Google Chromeを利用する際は、フィッシングの被害やマルウェア感染など、さまざまなセキュリティリスクが発生します。それが原因となって、顧客の個人情報や機密情報などが外部に流出し、大きなトラブルに発展する可能性も考えられます。
このような被害を防ぐには、あらかじめ適切なセキュリティ設定を行っておくことが重要です。Google Chromeにはさまざまなセキュリティ設定が用意されており、うまく活用すれば、Webブラウザを利用する際の安全性を向上できます。
本記事では、Google Chromeを安全に利用するためのセキュリティ設定方法を詳しく解説します。特に業務でGoogle Chromeを使用する機会が多く、セキュリティが懸念材料となっているのであれば、自社にとって最適な設定方法を押さえておくことが大切です。
Google Chromeを安全に利用するためのセキュリティ設定方法
Google Chromeを安全に利用するには、セキュリティ設定方法として次のような選択肢が浮かびあがります。
- 安全チェック
- 閲覧履歴の削除
- セーフブラウジング
- HTTPSファーストモード
- セキュリティの詳細設定
- 高度な保護機能プログラム
- サードパーティCookie
- 広告のトピック
- 広告の提案
それぞれの仕組みや設定方法について詳しく解説します。
安全チェック
安全チェックの機能を利用すると、利用中のGoogle Chromeの安全性を一目で確認できます。現在のバージョンや更新状態、ログインパスワードの安全性、セーフブラウジングのステータスなどが画面上に表示される仕組みです。
安全チェックのページにアクセスするには、まずGoogle Chromeを起動し、アドレスバーの右側にある三点リーダをクリックします。そして、表示された項目のなかから[設定]を選択します。
左側のメニューバーから[プライバシーとセキュリティ]を選択し、[安全チェックに移動]をクリックします。
すると、以下のようにGoogle Chromeの安全性に関する評価が表示されます。
パスワードの項目で[不正使用されたパスワード:○○件]と表示されている場合、ログインパスワードが外部に流出している恐れがあるため、すぐに変更することをおすすめします。このログインパスワードとは、Google Chromeのパスワードマネージャーに登録済みのWebサイトで利用するパスワードを指します。
[不正使用されたパスワード:○○件]をクリックすると、不正使用や使い回しといった危険性のあるパスワードを確認できます。
この画面では、各Webサイトでどのようなログインパスワードを設定しており、その危険性がどの程度かを確認できます。そのため、脆弱性の高いログインパスワードに関しては、それぞれのWebサイトにアクセスして設定画面から変更するのがおすすめです。加えて、すでに情報が外部に流出していることも踏まえて、普段から利用しているWebサイトや、Googleアカウントそのもののログインパスワードを一新するのも良いでしょう。
閲覧履歴の削除
Google Chromeでは、Webサイトの閲覧履歴やファイルのダウンロード履歴、キャッシュデータなどをまとめて削除できます。特にキャッシュデータを削除すると、Google Chromeの動作が軽くなる可能性があるため、本来はWebサイトの表示速度を改善するために利用するのが一般的です。
それに加えて、ビジネスシーンでGoogle Chromeを利用する際は、閲覧履歴を削除することで従業員のプライバシーを保護できるメリットがあります。また、Google Chromeでは、過去に入力したフォームの情報が自動的に記録されるため、そのデータを削除することで、ログイン情報や個人情報を窃取されるリスクを抑えられるのも利点です。
閲覧履歴を削除するには、[プライバシーとセキュリティ]のページから、[閲覧履歴データを削除]をクリックします。
そして、過去1時間や過去24時間といった期間を選択しましょう。続けて、削除したいデータにチェックを入れ、[データを削除]をクリックします。
なお、[詳細設定]のタブに切り替えると、ログインデータや入力フォームのデータなど、削除できる履歴情報の種類が増えます。
ただし、ログインデータを消去すると、登録されていたログインIDやパスワードが削除され、再びWebサイトにログインする際にログイン情報の入力が求められるので注意が必要です。利便性と安全性の両者の観点を踏まえ、削除すべきデータを決めましょう。
セーフブラウジング
セーフブラウジングとは、フィッシングやマルウェア感染などの危険性があるWebサイトにアクセスする際、「偽のサイトにアクセスしようとしています」といった警告を表示する機能です。Google Chromeには、過去に危険性が確認されたWebサイトのリストが登録されており、その情報にもとづいてアクセスするWebサイトの安全性を評価しています。
