G Suite Context-Aware access (BETA)
G Suite Context-Aware access (BETA) (以降、Context-Aware access) を使用することで、アクセス制御ポリシーを作成できるようになりました。
顧客要件でG Suite のアクセス制限をしたいという話はよくあるので嬉しい反面、どこぞのサードパーティサービスを〇す気か?!と思いましたが、今のところ Enterprise プランのみ利用可能です。G Suite Enterprise の料金は、3,000円/月/ユーザと高額なので、サードパーティサービスに取って代わることはなさそうです。
Context-Aware access の機能
Context-Aware access は、ユーザーID、デバイスのセキュリティステータス、IPアドレスなどのアクセス制御が可能です。本記事では、IPアドレス制御を試してみようと思います。
Context-Aware access で IPアクセス制御
G Suite Enterprise で Context-Aware access を設定し、あるIPアドレスのみDrive利用を許可してみましょう。
Context-Aware access を設定する
実際に設定してみましたので、以下に手順を記載します。
- G Suite 管理コンソールの"セキュリティ"を開く。
2. "Context-Aware access (BETA)" を開く。
3. "有効にする"をクリックし、Context-Aware access を有効にする。
4. <アクセスレベル>で、"アクセスレベルを作成"をクリックする。
5. "タイトル"にアクセスレベル名を入力し、「続行」をクリックする。
6. [以下の条件を満たしている場合]ラジオボタンを選択、”属性を追加”をクリックする。
7. "属性"に"IPサブネット"を選択、許可するIPアドレスを入力し、「アクセスレベルを作成」をクリックする。(IPアドレスはレンジ設定も可能)
8. アクセスレベルが作成されていることを確認し、右の”^”をクリックする。
9. <アクセスレベルの割り当て> で "Drive and Docs" を選択し、”割り当て”をクリックする。
10. <アクセスレベルの選択>で、先ほど作成したアクセスレベルを選択する。
11. "Drive and Docs"にアクセスレベルが割り当てられる
IPアドレス制御のアクセスレベルが作成できました。
Drive にアクセスしてみる
では、Drive にアクセスしてみます。
最初は許可しているIPアドレスから Drive にアクセスします。以下が現在のグローバルIPアドレスです。許可したIPアドレスと同じアドレスです。
Drive にアクセスすると、当たり前ですが Drive内のファイルが問題なく表示されました。
次に許可していないIPアドレスから Drive にアクセスしてみます。以下がアクセスするIPアドレスです。
許可されていない場合は、以下の画面が表示されました。
まとめ
Context-Aware access によるIPアドレスの制御は簡単に設定できました。エンタープライズと言われる大企業の場合は、G Suite Enterprise の導入で高いセキュリティ機能、かつ Context-Aware access を使用しアクセスを制限した、より高いセキュリティを簡単に実現できると考えます。
前述していますが、G Suite Enterprise は高額ですので、現在サードパーティサービスの同等のセキュリティ機能を使用している場合は、料金的に乗り換えることはお勧めしません、というのが個人の感想です。
純正機能がサードパーティの機能と被るより、棲み分けして欲しいというのが正直な感想です。