はじめに
Google Workspace をお使いの皆様、機密情報へのアクセス制御に課題を感じていませんか?
情報漏洩インシデントが増加する昨今、社内データのセキュリティ強化は急務です。
そこでご紹介したいのが、Google Workspace の Enterpriseプランで利用できるコンテキストアウェアアクセスです。この機能を使えば、デバイスやユーザーの状況に応じて、Google Workspace 上の機密情報へのアクセスを柔軟に制御できます。情報漏洩リスクを大幅に減らし、企業の貴重な情報を守りましょう。
💡 一部の Frontline, Education プランも対応しております。また下位エディションに Cloud Identity Premium アドオンを追加することでも対応可能です。
コンテキストアウェアアクセスとは?
コンテキストアウェアアクセスは、ユーザーがアクセスする際の「コンテキスト(状況)」に基づいて、アクセス許可を動的に判断する機能です。従来の ID/パスワード による認証だけでなく、以下のような条件を組み合わせてアクセス制御 (許可/拒否) を実現します。
- ロケーション情報:IPアドレスやロケーション (国・地域) など
- デバイスの状態:OS種別・バージョン・暗号化の有無 など
- デバイスの登録 :シリアル番号、会社保有状況 など
- ユーザー情報:ユーザーの組織部門 など
💡 上記以外にも、デバイス証明書を利用した制限も可能です。
これらの情報を組み合わせることで、
- 「承認されたデバイスからのアクセスのみを許可する」
- 「OSの種別やバージョンなど、特定の条件をクリアした端末のアクセスのみ許可する」
- 「社内や許可されたロケーションからのアクセスのみを許可する」
といった、柔軟なアクセス制御ができます。GWSでは、こうした組み合わせの条件を「アクセスレベル」として定義/作成し、アプリに割り当てることで、アプリ毎にアクセス制御を動的に判断します。
.png?fm=avif&q=50&w=1440)
コンテキストアウェア アクセスの使用例
1. 社用端末に限定してBYODからのアクセスを防止
会社が貸与したMDMなどの管理下の端末からのアクセスのみを許可することで、私用端末(BYOD)からのアクセスを遮断することが可能です。またBYODでも申請した端末はアクセスさせる、といった運用も可能です。
2.セキュアな端末に限定したアクセス
OS更新済の端末や、ディスクの暗号化済の端末など一定以上のセキュリティが担保された端末から以外のアクセスを遮断させることが可能です。
3. 地理的なアクセス制限
例えば「日本国内からのみ、または許可した国からのみ接続可」と設定すれば、それ以外の国での(不正アクセスかどうかにかかわらず)利用を制限することが可能です。
4. アプリ・プラットフォーム別の端末制限
『Googleドライブや Gmail など機密性の高いアプリは「社用端末」からのみアクセスを許可し、それ以外のカレンダーや Meet などはどの端末からでもアクセス可能』といったアプリに応じたポリシーを適用することも可能です。また、PCとスマートフォンで異なるルールを適用することも可能です。
運用上の注意とポイント
コンテキストアウェアアクセスにはいくつか注意すべき仕様があります。
1. PC からのアクセスには Chrome ブラウザが必須
コンテキストアウェアアクセスは、PCからのアクセスに Chrome ブラウザを利用することが前提となります。承認済みデバイスであっても、Chrome ブラウザ以外から Google Workspace へアクセスしても利用できないためご注意ください。
💡 スマートフォンからのアクセスを制御する場合、スマートフォンを Google デバイス管理 (MDM) に登録する必要があります。登録されたスマートフォンでは任意の Web ブラウザ (Safari, Chrome, Edge など) を利用できます。
2.アプリ制御は Google Workspace で管理しているサービスとSSOアプリのみ
コンテキストアウェアアクセスで制御できるのは、Google Workspace の管理コンソールで設定されているサービスのみです。そのため例えば「Googleフォト」や「YouTube」などの「その他の Google サービス」と呼ばれるサービスは、コンテキストアウェアアクセスでは制限することが出来ません。
3. アクセス制御の判定タイミング
Google Workspace で管理しているアプリはアクセス制御が継続的に判定されるため、アクセスしている最中でも(セッション確立後も)条件を満たなさなくなった瞬間にアクセスがブロックされます。一方、Slack や Notion などシングルサインオン(SSO)連携した他社サービスは「ログイン時のみ」の判定となるため注意が必要です。(Okta や HENNGE など一般的な IdP と同様の挙動です)
4. アクセスレベルはシンプルに
アクセスレベルを厳しくしたり複雑に設定してしまうと、ユーザーの利便性と管理の効率性を損なう場合があります。MDMなどの導入状況に合わせてアクセスレベルをシンプルに定義しましょう。 また、アクセスレベルの割り当ては、まずはモニターモード(監視モード)にして、影響範囲を評価した上で、アクティブモードにしていく運用もおすすめです。
最後に
コンテキストアウェアアクセスは、Google Workspace のセキュリティを大幅に向上させる機能です。しかし、その効果を最大限に発揮するには、お客様の環境や運用に合わせた適切な設計と設定が必要となります。
ZUNDA は、Google Workspace の導入支援・運用サポートに豊富な経験を持つ、Google 認定プレミアパートナーです。コンテキストアウェアアクセスの導入を検討されているお客様は、ぜひ当社までご相談ください。お客様のセキュリティ要件を詳しくヒアリングし、おすすめの導入プランをご提案します。
情報セキュリティ対策は、企業の信頼を守るための重要な投資です。コンテキストアウェアアクセスを活用して、安心で安全な情報活用環境を構築しましょう。
まずはお気軽にお問い合わせください。 お客様のセキュリティ強化を全力でサポートいたします。
