Context-Aware Access ポリシーのモニターモードの紹介

Google の管理コンソール（admin.google.com）にアクセスし、次の操作を行います。

メニュー アイコン >「セキュリティ」>「アクセスとデータ管理」>「コンテキストアウェア アクセス」にアクセスします。

※　データ セキュリティのアクセスレベルの「管理権限」と「ルールの管理権限」、「管理 API グループの読み取り権限」と「ユーザーの読み取り権限」が必要です。

「アクセスレベルの割り当て」をクリックすると、アプリの一覧が表示されます。

操作手順

設定を全ユーザーに適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、「子組織部門」または「設定グループ」を選択してください。

アプリにカーソルを合わせ、「割り当て」をクリックします。

複数のアプリに同じアクセスレベルを一度に割り当てるには、各アプリの横にあるチェックボックスをオンにして、上部の「割り当て」をクリックします。ここでは、Gmail、Google Chat、Google Meet and Classic Hangouts を例に選びました。

設定ステップ１：アクセスレベルの選択

設定予定のアクセスレベル（bce-test-1）の右側の「選択」ボタン（青い枠）をクリックし、 1 つ以上（最大 10 個）クリックして選択します。選択したアクセスレベルが右側に表示され、デフォルトで [モニター] モードに設定されます。

※現在の操作画面の日本語は「モニター」ではなく、「監視」となっております。

アクセスレベル設定のテストが完了し、その設定を適用する準備ができたら、しばらく設定を [アクティブ] に変更せず、[続行] をクリックします。そうすると、設定ステップ２「CAA のポリシー設定の選択」に進みます。

設定ステップ２：CAA のポリシー設定の選択

ここでの推奨設定は、

・「アクセスレベルを満たしていない場合、ユーザーによる Google のデスクトップ アプリとモバイルアプリへのアクセスをブロックする」 をオンにします。そうすると、ネイティブのパソコン、Android アプリ、iOS アプリ、ウェブアプリのユーザーにアクセスレベルを適用します。 

※下記のアクセスレベル設定に基づくアプリの動作をご覧ください。

・「アクセスレベルの要件を満たしていない場合、選択したアプリに他のアプリが API を経由でアクセスできないようブロックする」 をオンにします。そうすると、公開 API によって Google Workspace データへのアクセスを試行するアプリをブロックします。

・特別な需要がない限り、「許可リスト登録済みアプリを除外して、アクセスレベルに関係なく常に特定の Google サービスの API にアクセスできるようにする」をオンにします。

チェックボックス設定完了後、「続行」をクリックします。

設定ステップ３：確認と割り当て

ステップ３において、「選択したスコープ」、「選択したアプリ」、「選択されているアクセスレベル」、「その他の適用設定」を確認することができます。

確認後、問題がなければ「割り当て」をクリックします。

アプリの一覧ページに戻ります。

「アクセスレベル」列には、モニターモードとアクティブ モードの両方で各アプリに適用されたアクセスレベルの数が表示されます。

以上をもって、設定が完了になります。

効果確認

Context-Aware Accessポリシーを設定後、その実行結果がログで確認可能です。したがって、Gmail や Hangouts へのアクセスが拒否された時のログが記録されます。このログを確認することで、管理者はポリシーの影響を事前に理解できます。

ここまで、もしモニターの結果を確認し、問題がなさそうであれば、設定ステップ１にある「アクティブ」にチェックを入れて実行してみましょう。

まとめ

Context-Aware Accessポリシーはユーザーの状況に応じてアプリへのアクセスを制御します。慎重に設定しないと、ユーザーの作業が妨げられる可能性があります。そのため、モニターモードを活用してポリシーの影響範囲や効果を確認し、情報に基づいたセキュリティ戦略を立てることが重要です。

モニターモードの導入により、業務に支障をきたすリスクが低減され、適切なセキュリティ対策が行われながら業務の中断が防げます。自組織にもぜひ導入をご検討してください。