セーフブラウジングには、標準保護機能と保護強化機能、保護なしの3種類の選択肢があります。保護なしの場合、ユーザーはどのようなWebサイトでも自由にアクセスできる一方で、危険性が高いケースでも警告が表示されないため、セキュリティの観点からはおすすめできません。
標準保護機能と保護強化機能の違いは、対象となる脅威が既知のものか未知のものかにあります。標準保護機能では、Googleが過去に検証したWebサイトが対象です。一方の保護強化機能では、ユーザーがWebサイトに訪問する度にそのURLがGoogleに送信され、リアルタイムで脅威の有無を判断してくれます。
ただし、サイバー攻撃が巧妙化しつつある近年では、強固な防壁をすり抜けるフィッシングサイトやマルウェアも登場しており、保護強化機能を有効にしたからといって必ずしも危険性がゼロになるわけではありません。また、保護強化機能では、頻繁にGoogle側に閲覧データが送信されることから、プライバシー上の観点で不安を感じるケースも考えられます。そのため、ほかの設定と同様、社内の意見をよく聞いたうえでどの機能を選択するかを検討することが大切です。
セーフブラウジングを設定するには、[プライバシーとセキュリティ]のページから、[セキュリティ]をクリックします。
セーフブラウジングの項目から目的の機能を選択しましょう。
HTTPSファーストモード
HTTPSファーストモードとは、アクセスしようとしているWebサイトのURLが「HTTP」から始まっている場合、「~~への接続は安全ではありません」といった警告を表示する機能です。
近年のWebサイトは、ほとんどの場合はURLが「HTTPS」から始まっていますが、なかには「HTTP」のものも存在します。「HTTP」のWebサイトは、例えば、サイト内のフォームに個人情報を入力した際、そのデータが暗号化されないため、第三者に盗聴・窃取されるリスクが高まります。
HTTPSファーストモードがオフになっている場合でも、Google Chromeでは、「HTTP」のWebサイトにアクセスした際、アドレスバーに警告マークと「保護されていない通信」のテキストが表示されます。とはいえ、機能を有効にした場合、Webサイトにアクセスする前に警告画面を表示してくれるため、セキュリティリスクを軽減しやすいといえるでしょう。
機能を有効にするには、[プライバシーとセキュリティ > セキュリティ]のページにアクセスします。そして、[安全な接続]の項目にある[常に安全な接続を使用する]のトグルボタンをオンにしましょう。
セキュリティの詳細設定
[プライバシーとセキュリティ > セキュリティ]のページにアクセスすると、セキュリティの詳細設定を行うこともできます。
設定できる項目は次の通りです。
- データ侵害によりパスワードが漏洩した場合に警告する:
インターネット上で公開されたことがあるログインパスワードを設定した場合、警告が表示される - セキュアDNSを使用する:
デフォルトのDNSサーバー以外に、ユーザーが利用しているセキュアDNSサーバーを選択して利用できる - V8のセキュリティを管理する:
Google Chromeに搭載されているJavaScriptエンジン「Google Chrome V8」のセキュリティ内容を確認・変更できる - 証明書の管理:
OSからインポートしたローカル証明書や管理者が追加した証明書を確認できる - Googleの高度な保護機能プログラム:
詳細は後述
上記のうち、[データ侵害によりパスワードが漏洩した場合に警告する]に関しては、機能をオンにしておくことをおすすめします。
高度な保護機能プログラム
Googleが提供する高度な保護機能プログラムを有効にすると、Google ChromeやGoogleサービスを利用する際の安全性をさらに高められます。Googleアカウントを保有していれば、誰でも無料で利用できますが、認証端末であるセキュリティキーやパスキーを購入する必要があります。
高度な保護機能プログラムを有効にした場合、Googleアカウントにログインする際にログイン情報を入力するほか、セキュリティキーまたはパスキーを使って認証を行います。これによりセキュリティキーやパスキーを保有していないユーザーがログインできなくなるため、Googleアカウントの安全性が強化されます。
また、Google Chromeのセキュリティが強化されるのもポイントです。高度な保護機能プログラムを利用すると、Webサイトからファイルやアプリケーションをダウンロードする際、厳重なチェックが行われます。有害なファイルやアプリケーションをダウンロードする際にブロックされるため、マルウェア感染のリスクを最小限に抑えられます。
高度な保護機能プログラムを利用するには、セキュリティの詳細設定画面から[Googleの高度な保護機能プログラム]をクリックします。公式ページに遷移するので、[使ってみる]をクリックしましょう。
