はじめに
こんにちわ、セキュリティチームのむろです。
今回はGmailへ25MB以上のファイルを添付しようとした際にGoogle Driveへアップロードされる機能を制限にする方法を検証してみました。
ユースケースとしてはmxHEROではありますが、このアップロード機能を単純に制限したい方も参考にしてみてください。
本ブログの内容は、2023年10月16日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。
はじめにまとめ
- 25MB以上の添付ファイルはマイドライブに保管され、共有リンクとしてメールに挿入される
- しかし、マイドライブにアップロードされたファイルはmxHEROのルールの処理対象外となってしまう
- GmailからGoogle Driveへのアップロード機能を制限できないか試してみた、方法は以下の2つ
- Google Driveへの書き込み制限
- Google Driveへの書き込み制限はマイドライブのみ適用し、共有ドライブの利用は継続することもできる
- アップロード用のURLをSWG製品などでブロックする方法になる
- Google Driveへの書き込み制限
メールの添付ファイルがGoogle Driveにアップロードされるとは?
Gmaiに対する添付ファイルの上限は25MBとなっています。
しかし、25MB以上のファイルを添付しようとするとGoogle Driveのマイドライブへ自動的にアップロードし、共有リンクに置き換える機能を持っています。
最大 25 MB の添付ファイルを送信できます。複数のファイルを添付する場合は、合計 25 MB まで追加できます。 サイズが 25 MB を超えるファイルは添付されず、Google ドライブのリンクが自動的にメール内に追加されます。詳しくは、Google ドライブの添付ファイルの共有設定をご覧ください。
この機能の操作の流れとしては2ステップあります。
- 1)25MB以上のファイルを添付しようとするとマイドライブへのアップロードが開始する
- なお、この機能でアップロードされたファイルはマイドライブのルート直下に保存される
- 2)メールの送信ボタンを選択すると、アップロードされたファイルの共有リンクをどのような公開範囲にするか選択する
Google Driveにアップロードされると、困ること
Google Driveの共有リンクとなった添付ファイルはmxHEROのルールの処理対象外となってしまいます。
mxHEROはあくまでも送信されたメールの「通常の添付ファイル」をルールで指定したクラウドストレージの指定したフォルダに格納して、共有リンク化する仕組みのため、あらかじめ共有リンクの状態だとmxHEROで処理されないことになります。
mxHEROであれば、エンドユーザー側の操作に依存せずに「システム管理者」側の意思でメールの添付ファイルをクラウドストレージや保存場所のフォルダ、共有リンクの期限を強制的に運用させることができるメリットがあります。
一応はGoogle Driveの共有リンクにはなっているので、誤送信対策にはなってはいますが、mxHEROを利用中であれば、意図しないクラウドストレージや共有リンク設定で運用されるのは避けたいところです。
ただ、添付ファイルをGoogle Driveへアップロードする機能をGoogle Workspace側の管理コンソールでは無効にする方法がありません。
mxHEROの処理対象にするための条件
では、今回のGoogle Driveへアップロードされる機能を回避して、添付ファイルをmxHEROで処理させるようにするにはどうすれば良いでしょうか。
達成するための条件を簡易的ですが、列挙してみます。
- 25MB以上のファイルサイズの添付ファイル操作で開始されるGmail経由のGoogle Driveへのアップロードをブロック必要がある
- 通常の添付ファイル付きのメールである必要があるため、Gmailへのファイル アップロードそのものはブロックしてはならない
- mxHEROに渡すため、添付ファイルが付いたメール送信そのものをブロックしてはならない
いくつか検証を行い、この後に記載する2つの対応方法で実現できることを確認できたのでご紹介します。
対応方法1)Google Driveへのアップロードを制限する
Google Driveへのアップロードを制限します。
後述のように書き込み制限をマイドライブのみに適用する方法があります。
