Google は、企業や教育機関向けに提供している Chrome ブラウザの最新バージョンとなる Chrome 135 のリリースノートを公開しました。今回のアップデートでは、管理者向けのポリシー追加やセキュリティ機能の強化、管理コンソールの改善など、組織で Chrome を利用する際に役立ついくつかの変更が行われています。
本記事では、Chrome 135 で追加・変更された管理者向けの主なポイントをまとめて紹介します。
Chrome ブラウザの変更点
3P プロファイル登録が OIDC 認証コードフローに移行
Chrome 135 では、プロファイル登録のランディングページがマーケティング Web サイトから動的な Web サイトに移行します。 このアップデートでは、OpenID Connect (OIDC) の暗黙的フローが認証コードフローに移行します。
これは、サードパーティ (3P) の管理対象プロファイルのセキュリティとユーザーエクスペリエンスの両方を向上させることを目的としています。
iOS 版 Chrome でダウンロードを自動削除
iOS 版 Chrome ブラウザのユーザーは、スケジュールに基づいてブラウザのダウンロードを自動的に削除するオプションを選択できるようになりました。
この機能は、ストレージ容量に関連するデバイスのパフォーマンスを向上させ、ユーザーが自分で削除するのを忘れがちなファイルを自動的に削除することで、プライバシーを向上させる可能性があります。
ML によるパスワードフォーム検出の改善
Chrome 135 では、Web 上のパスワードフォームをより適切に解析し、検出と入力の精度を高めるための新しいクライアント側機械学習 (ML) モデルが導入されています。この機能は、PasswordManagerEnabled ポリシーを使用して制御できます。
クライアントの LLM 支援による詐欺の軽減
Web 上のユーザーは、日々、大量かつ多様な詐欺に直面しています。 これらの詐欺に対抗するために、Chrome 135 では、Enhanced protection ユーザー向けに、オンデバイスの大規模言語モデル (LLM) を使用して詐欺 Web サイトを特定します。
Chrome は、ページコンテンツをオンデバイス LLM に送信して、そのページのセキュリティ関連シグナルを推測します。次に、Chrome はこれらのシグナルを Safe Browsing サーバー側に送信して、最終的な判定を行います。
有効にすると、Chrome は LLM をダウンロードするためにより多くの帯域幅を消費する可能性があります。
- Chrome 134 (Linux、macOS、Windows) : キーボードロック API を要求したページのブランド名と目的の要約を収集して、詐欺 Web サイトを特定します。
- Chrome 135 (Linux、macOS、Windows) : キーボードロック API を要求したページのブランドと目的の要約を使用するサーバー判定に基づいて、ユーザーに警告を表示します。
ミューテーションイベントの非推奨化
DOMSubtreeModified、DOMNodeInserted、DOMNodeRemoved、DOMNodeRemovedFromDocument、DOMNodeInsertedIntoDocument、DOMCharacterDataModified などの同期的ミューテーションイベントは、ページのパフォーマンスに悪影響を与え、Web に新機能を追加する複雑さも大幅に増大させます。
これらの API は、2011 年に仕様から非推奨となり、(2012 年に) はるかに優れた動作をする Mutation Observer API に置き換えられました。廃止されたミューテーションイベントの使用は削除するか、Mutation Observer に移行する必要があります。
Chrome 124 以降、非推奨または削除されたミューテーションイベントを再度有効にするための一時的なエンタープライズポリシー、MutationEventsEnabled が利用可能です。 詳細については、こちらの Chrome for Developers のブログ記事をご覧ください。
ダウンロードファイルタイプ拡張子ベースの警告 – ドキュメントの修正
ExemptDomainFileTypePairsFromFileTypeDownloadWarnings のポリシーに関するドキュメントを更新し、DownloadRestrictions ポリシーとの相互作用を正しく反映しました。
ExemptDomainFileTypePairsFromFileTypeDownloadWarnings は、危険なファイルタイプをブロックする DownloadRestrictions 設定をオーバーライドする除外を指定できます。
DownloadRestrictions で指定された他の種類のセキュリティ対策(悪意のあるダウンロードのブロックなど)は、ExemptDomainFileTypePairsFromFileTypeDownloadWarnings でオーバーライドすることはできません。
Chrome の動作は変更されておらず、ドキュメントのみの変更です。
Chrome デスクトップの拡張機能の改善
Chrome デスクトップの Chrome 135 では、新しい拡張機能をインストールするときに Chrome にサインインする一部のユーザーは、拡張機能を Google アカウントで使用および保存できるようになりました。
拡張機能を制御する関連エンタープライズポリシー、および BrowserSignin、SyncDisabled、SyncTypesListDisabled は、これまでどおりに機能するため、管理者はユーザーが Google アカウントでアイテムを使用および保存できるかどうかを構成できます。
