フォーム読み込み中
Google Workspaceファイル共有制御の新機能:信頼ルールの使い方
プロダクト技術部
劉暁晨
2021入社した新人です。クラウド技術とWeb開発技術に興味があります。
現在はMicrosoft 365、Google Workspaceの技術サポートを担当しています。又、社内副業として、Axross Recipeのフロントエンドエンジニアを担当しています。
2022年9月1日掲載
2022年11月11日更新
Google Workspaceの運用上、いかに機密情報の漏えいを避けるかが重要な課題となります。例えば、Google Driveのファイル共有機能を制御し、組織外部への共有を禁止するなどの措置が挙げられます。
2022年7月、Google Workspaceの新機能:「信頼ルール」がOpen Betaでリリースされました。本機能を使って、従来の制御機能と比べ、格段に柔軟な制御を実現できます。
本記事は、「信頼ルール」と従来の制御機能との比較、利用方法、実際の設定例について紹介します。新しい「信頼ルール」機能を試したい方の参考になりましたら幸いです。
11月11日追記:2022年11月8日、本機能は一般公開されました。
一般公開の記事:Trust rules in Google Drive now generally available
はじめに
本記事は、Google Workspaceの新機能、「信頼ルール」の紹介記事となります。
「信頼ルール」機能は、Googleが2021年6月Close Betaでリリースされ、2022年7月Open Betaでリリースされ、ファイル共有を制御するための新機能となります。
「信頼ルール」を利用できるのは、Google Workspace Enterprise Plus、Enterprise Standard、Education Plus、および Education Standard プランです。
今回は、「信頼ルール」機能が一般大衆に公開利用できるタイミングで、こちらの新機能について詳しく説明したいと思います。
Google Driveのファイル共有について
Google Driveを利用したことがある方であれば、ファイル共有機能を利用したことがあると思います。この機能を使うことで、任意のGoogle Accountユーザ/不特定多数の人にファイルを共有することができます。
しかし便利な機能である一方、機密情報を漏えいするリスクも同時に抱えています。そのために、実際の運用上において、ファイル共有機能をある程度制限することが一般的です。今回紹介する「信頼ルール」は、正にファイル共有機能を制限するための新しい仕組みになります。
ファイル共有を制御する従来の仕方と信頼ルールの比較
従来のファイル共有制御機能
Google Workspace 管理者コンソールにログインし、「アプリ>Google Workspace>ドライブとドキュメントの設定>共有設定」の中で、従来のファイル共有機能を見つけます。
新しいファイル共有制御機能「信頼ルール」
Google Workspace 管理者コンソールにログインし、「ルール」の中で、信頼ルール機能を有効化することができます。以後、同じ画面で各種のルールを追加・編集する形でファイル共有機能を制御できます。又、「信頼ルール」を有効化した後、従来の制御機能の設定が無効化されます。
信頼ルールを有効化したタイミングで、既存のファイル共有設定と同じ動作をする信頼ルールが自動的に生成されて、適用されます。そのため、既存の設定に影響を出ずに、気軽に新機能を試すことができます。
従来の制御機能と新しい「信頼ルール」との比較
| 従来の制御機能 | 信頼ルール | |
|---|---|---|
| 設定方式 | 固定オプション式 | カスタムルール式 |
| 組織外への共有を制御 | 可能 | 可能 |
| 組織内への共有を制御 | 不可能 | 可能 |
| 送信者側の制御 | 可能 | 可能 |
| 受信者側の制御 | 不可能 | 可能 |
| 制御単位の指定 | 組織全体、部門、グループ | 組織全体、部門、除外する部門、グループ、除外するグループ |
| 制御条件の指定 | 許可リスト登録済みドメイン | ユーザ、組織部門、グループ、外部組織、許可リスト登録済みドメイン、組織、Google アカウントを持つ全員 |
| 複数制御ルール設定 | 不可能 | 可能 |
以上の比較表からも分かると思いますが、従来の制御機能と比べ、新しい「信頼ルール」の方は格段に柔軟な制御を実現できます。又、従来の制御機能では、組織外への共有しか制御できませんでしたが、新しい「信頼ルール」を使って、組織内への共有も制御できるようになります。
信頼ルールの考え方
従来の制御機能と比べ、「信頼ルール」を使った制御を実現する方法は大きく変更されたため、ここではいくつかの側面から「信頼ルール」を使った制御の考え方について紹介したいと思います。
送信者、受信者両方のルール適用が必要
従来の制御機能では、送信者側に共有制限を設けることで、ファイル共有を制御することを実現しました。
しかし、信頼ルールを使う場合、送信者だけでなく、送信者、受信者両方のルールを使って、共同でファイル共有の挙動を制御します。