設定方法
- 以下の設定の「ユーザーがどのファイルも作成、アップロードできるようにする」のチェックを外して設定を保存する
- 詳細は以下ブログの「Google Driveに対する制限方法を変えて対応する」を参照ください
設定後の状態
- 途中までアップロードは進みますが、最後の書き込みのでエラーとなる
この対応方法でどんな制限が生まれるか
- Google Driveへの書き込みが行えなくなり、実質的にGoogle Driveが閉塞される
- Google Driveの利用を継続する場合は共有ドライブを利用する方法がある
- 以下のブログの「おまけ:共有ドライブだけを有効にしたい」をご参考ください
対応方法2)アップロード用のURLをブロックする
今回はNetskopeを利用してGmailからGoogle Driveへアップロードする際に利用するURLを制限します。
設定方法
- 以下のURLをNetskopeのURL Listで設定
mail.google.com/upload/drive/
docs.google.com/upload/resumableuploadsc/
- 登録したURL Listをカスタムカテゴリとして登録してブロックポリシーを作成する
設定後の状態
- アップロードが開始された時点で即時エラーとなる
- 以下のGoogle Driveのアイコンからアップロードする画面からもアップロードは制限される
この対応方法で他にどんな制限が生まれるか
検証した範囲ではGmailからのGoogle Driveへのアップロード以外は特に制限はありませんでした。
確認したところ、通常のGoogle Driveからのアップロードで利用されるURLとブロックしたGmailからのGoogle Driveへのアップロードで利用されるURLは異なっているようです。
注意点
Gmail側の仕様変更でURLが変わった場合は利用できなくなる可能性があります。
仕様変更に備えて、合わせて「対応方法1」も設定しておくことも検討してみてください。
おまけ:検証中のNGケース
ここからはおまけとして試したものの採用に至らなかった方法を参考に記載します。
NGケース1)一般公開の共有リンクを制限する
以下の設定箇所でマイドライブからは「一般公開」の共有リンクを制限します。
なお、「対応方法1」で記載したようにGoogle Workspace上の「組織」を分けて制限設定を回避した共有ドライブ上で一般公開の共有リンクを利用することは可能です。
Googleアカウントではない送信先には共有はできなくなりました。
しかし、組織内のアカウント及び、外部のGoogleアカウントに対しては共有はできてしまいます。
以下の点も運用観点ではマイナスポイントです。
- 添付ファイルのアップロード後の送信時に気付くため、ユーザー体験としては悪い
- 誤って「そのまま送信」すると受信者がアクセスできないリンクを送信してしまう可能性がある
- マイドライブへファイルの保存自体はされてしまう
NGケース2)外部組織への共有を制限する
以下の設定箇所でマイドライブからは組織外への共有を制限します。
なお、「対応方法1」で記載したようにGoogle Workspace上の「組織」を分けて制限設定を回避した共有ドライブ上で組織外への共有を利用することは可能です。
外部への送信先には共有することができなくなりました。
しかし、組織内のアカウントに対してはGoogle Driveのリンクを共有できてしまいます。
自社内同士のやり取りのため、この方法でも要件を満たす可能性はありますが、Boxを利用中でGoogle Driveへ保管を避けたい要件がある場合は不適です
また、NGケース1と同様に以下の点も運用観点ではマイナスポイントです。
- 添付ファイルのアップロード後の送信時に気付くため、ユーザー体験としては悪い
- 誤って「そのまま送信」すると受信者がアクセスできないリンクを送信してしまう可能性がある
- マイドライブへファイルの保存自体はされてしまう
おわりに
いかがだったでしょうか。
mxHEROとGoogle WorkspaceやBoxとの組み合わせ時に活用いただけると嬉しいです。
今回はmxHEROに関連したものでしたが、自社のユースケースによって特定の機能を特定の範囲のみで制限したい場合があります。
制限する方法も大事ではありますが、制限したことによってどんな影響が起こるのかも注意して考えていただくと良いと思います。