サードパーティCookie
そもそもCookieとは、Webブラウザ上にユーザーの情報を一時的に記録できる機能です。ユーザーがアクセスしたWebサイトと同様のドメインから発行されたCookieは「ファーストパーティCookie」、そのWebサイトとは別のドメインから発行されたCookieは「サードパーティCookie」と呼ばれています。
ファーストパーティCookieがあることで、Webブラウザにユーザーのログイン情報やフォームの入力情報、ショッピングカート内のデータなどが記録されるため、再びWebサイトを訪問した際にこれらの情報を繰り返し入力する必要がなくなります。また、サードパーティCookieには、ユーザーのWebサイト訪問履歴が蓄積されるため、その情報をもとに効率良くリターゲティング広告を配信できるメリットがあります。
このような利点がある一方で、第三者が発行するサードパーティCookieに関しては、「知らないうちに第三者に個人情報が利用されているかもしれない」といったプライバシー上の懸念があり、近年は規制の流れが強化されています。これはGoogle Chromeも例外ではありません。
Google Chromeの[プライバシーとセキュリティ]のページにアクセスし、[サードパーティCookie]をクリックすると、機能のオン・オフの設定が可能です。
[サードパーティのCookieを許可する]か[サードパーティのCookieをブロックする]のいずれかを選択しましょう。
先ほども紹介しましたが、サードパーティCookieを許可した場合、第三者に自身の個人情報が利用される可能性もゼロとはいいきれません。そのため、セキュリティやプライバシーが気になる場合は、機能をオフにするのも一つの方法です。
一方で、サードパーティCookieをブロックした場合、複数のドメインを経由してサービスが提供されているWebサイトを利用する際、不具合が発生する可能性があります。実際、NTTドコモなどの公式サイトでは、正しい情報を入力したのに正常にログインできないといった問題が発生しています(※)。
そのため、サードパーティCookieをオンにするかオフにするかは、社内で十分に検討のうえ判断することが重要です。
※参考:「サードパーティーCookie」は“悪”なのか?私がSafariを使う理由
広告のトピック
Googleは、規制が強まるサードパーティCookieの代替機能の一つとして、Google Chromeのバージョン115より、広告プライバシー機能を提供しています。この機能を利用すれば、ユーザーの興味・関心にかかわる情報をWebブラウザ上に保管し、必要に応じてWebサイト側に提供することが可能です。結果として、サードパーティCookieの情報がなくても、ユーザーの興味・関心に応じて最適な広告を表示できるようになります。
広告プライバシー機能の一つとしては、広告のトピックがあげられます。過去に閲覧したWebサイトのテーマをもとに、ユーザーが関心のあるトピックが自動的に記録され、それにもとづいて広告が表示される機能です。
広告のトピックを有効または無効にするには、まず[プライバシーとセキュリティ]のページにアクセスします。そして、[広告プライバシー]をクリックしましょう。
続けて、[広告のトピック]をクリックします。
[広告のトピック]の右側に表示されているトグルボタンを操作することで、オン・オフを切り替えられます。
また、機能をオンにした状態で、トピックを個別にブロックすることも可能です。
広告の提案
先ほどは、過去に訪問したWebサイトのトピックにもとづき、ユーザーが関心を持つ広告を表示する仕組みでした。Google Chromeではほかにも、個別のWebサイトからユーザーの興味・関心を割り出す仕組みも備わっています。それが、広告プライバシーのなかに含まれている広告の提案という機能です。
この機能がオンになっていると、例えば、トヨタの公式サイトへの訪問履歴があれば、ほかのWebサイトにアクセスした際に、トヨタ車や自動車に関する広告が表示されやすくなります。そのため、個人のプライバシーが気になる場合は機能をオフにするか、Webサイト個別に訪問履歴の情報をブロックするのが望ましいでしょう。
設定方法は、[プライバシーとセキュリティ > 広告プライバシー]にアクセスし、[ウェブサイトによる広告の提案]をクリックします。
[ウェブサイトによる広告の提案]の右側にあるトグルボタンを操作して、オン・オフを切り替えましょう。
また、Webサイトを個別にブロックする際は、該当する項目の右側にある[ブロック]をクリックします。
Google Chromeにおけるセキュリティ上の脆弱性
Google Chromeは、世界で30億人以上に利用されているトップシェアのWebブラウザだけあり、サイバー攻撃をはじめとするさまざまな脅威にさらされています。また、頻繁にシステムがアップデートされることもあり、度々その脆弱性が指摘されているのも事実です。