任意のコンピューターで拡張機能を使用する方法の詳細については、Chrome Web ストア ヘルプセンターの「拡張機能をインストールして管理する」を参照してください。
汎用デバイス信頼コネクタ
デバイス信頼コネクタを介して作成された統合により、顧客は、Chrome によって送信されたエンドユーザーのデバイスとブラウザインスタンスのプロパティに基づいて、SaaS アプリや企業のイントラネットなどのエンタープライズリソースへの認証のための詳細な制御を実装できます。
プライベートネットワークアクセスエンタープライズポリシーの削除
プライベートネットワークアクセス (PNA 1.0) は、Web サイトからローカルネットワークへのアクセスを制限するように設計された、未出荷のセキュリティ機能です。 展開上の懸念から、PNA 1.0 は、あまりにも多くの既存のデバイスと互換性がなかったため、デフォルトで出荷することができませんでした。
PNA 1.0 では、ローカルネットワーク上のデバイスへの変更が必要でした。代わりに、Chrome は更新された提案であるプライベートネットワークアクセス 2.0 (PNA 2.0) を実装しています。 PNA 2.0 では、ローカルネットワーク上のデバイスへの変更を必要とするのではなく、ローカルネットワークにアクセスする必要があるサイトへの変更のみが必要です。
サイトはデバイスよりもはるかに簡単に更新できるため、このアプローチの方がはるかに簡単に展開できます。PNA 1.0 を強制する方法は、エンタープライズポリシーを介する方法しかありません。
PNA 2.0 の出荷前に PNA 1.0 をオプトインするエンタープライズのお客様のセキュリティが低下するのを防ぐために、Chrome が特別なプリフライトメッセージを送信するようにする PrivateNetworkAccessRestrictionsEnabled ポリシーは、PNA 2.0 と互換性がなくなるまで維持します。
ThirdPartyBlockingEnabled ポリシーの削除
予期しない問題が発生したため、Chrome 135 で ThirdPartyBlockingEnabled ポリシーを削除する予定です。この削除に関するフィードバックがある場合は、Chromium のバグを報告できます。
Chrome デスクトップの設定、サイトショートカット、テーマの改善
Chrome デスクトップの Chrome 135 では、新たに Chrome にサインインするユーザー、または同期を有効にしているユーザーの場合、Google アカウントに同期された設定、サイトショートカット、テーマは、サインアウトしているとき、または同期が無効になっているときの設定などのローカル設定とは別に保持されるようになります。
これにより、以前よりもデータ共有が厳密に少なくなります。つまり、サインイン時または同期をオンにしたときにローカル設定が自動的にアップロードされることはなく、同期をオフにしたときにアカウントの設定がデバイスに残ることもありません。
既存のエンタープライズポリシーである SyncDisabled および SyncTypesListDisabled は引き続き適用されるため、管理者は必要に応じて同期機能を制限または無効にすることができます。
Android 版 Chrome での従来のパスワードマネージャーの提供終了
古いバージョンの Google Play 開発者サービスを使用しているユーザーは、Chrome でのパスワードマネージャー機能を失います。
これは、Android 版 Chrome での従来のパスワードマネージャーの提供終了に向けたステップです。 これらのユーザーは、Chrome の設定からパスワードを含む CSV ファイルをダウンロードし、希望するパスワードマネージャーにインポートできます。新しい Google パスワードマネージャーは、最近のバージョンの Google Play 開発者サービスを搭載したデバイスで利用できます。
シークレットモードでサードパーティ Cookie を常にブロック
Chrome 135 以降、ユーザーはサードパーティ Cookie をシークレットモードでブロックし、グローバルに再度有効にする方法はありません。サードパーティ Cookie を許可するためのサイトレベルのコントロールは変更されません。
このリリースでは、BlockThirdPartyCookies ポリシーは、false に設定されている場合、シークレットモードではなく通常モードにのみ適用されます。
ポリシーが true または設定されていない場合は、変更はありません。 CookieAllowedForUrls ポリシーにも変更はありません。これは、グローバルではなくサイトレベルで適用されるため、通常モードとシークレットモードの両方で引き続き適用されます。
service worker クライアントを作成し、srcdoc iframe の service worker コントローラーを継承
rcdoc コンテキストドキュメントは、以前は service worker クライアントではなく、親ページの service worker の対象ではありませんでした。
これにより、いくつかの不一致が発生しました (たとえば、Resource Timing はこれらのドキュメントがロードする URL を報告しますが、service worker はそれらをインターセプトしません)。 これらの不一致を修正するために、Chrome 135 では、srcdoc iframe の service worker クライアントが作成され、親ページの service worker コントローラーを継承するようになります。
HSTS トラッキング防止
HTTP Strict Transport Security (HSTS) を使用すると、サイトは安全な接続のみを介してアクセス可能であることを宣言できます。
Chrome 135 では、HSTS トラッキング防止機能により、サードパーティによる HSTS キャッシュを使用したユーザートラッキングが軽減されます。
