フォーム読み込み中
Google Workspaceで実現するゼロトラスト〜会社支給デバイスのみにアクセスを制限する方法
Microsoft365/Google Workspaceエンジニア
和田 敏志
Google Workspace & Microsoft 365のエンジニア。
ソフトバンクにて、数千〜数万ユーザー規模の導入支援をPM/SEとして担当。
現在はソフトバンクにおける Google Workspace初代エバンジェリストとして、「え、そんな使い方アリ!?」や「面白い使い方」を探しては発信する毎日。
社内のGoogle系エンジニア育成にも力を入れており、布教活動は家庭内にも及ぶ
- 受賞歴
- Google Cloud Partner Top Engineer 2024/2025 Google Workspace
- Google Cloud Partner Tech Influencer Challenge 2025 Solution部門
2023年9月18日掲載
今回は、Google Workspaceのコンテキストアウェアアクセスという機能についてご紹介したいと思います。Google版ゼロトラストとも言える機能となります。
従来は出社して業務を行うということが多かったことから、アクセス制御というと接続元IPアドレスベースでの制限を行うことが一般的でした。しかしながらリモートワークの普及や出社とのハイブリッドなど働く場所が多様化してきたことからIPアドレスだけで制限することが困難になりつつあります。理想はデバイスごとで縛りをかけることができるのが一番良いとはわかっていつつも、証明書の配布など面倒なことが多く導入を躊躇されているというお客様も多いのではないでしょうか?
そこでコンテキストアウェアアクセスを使用して指定したデバイスのみアプリへのアクセスを許可するルールの作成方法についてご紹介します。設定はとても簡単ですし証明書をインストールするというような心理的なハードルや手間もかかりません。
本記事がデバイスベースでのアクセス制御に悩まれている方のお役に立てば幸いです。
1.コンテキストアウェアアクセスとは?
コンテキストアウェアアクセスは英語で書くと Context Aware Accessとなります。
今一つピンと来にくい言葉ですが
- コンテクスト(Context):背景、状況、場面、文脈
- アウェア(Aware):~を知っている、~が分かっている
- アクセス(Access):アクセスする、接続する
と言った意味で
ユーザーのデバイスや場所などの状況(コンテキスト)に応じて(アウェア)、アプリケーションへのアクセスを制御する機能です。この機能を使うと、自ドメインのユーザーがアクセスできるアプリを制御できるようになります。例えば会社のPCからのみメールやドキュメントにアクセスできるようにしたり、外出先ではスマートフォンのみに限定したりすることができます。これにより、不正なアクセスやデータ漏洩のリスクを低減することができます。
少しややこしいのですが、アプリケーションへのアクセスを制御するのがコンテキストアウェアアクセスでデータへのアクセスを制御するのが従来の共有設定(アクセス権)となります。例えばGoogleドライブそのものへアクセスをさせたくない ということであればコンテキストアウェアアクセスで制御しますが、特定のファイルへのアクセスだけ止めたいということであれば共有設定で制御します。またコンテキストアウェアアクセスの設定は管理下のユーザーに適用されるものであり外部のユーザーには影響を及ぼしません。
コンテキストとして指定できる条件のことをアクセスレベルと言います。
設定できる条件は以下のようなものがありますが、多くはIPアドレスかデバイスを指定することが多いかと思います。単一の条件でも複数の組み合わせの条件も作成することが可能です。
# | 条件 | 例 |
1 | IPアドレス | 指定した範囲内の IP アドレスを使用するユーザーはアプリにアクセスできます。 |
2 | デバイス | 会社で所有しているデバイスのみアクセス可能というような制限ができます。 |
3 | デバイスのOS | WindowsとMacOSのみアクセス可能というようなことができます。バージョンの指定も可能です。 |
4 | 場所 | 国や地域を指定します。この国や地域にいるユーザーはアプリにアクセスできます。 |
この機能は Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium のお客様がご利用可能です。Business系プランをご利用のお客様はコンテキストアウェアアクセスが利用可能なプランへの移行が必要となります。
2.事前準備
今回は会社で支給したパソコンのみアクセス可能とするというシナリオとします。
前提環境の準備は利用する条件によって変わります。
詳細は コンテキストアウェア アクセスでビジネスを保護する プラットフォームの要件 をご参照ください。
今回は デバイス が条件となりますので
パソコン - Chrome ウェブブラウザ、Chrome の Endpoint Verification 拡張機能のインストール
が必要となります。
実施する作業は以下の通りです。
管理者
1: 会社支給パソコンの情報(シリアル番号)をGoogle Workspaceへ登録します。
以上で設定は完了です。
注意事項としてアクセスレベルの割り当てをした時点からポリシーが有効となります。
社給端末使用者であってもEndpoint Verificationをインストールしていないユーザーはアクセス不能となってしまいますので適用範囲とタイミングはご注意ください。
3.動作確認
正しく設定されていれば登録端末からはGmailなどのGoogle Workspaceアプリへアクセスができます。
未登録端末 あるいは Endpoint Verificationを未適用の端末からのアクセスではアクセスが拒否されるようになります。
4.まとめ
今回はコンテキストアウェアアクセス機能を使用したデバイス指定でのアクセス制限の方法についてご紹介いたしました。
小難しそうな響きの言葉ですが実際に試してみると手順もGoogleらしく非常にシンプルですし証明書のように配布や更新、端末変更時の再発行等の手間もかかりません。
加えてインストールするのはChrome拡張機能なのでユーザーにパソコンの管理者権限を付与していない環境でも導入が容易です。
テレワークの広がりでIPだけでの制限に限界を感じていらっしゃったりされていた方がいらっしゃいましたら、活用を検討いただけたら嬉しいです。
最後まで読んでいただきありがとうございました。
関連サービス
Google Workspace
Google Workspace は、あらゆる業務に合わせて、すべてのビジネス機能をそろえた統合ワークスペースです。お客さまのご利用に合わせたサポートとオプションをご用意しています。あらゆる働き方に対応する業務効率化を実現します。
ノーコードでアプリケーション開発 AppSheet
ノーコードのアプリケーション開発プラットフォームサービスです。Google Workspace をはじめとする、さまざまなデータソースと接続し、コーディング不要で迅速なアプリケーション開発を可能にします。
企業向けデバイス管理(EMM)Cloud Identity
IDaas(Identity as a Service)サービスであり、企業向けデバイス管理(EMM)サービスです。Cloud Identity を利用することで、管理者は Google 管理コンソールからユーザ、アプリケーション、デバイスを一元管理することができます。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
