Chrome バージョン 63 以降
管理対象の Chrome ブラウザと ChromeOS デバイスが対象です。
Chrome 管理者はサイト分離を使用して、信頼できないサイトにアクセスする Chrome ブラウザ ユーザーを保護できます。
サイト分離では、さまざまなウェブサイトのページを異なるプロセスに分離します。サイト分離を有効にすると、悪意のあるサイトがデータ盗用防止のセキュリティ対策を回避することは困難になります。プロセスが他のサイトから特定の種類の機密情報を受信しないように設定できます。このため、悪意のあるウェブサイトが(プロセス内で一部のルールを破ることができたとしても)他のサイトからデータを盗むことははるかに難しくなります。
サイト分離はサイト(https://example.com など)に適用され、通常はそのサイト内の他のオリジン(https://a.example.com など)をグループ化します。
パソコンのプラットフォームでは、サイト分離がデフォルトで有効になっています(Chrome 76 以降)。また、Android ユーザーがログインするほとんどのサイトでも、デフォルトで有効になっています(Chrome 77 以降)。詳しくは、サイト分離をご覧ください。
管理者はユーザーがサイト分離を無効にできないようにしたり、指定したサイト内の特定のオリジンを分離したりできます。Android では、すべてのサイトに対してサイト分離を有効にすることもできます。
ステップ 1: ポリシーを確認する
ポリシー | 説明と設定 |
---|---|
SitePerProcess |
Windows、Mac、Linux 有効にした場合 - 組織全体のすべてのウェブサイトに対してサイト分離が有効になります。ユーザーがアクセスするすべてのサイトは、互いに分離された専用のレンダリング プロセスで実行されます。ユーザーが chrome://flags などを使用してサイト分離を無効にすることはできません。 無効または未設定にした場合 - サイト分離は有効なままですが、ユーザーは chrome://flags などを使用して無効にすることができます。 |
IsolateOrigins |
Windows、Mac、Linux 有効にした場合 - ユーザーがアクセスする特定のオリジンを細かく分離します。指定したオリジンは専用のレンダリング プロセスで実行されます。ユーザーのログイン先のオリジンや、機密情報を含むオリジン(業務で使用するサイトやイントラネット サイトなど)を指定できます。 無効または未設定にした場合 - サイト分離は有効なままですが、特定のオリジンが細かく分離されることはありません。ユーザーは chrome://flags などを使用して、細かく分離するオリジンのリストを作成できます。 |
SitePerProcessAndroid |
Android 有効にした場合 - 1 GB 以上の RAM を搭載した Android デバイスに適用されます。組織全体のすべてのウェブサイトに対してサイト分離が有効になります。ユーザーがアクセスするすべてのサイトは、互いに分離された専用のレンダリング プロセスで実行されます。ユーザーが chrome://flags などを使用してサイト分離を無効にすることはできません。 未設定にした場合 - 2 GB 以上の RAM を搭載した、M77 以降の Android デバイスに適用されます。ユーザーのログイン先のサイトに対してのみ、サイト分離が有効になります。 無効にした場合 - サイト分離が完全に無効になります。このポリシーはユーザーのログイン先のサイト設定、および IsolateOriginsAndroid ポリシーの設定より優先されます。 |
IsolateOriginsAndroid |
Android 有効にした場合 - 1 GB 以上の RAM を搭載した Android デバイスに適用されます。ユーザーがアクセスする特定のオリジンを細かく分離します。指定したオリジンは専用のレンダリング プロセスで実行されます。ユーザーのログイン先のオリジンや、機密情報を含むオリジン(業務で使用するサイトやイントラネット サイトなど)を指定できます。 未設定にした場合 - 2 GB 以上の RAM を搭載した、M77 以降の Android デバイスに適用されます。ユーザーのログイン先のサイトに対してのみ、サイト分離が有効になります。 無効にした場合 - サイト分離が完全に無効になります。このポリシーは SitePerProcessAndroid ポリシーより優先されます。 |
ステップ 2: 分離するサイトのリストを作成する
Chrome 76 以前のバージョンでは、分離するすべてのオリジンの完全な URL を指定したリストを作成します。以下に例を示します。
https://a.example.com
, https://b.example.com
, https://c.example.com
Chrome 77 以降のバージョンでは、ワイルドカードを使用して分離するオリジンの範囲を指定することもできます。
たとえば、https://[*.]example.com
と指定すると、https://a.example.com
、https://b.example.com
、https://c.example.com
を分離します。また、https://[*.]example.com
と一致する次のようなオリジンもすべて分離します。
https://a1.example.com
https://a2.a1.example.com
https://a3.a2.a1.example.com
ワイルドカード表記を使用すると、幅広いオリジンを簡単に分離できます。たとえば、https://[*.]corp.solarmora.com
と指定すると、Solarmora 社のすべてのオリジンが分離されます。
ステップ 3: サイト分離を有効にする
これらのポリシーの管理方法に基づき、以下のリンクをクリックして手順を確認してください。
管理コンソールすべてのデバイスのログイン ユーザー、または Windows、Mac、Linux、Android 上の登録済みブラウザに対して設定を適用できます。詳しくは、設定が適用されるタイミングを理解するをご覧ください。
重要: その組織に対して Chrome ブラウザ管理が有効になっていることを確認してください。
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] に移動します。デフォルトでは、[ユーザーとブラウザの設定] ページが開きます。
Chrome Enterprise Core に登録済みの場合は、メニュー アイコン [Chrome ブラウザ] [設定] に移動します。
-
To apply the setting to all users and enrolled browsers, leave the top organizational unit selected. Otherwise, select a child organizational unit.