例えば、2022年11月には、シンボリックリンク(WebページのURLを短縮化するための仮想ショートカット機能)が正常に機能しない際に、端末から機密情報を窃取される可能性があることが報告されています。ほかにも、2023年4月には、「Google Chrome V8」での欠陥が見つかり、不正なWebサイトへのアクセス時に任意のコードが実行される可能性があることも報告されています。
もちろん、脆弱性が確認されているのはGoogle Chromeだけではありませんが、現状、セキュリティリスクを完全にゼロにできるWebブラウザは存在しません。そのため、Google Chromeを利用する際も同様、ここまでに紹介したセキュリティ設定を入念に検討し、安全性の高い状態でWebブラウザを利用することが重要だといえます。
Google Chromeでセキュリティ設定を行う際のポイント
Google Chromeでセキュリティ設定を行う際のポイントは次の通りです。
- なるべく自動アップデート機能をオフにしない
- 定期的に安全チェックを行う
それぞれのポイントについて詳しく解説します。
なるべく自動アップデート機能をオフにしない
通常、Google Chromeは自動的にアップデートが行われるため、手動でWebブラウザを更新する必要はありません。とはいえ、アップデートによって普段使っていた機能が削除されるケースもあるため、インストールフォルダ内の自動更新用アプリケーションをリネームするなどして、自動アップデート機能をオフにしていることもあるでしょう。
しかし、自動アップデート機能はなるべくオフにしないことをおすすめします。機能が無効になるとシステムの修正パッチやセキュリティパッチが適用されず、セキュリティ上の脆弱性が改善されない可能性も考えられます。その結果、サイバー攻撃やマルウェア感染のリスクが高まり、重大なセキュリティトラブルに発展しかねません。
このような点から、Google Chromeを安全に利用するためには、できるだけ最新状態のバージョンで利用するのが理想です。
定期的に安全チェックを行う
Google Chromeの安全チェック機能は、Webブラウザとしての安全性を客観的に評価できる優れた機能です。しかし、一度チェックしただけで、その後二度と機能を使わないようでは意味がありません。特にログインパスワードに関しては、常にサイバー攻撃の標的にされるリスクがあり、情報が外部に流出する可能性もあるため、少なくとも1ヶ月に1回程度は確認しておきたいところです。
ログインパスワードの情報は、Google Chromeのパスワードマネージャーに記録されています。そのため、不正使用されたログインパスワードや脆弱性の高いログインパスワードが発見された場合、パスワードマネージャーにアクセスし、Webサイトごとのログイン情報を確認することが大切です。
その際、以前にアクセスしてから相当な日数が経過しているWebサイトは、パスワードマネージャーからログイン情報を消去するのも良いでしょう。また、一度そのWebサイトにログインし、会員情報を削除したり、ログイン情報を変更したりする手続きも求められます。
セキュリティ設定を見直してGoogle Chromeを安全に利用しよう
Google Chromeを利用する際は、あらかじめセキュリティ設定をしっかりとチェックしておくことをおすすめします。セキュリティの状態が甘ければ、Google Chromeを起点にサイバー攻撃の被害に遭ったり、情報漏洩などのトラブルに発展したりする危険性が高まるためです。
業務でGoogle Chromeを活用するなら、この機会に企業向けのGoogle Chromeである「Chrome Enterprise Core」の導入を検討してみてはいかがでしょうか。Chrome Enterprise Coreは、Google Chromeの基本的な機能に加え、Webブラウザのポリシーや拡張機能、アプリケーションなどを単一のコンソールからまとめて設定できます。
また、よりセキュリティを強化したい方には、上位版の「Chrome Enterprise Premium」がおすすめです。こちらは、端末の属性をもとに制限を加えられる「アクセス制御」や、Webブラウザ上での操作に対して情報漏洩を検知できる「DLP連携」など、セキュリティレベルを向上できるさまざまな機能が搭載されています。
電算システムでは、Chrome Enterprise CoreおよびPremiumのコンソール設定支援や、セキュリティポリシーを策定する際の提案などを行っています。専門領域に精通した数多くのエンジニアが在籍しているので、スピーディかつ質の高いサポートを行えるのが強みです。「業務でGoogle Chromeを活用したいが安全性に不安が残る」といったお悩みを抱える方は、ぜひ電算システムへと気軽にお問い合わせください。
