわらず、管理対象プロファイルを通じて保護されます。
  3. リスクの軽減と迅速な対応:組織は、個人プロファイルに保存された仕事用クレデンシャルや不正なクラウドアップロードなどの一般的な脅威を排除することで、攻撃対象領域を削減します。管理対象ブラウザテレメトリにより、インシデントの調査と対応が迅速化されます。
  4. ユーザーエクスペリエンスの向上:管理されたプロファイルは、気を散らすものを最小限に抑え、シームレスにセキュリティを強化し、仕事と個人のブラウジングを分離します。ユーザーは、事前承認されたローカルネットワークアクセスポリシーとOkta FastPassなどのツールによるシームレスなSSOのメリットを享受できます。

つまり、管理されたプロファイルは、エンタープライズグレードのセキュリティと従業員の生産性のバランスを取ります。ユーザーがどこにログインしても、ブラウザを管理されていないリスクのある場所から、より安全でポリシーが適用されたワークスペースに変えます。

OktaとGoogleが展開をどのように簡素化するか

OktaとGoogleは、管理対象および非管理対象のWindows、macOS、Linuxデバイス全体への管理プロファイルの展開を実用的なものにします。ワークプロファイルのプロビジョニングは、ユーザーが企業の資格情報で認証できるように、OktaがChromeへのサインインをフェデレーションすることから始まります。初回サインイン時に、管理対象のChromeワークプロファイルが自動的に作成され、組織のポリシーにバインドされるため、デバイス管理ソリューションは不要になります。ステップごとのセットアップガイダンスについては、Sign into Chrome with Oktaを参照してください。ここでは、構成されたポリシーを自動的に受信するエンタープライズChromeプロファイルの作成について説明します。以下の例は、OktaダッシュボードからChromeプロファイルのセットアップを起動したときのエンドユーザーエクスペリエンスを示しています。

  1. Oktaのエンドユーザーダッシュボードで「Setup Chrome Profile」アプリにサインインします。

 

2. FastPassでサインインします。

3. Chromeでのセットアップを完了する

シームレスで安全なユーザーエクスペリエンスを提供する方法

Chrome Device Trust Connector for Oktaを通じて、管理者は、パスワード制限、セーフブラウジング、サイト分離などのデバイス保証ポリシーを適用できます。これらは、ユーザーが企業リソースにアクセスする前に適用されます。

多くの組織にとって、スムーズでパスワードレスなサインイン体験を提供することは、強力なセキュリティポリシーの実施と同じくらい重要です。Okta FastPassのような機能は、ユーザーへの混乱を最小限に抑えながら、フィッシング耐性のある認証を可能にすることで、両方を実現するのに役立ちます。ただし、Chromeの新しいローカルネットワークアクセス(LNA)プロンプトは、事前に構成されていない場合、これらのフローを中断する可能性があります。

FastPassおよびローカルループバックサーバーに依存するその他の認証フローをサポートするために、管理者はOktaサインインドメインのLocalNetworkAccessAllowedForUrlsポリシーを構成して、Chromeのネットワークアクセスプロンプトを抑制し、シームレスなサインインエクスペリエンスを維持できます。これは、適用の一貫性を確保するためにLocalNetworkAccessRestrictionsEnabledと組み合わせる必要があります。ユーザーがOktaで管理対象のChromeプロファイルにサインインすると、すべてのポリシーと承認された拡張機能が自動的に適用され、個人の閲覧はそのまま維持され、ワンクリックで仕事用アプリにアクセスできます。詳細については、Okta FastPassのローカルネットワークアクセスプロンプトを抑制するようにChromeを構成するを参照してください。

安全なブラウザは、安全な組織を作る

エンタープライズエンドポイントを単なるデバイスとして考えるだけでは不十分です。ブラウザセッションも同様です。そのセッションを管理された安全なワークスペースとして扱うことは、ID、データ、およびアクセスを保護する最も効果的な方法の1つです。

マネージドブラウザプロファイル、またはセキュアエンタープライズブラウザは、仕事用と個人用を明確に分離し、デスクトップ全体で一貫したポリシー適用、セキュリティチームの可観測性の向上、そしてよりスムーズで中断の少ないユーザーエクスペリエンスを提供します。

OktaとChrome Enterpriseを使用すると、これを実用的に展開できます。ブラウザを最も防御されたアプリにし、Oktaで管理されたChromeプロファイルをブートストラップするには、上記のドキュメントをご覧ください。OktaのChrome統合とデバイス保証ポリシーの詳細については、Adaptive MFAのWebページをご覧ください。


これらの資料およびその中の推奨事項は、法的、プライバシー、セキュリティ、コンプライアンス、またはビジネスに関するアドバイスではありません。これらの資料は、一般的な情報提供のみを目的としており、最新のセキュリティ、プライバシー、および法的な展開、またはすべての関連する問題を反映していない場合があります。お客様は、ご自身の弁護士またはその他の専門アドバイザーから、法律、セキュリティ、プライバシー、コンプライアンス、またはビジネスに関するアドバイスを得る責任があり、本書の推奨事項に依存すべきではありません。Oktaは、お客様がこれらの資料の推奨事項を実装した結果として生じる可能性のある損失または損害について責任を負いません。Oktaは、これらの資料の内容に関して、表明、保証、またはその他の保証を行いません。Oktaのお客様に対する契約上の保証に関する情報は、okta.com/agreementsをご覧ください。

 

作者について

Karthig Balendran

Group Product Manager

Karthig is a Group Product Manager on Okta's Access Management team, where he leads strategy and execution for Device Assurance, FastPass, and Okta Verify. His work focuses on strengthening Zero Trust security by making it easier for organizations to enforce device context and deliver phishing-resistant authentication. He’s passionate about bridging enterprise security and user experience, especially in complex, cross-platform environments. Before joining Okta, Karthig worked on Microsoft Teams and Intune. Outside of work, you can find him riding through the hills outside Seattle with his kids in tow.

Cynthia Luu

Principal Product Marketing Manager, Devices and Security

Cynthia is a Principal Product Marketing Manager of Okta Workforce Identity Cloud. She covers solutions for devices and security. Prior to joining Okta, she spent four years supporting IBM security in various marketing roles, managing IBM’s portfolio of data protection solutions, initiatives on Zero Trust and data privacy, and their market development and customer insights programs.

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