- [サイト分離] に移動します。
- Windows、Mac、Linux の場合、[サイト分離] をクリックします。
- すべてのウェブサイトでサイト分離を必須にするには:
- [すべてのウェブサイトおよび以下の発行元でサイト分離を必須にする] を選択します。
- (省略可)各ウェブサイトから分離する発行元をカンマ区切りで入力します。たとえば、「https://login.example.com」と入力すると、このウェブサイトを https://example.com の他のサイトから分離できます。
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承] をクリックします。
- すべてのウェブサイトで分離を有効にする一方で、ユーザーが特定のウェブサイトのサイト分離を無効にできるようにするには(デフォルト):
- [すべてのウェブサイトおよび以下のオリジンでサイト分離を有効にしつつ、ユーザーによる無効化を許可する] を選択します。
- (省略可)分離するウェブサイトとオリジンのリストをカンマ区切りで入力します。
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承] をクリックします。
- ログイン先のウェブサイトに対してのみサイト分離を有効にするには(デフォルト):
- [ログインサイトおよび以下のオリジンでのみサイト分離を有効にする] を選択します。
- (省略可)分離するウェブサイトとオリジンのリストをカンマ区切りで入力します。
- [保存] をクリックします。
- サイト分離を有効にするかどうかをユーザーが選択できるようにするには:
- [ユーザーがサイト分離の有効化を選択できるようにする] を選択します。
- (省略可)分離するウェブサイトとオリジンのリストをカンマ区切りで入力します。
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承] をクリックします。
- すべてのウェブサイトに対してサイト分離を有効にするには:
- [すべてのウェブサイトおよび以下のオリジンでサイト分離を有効にする] を選択します。
- (省略可)分離するウェブサイトとオリジンのリストをカンマ区切りで入力します。
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承] をクリックします。
- すべてのウェブサイトでサイト分離を必須にするには:
グループ ポリシーを使用する
グループ ポリシー エディタで、[コンピューターの構成] または [ユーザーの構成] [ポリシー] [管理用テンプレート] [Google] [Google Chrome] に移動し、以下の両方のポリシーを設定します。
すべてのウェブサイトでサイト分離を必須にする
注: Windows ではサイト分離が常に有効になっています。また、SitePerProcess ポリシーは、ユーザーが分離を無効にできないようにするためだけに使用します。
このポリシーを未設定のままにした場合は、前述の未設定にした場合の条件が適用されます。
-
[すべてのウェブサイトに対してサイト分離を有効にする] を見つけて有効にします。
ヒント: このポリシーが表示されない場合は、最新のポリシー テンプレートをダウンロードしてください。 - 更新をユーザーに展開します。
特定のオリジンに対してサイト分離を有効にする
このポリシーを未設定のままにした場合は、前述の未設定にした場合の条件が適用されます。
- 次のコマンドライン フラグを使用して、これらのサイトに対するサイト分離をローカルでテストします。
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org - [指定したオリジンに対してサイト分離を有効にする] を見つけて有効にします。
ヒント: このポリシーが表示されない場合は、最新のポリシー テンプレートをダウンロードしてください。
-
分離する URL をカンマ区切りのリスト形式で入力します。
例: https://[*.]example.com/,https://subdomain.example.org - 更新をユーザーに展開します。
Chrome の設定プロファイルで次のキーを追加するか、すでに存在する場合は更新し、変更をユーザーに展開します。
<dict>
<key>SitePerProcess</key>
<true/>
</dict>
<dict>
<key>IsolateOrigins</key>
<string>”https://www.site1.com,https://www.site2.net”</string>
</dict>
任意の JSON ファイル エディタを使用して次の操作を行います。
- /etc/opt/chrome/policies/managed フォルダに移動します。
- JSON ファイルを作成または更新し、必要に応じて URL を入力します。
- SitePerProcess - true に設定してこのポリシーを有効にします。
- IsolateOrigins - 分離する URL を追加します。
- 次のコマンドライン フラグを使用して、これらのサイトに対するサイト分離をローカルでテストします。
- - isolate-origins=https://[*.]example.com, https://subdomain.example.org - 更新をユーザーに展開します。
次の例は、SitePerProcess ポリシーを有効にする方法を示しています。
{
”SitePerProcess": "true”
}
次の例は、a.example.com と b.example.net を分離する方法を示しています。
{
“IsolateOrigins”:”https://a.example.com/,https://b.example.net/”
}
ステップ 4: ポリシーが適用されていることを確認する
Chrome ポリシーの適用後に設定を有効にするには、ユーザーが Chrome ブラウザを再起動する必要があります。管理者は、ユーザーのデバイスにポリシーが正しく適用されたかどうかを確認できます。
- 管理対象の ChromeOS デバイスで、chrome://policy にアクセスします。
- [ポリシーを再読み込み] をクリックします。
- [値が設定されていないポリシーを表示する] チェックボックスをオンにします。
- 設定したポリシーについて、[ステータス] が [OK] になっていることを確認します。
- 各ポリシーで [値を表示] をクリックし、項目の値がポリシーで設定した値と同じであることを確認します。
サイト分離を無効にする(Android のみ)
サイト分離を無効にするには、前述の Android ポリシーを無効にします。
分離ポリシーを無効にすると、Chrome はサイト分離前のプロセスモデルを使用してウェブサイトをレンダリングします。この場合、サイト間でプロセスが共有されることがあります。また、クロスサイト フレームが親ページと同じプロセスでレンダリングされることもあります。前述のどちらかのポリシーを無効にすると、両方のポリシーの値が無効になります。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。