Google Workspace Shared Signals Framework(SSF)統合ガイド クローズド ベータ版

Shared Signals Framework(SSF)は、OpenID Foundation のコミュニティがサポートするイニシアチブです。セキュリティ プラットフォームが標準化されたイベントとプロトコルを通じてセキュリティ インサイトを共有するための通信フレームワークの開発と維持に重点を置いています。SSF イニシアチブをサポートするため、Google Workspace は Continuous Access Evaluation Profile(CAEP)シグナルを取り込む SSF レシーバを実装しています。

現在クローズド ベータ版で提供されている最初のリリースでは、セッション取り消しイベント シグナルがサポートされています。今後、さまざまなセキュリティ プラットフォームから送信される多数の CAEP シグナルをサポートする予定です。

CAEP シグナルを Google Workspace に送信することに関心をお持ちのセキュリティ プラットフォーム ベンダーの方、またはドメインでの共有シグナルの統合テストに関心をお持ちの Google Workspace のお客様は、SSF テスター登録フォームにご記入ください。

注: クローズド ベータ版の開発段階では、パートナーとお客様の両方を段階的にオンボーディングする予定です。フォームを送信しても、クローズド ベータ版への参加が保証されるわけではありません。

CAEP セッションの取り消しイベント

当初、Google Workspace は CAEP(継続的アクセス評価プロトコル)セッション取り消しイベントをサポートします。これにより、ユーザーのセッションが取り消されたときに、他のサービスから Google Workspace に通知できるようになります。

CAEP セッション取り消しイベントの例を次に示します。

{
  "aud": "https://sharedsignals.googleapis.com",
  "events": {
    "https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
      "event_timestamp": 1750212646,
      "subject": {
        "email": "user@domain.com",
        "format": "email"
      }
    }
  },
  "iat": 1750212646,
  "iss": "<issuer_id>",
  "jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
  "sub_id": {
    "email": "user@domain.com",
    "format": "email"
  }
}

上記の JSON の例のフィールドは次のように定義されています。

  • aud: オーディエンス。値は https://sharedsignals.googleapis.com にする必要があります。
  • events: イベントのマップ。
    • https://schemas.openid.net/secevent/caep/event-type/session-revoked: CAEP イベント。
      • event_timestamp: イベントのタイムスタンプ。
      • subject: イベントが参照するユーザー。
        • email: ユーザーのメールアドレス。
        • format: サブジェクトの形式(この場合は email)。
  • iat: 発行時刻。イベントのタイムスタンプ。
  • iss: 発行元。イベントを送信したサービスの ID。
  • jti: JWT ID。イベントの一意の ID。
  • sub_id: サブジェクト ID。イベントが参照するユーザー。
    • email: ユーザーのメールアドレス。
    • format: サブジェクトの形式(この場合は email)。

セッション取り消しイベントのユースケース

送信者がセッション取り消しイベントを Google の受信者に送信できるユースケースを以下に示します。

  1. IDP パートナーによるアカウントの無効化: ID プロバイダ(IDP)がユーザー アカウントを無効にした場合。
  2. IDP パートナーによるアカウントの停止: IDP がユーザー アカウントを停止した場合。
  3. IDP および EDR パートナーによるユーザー リスク イベント: IDP またはエンドポイント検出と対応(EDR)パートナーがユーザーに関連するリスクを検出した場合。
  4. IDP による認証情報の変更: IDP でユーザーの認証情報が変更された場合。

これらのシナリオでは、送信側でのイベントが Google の受信側でセッションの取り消しイベントをトリガーし、Google Workspace 内のエンドユーザーのセッションがログアウトされたことを確認して、アカウントのセキュリティを強化できます。