ここで大事なポイントは、「明示的にファイル共有を許可する共有ルールと、ファイル受信を許可する受信ルールが同時に存在する場合のみ、ファイル共有ができるようになります」。例えば、組織Aから組織Bにファイル共有したい場合、「組織Aから組織Bにファイル共有を許可する」ルールだけでは、ファイル共有が認められません。「組織Bで組織Aからのファイルの受信を許可する」というルールも適用し、初めて組織Aから組織Bへファイルを共有することができるようになります。
ルールを構成する4つのコンポーネント
全ての信頼ルールは、4つのコンポーネントによって構成されています:「範囲」、「トリガー」、「条件」、「操作」。それぞれのコンポーネントが選択できるパラメータは以下となります:
範囲:
全組織に適用
一部に適用
特定の組織部門を含む
特定の組織部門を除外する
特定のグループを含む
特定のグループを除外する
トリガー:
共有
受信
条件:
ユーザ
組織部門
グループ
外部組織
許可リスト登録済みドメイン
組織
Google アカウントを持つ全員
操作:
許可
許可して警告を表示
ブロック
以上の4つのコンポーネントの内、「トリガー」と「操作」の意味は分かりやすいと思います。「トリガー」によって該当ルールが共有ルールであるか、受信ルールであるかは決まり、「操作」によって該当ルールの効果が決まります。
しかし、「範囲」と「条件」の意味について、少々ややこしいことになります。この2つについては、「トリガー」の設定によって、持つ意味が変化するという特徴があります。以下は、「トリガー」の設定によって、「範囲」と「条件」が持つ意味の変化をまとめた表となります:
| トリガー:共有(共有ルール) | トリガー:受信(受信ルール) | |
|---|---|---|
| 範囲 | 共有する人 | 共有を受ける人 |
| 条件 | 共有を受ける人 | 共有する人 |
ルールを作成する場合、ぜひ今設定中のルール種類によって、「範囲」と「条件」が持つ意味が変化することに注意してください。
ルール複数適用時の優先順位
「信頼ルール」の仕様として、ルールは組織階層ごとに設定できる継承式なものではなく、全体に適用されるものです。又、「信頼ルール」は、「ファイアウォール ルール」みたいに優先順位を設定することができません。よって、複数ルールを作成する場合、必然的に複数のルールが同時に適用できる場面が出てきます。
実は、複数のルールが同時に適用される場合、Google側の独自準則でルールの優先順位が決まり、優先順位が一番高いルールのみが適用される挙動となっています。優先順位の準則について、公式ドキュメントの説明は以下になります:
複数の信頼ルールの範囲、トリガー、条件が 1 つの共有イベントと一致する場合、ルールの操作コンポーネントは次の順で優先されます。
共有をブロックする
共有を許可する
共有を許可して警告を表示する
簡単に言いますと、共有する際、複数のルールに当てはまる場合、ブロックのルールがある場合にブロックされます。ブロックのルールがなく、許可のルールがある場合、許可されます。
それでは、実際に設定した2つのルール設定を例に解説したいと思います。
実際のルール例
例1:組織内へファイルを共有する例
| 範囲 | トリガー | 条件 | 操作 | |
|---|---|---|---|---|
| ルール1 | 組織全体 | 共有 | 組織全体 | 許可 |
| ルール2 | 組織全体 | 受信 | 組織全体 | 許可 |
| ルール3 | 経理部OU | 共有 | 組織全体 | ブロック |
以上の3つのルールだけが有効になっている場合:
経理部の人はファイルを共有できません。(ルール3のブロック動作はルール1の許可動作を上書きするため)
経理部以外の人は組織全体とファイルを共有できます。(ルール1、2)
例2:組織外へファイルを共有する例
| 範囲 | トリガー | 条件 | 操作 | |
|---|---|---|---|---|
| ルール1 | 組織全体 | 共有 | 許可リスト登録済みドメイン | 許可 |
| ルール2 | マーケティング部OU | 共有 | Google アカウントを持つ全員 | 許可 |
以上の2つのルールだけが有効になっている場合:
マーケティング部の人は社外のGoogle アカウントを持つ全員とファイルを共有できます。(ルール2だけが適用)
マーケティング部以外の人は社外の許可リスト登録済みドメインとファイルを共有できます。(ルール1、2が同時に適用されますが、操作は同じ)
※共有先の組織のルールにより、共有できない場合があります。
さいごに
Google Workspaceのファイル共有を制御する新機能、「信頼ルール」の使い方について紹介しました。
信頼ルールを使い、従来の制御機能と比べ、遥かに柔軟な制御を実現でき、かつ従来では実現できなかった機能(組織内部へのファイル共有制御など)も実現できるようになりました。一方、その分制御の設定が複雑となり、公式ドキュメントを熟読する必要がありました。
本記事は、「信頼ルール」機能と従来の制御機能と比べ、「信頼ルール」の考え方などについて、実際に利用する上で重要なポイントをピックアップし、紹介しました。できるだけ公式ドキュメントを読むハードルを下げるべく、「信頼ルール」の全体像が分かるように、分かりやすく紹介することを心掛けしました。
本記事を読むことで、「信頼ルール」へ興味を感じ、もしくは設定上の助けになりましたら幸いです。
最後まで読んでいただきありがとうございました。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