トップレベルナビゲーションの HSTS アップグレードのみが許可され、サブリソースリクエストの HSTS アップグレードはブロックされます。これにより、サードパーティサイトが HSTS キャッシュを使用して Web 全体でユーザーを追跡することを防ぎます。
非推奨の navigator.xr.supportsSession メソッドの削除
Chrome 135 では、navigator.xr.supportsSession メソッドが削除されます。このメソッドは、TAG からの API シェイプに関するフィードバックを受けた後、2019 年 9 月に WebXR 仕様で navigator.xr.isSessionSupported メソッドに置き換えられました。
Chrome Status の使用状況指標が示すように、この呼び出しの使用率は非常に低くなっています。さらに、WebXR コンテンツの構築に使用されるすべての主要フレームワークが、新しい呼び出しを使用するように更新されていることが確認されています。
Chromeブラウザの新しいポリシー
- DownloadRestrictions:悪意のあるダウンロードと危険なファイルタイプをブロックします。
- PartitionedBlobUrlUsage:Blob URL がフェッチおよびナビゲーション中にパーティション分割されるかどうかを選択します。
- ExtensibleEnterpriseSSOBlocklist:ブラウザの拡張可能なエンタープライズ SSO を使用できない ID プロバイダーのブロックリスト。
- EnterpriseSearchAggregatorSettings:エンタープライズ検索アグリゲーターの設定(ベータ)。
- ProfilePickerOnStartupAvailability:起動時のプロファイルピッカーの可用性。
Chrome ブラウザで削除されたポリシー
- ThirdPartyBlockingEnabled:サードパーティソフトウェアの挿入ブロックを有効にします。
- KeyboardFocusableScrollersEnabled:キーボードでフォーカス可能なスクローラーを有効にします。
Chrome Enterprise Core の変更点
macOS 版 Chrome の拡張可能な SSO サポート
Chrome 135 では、macOS で、OS 構成のエンタープライズシングルサインオン (SSO) 拡張機能を介して有効になっている ID プロバイダーのシームレスな認証が有効になります。この初期リリースでは、Chrome は、管理対象ブラウザのエンドユーザーが、資格情報を入力する必要なく、Microsoft Entra 認証リソースにサインインできるようにします。
拡張可能な SSO は、環境内で事前構成し、それぞれのエンタープライズデバイス管理ソリューションと共に展開する必要があります。
Chrome Enterprise Premium の変更点
Chrome 135 では、Chrome Enterprise Premium のアップデートはありません。
近日公開
以下にリストされている項目は、実験的または計画中のアップデートです。
これらは、Stable チャンネルでリリースされる前に、変更、遅延、またはキャンセルされる可能性があります。
- 今後の Chrome ブラウザの変更点
- リモートデバッグポートのカスタムデータディレクトリ要件
- Blob URL パーティショニング: フェッチ/ナビゲーション
- Intl Locale Info API のゲッターの非推奨化
- FedCM の更新
- :visited リンク履歴のパーティション分割
- Storage Access API の厳格な Same Origin Policy
- SwiftShader フォールバックの削除
- 非 file:// 以外の URL ホストでのスペースを禁止
- Isolated Web Apps
- SafeBrowsing API v4 から v5 への移行
- Windows の UI オートメーションアクセシビリティフレームワークプロバイダー
- 今後の Chrome Enterprise Core の変更点
- 大規模顧客向けの Admin Console レポートのパフォーマンスとスケーラビリティの向上
- 管理対象プロファイルリストの新しいリモートコマンドと CSV エクスポート
- Chrome Enterprise Core の新しい概要ランディングページ
- IP アドレスのログ記録とレポート
- Chrome Enterprise Core での非アクティブなプロファイルの削除
- 今後の Chrome Enterprise Premium の変更点
- IP アドレスのログ記録とレポート
- Chrome Enterprise Core での非アクティブなプロファイルの削除
- Chrome Enterprise Premium の今後の変更
- iOS および Android での URL フィルタリング
- DLP ルールユーザーエクスペリエンスのリファクタリング
- モバイル向けレポートコネクタ
- コネクタ API
以上が、Chrome Enterprise および Chrome Education リリースノートにおける Chrome 135 のリリース概要となります。記事執筆時点では、英語でのみ Chrome 135 のリリースノートが公開され、日本語はまだ更新されていません。一方、ChromeOS に関しては英語・日本語とも ChromeOS 134 のリリース概要のみとなっています。こちらも更新され次第、変更内容の紹介をまとめます。
今回の変更に加え、今後のアップデートではさらなるポリシー追加や管理機能の改善も予定されています。最新情報が公開され次第、あらためてお伝えします。