「クラウドサービスは便利だけど、セキュリティ対策は本当にこれで十分なんだろうか?」
「リモートワークが増えて、社外からのアクセスが増えたけど、どうやって安全を確保すればいい?」
「ゼロトラストという言葉はよく聞くけど、Google Workspace環境で具体的にどう実装すればいいのか、いまいちピンとこない…」
情シス担当者として、こんな悩みを抱えていませんか?
Google Workspace(GWS)は日々の業務に欠かせないツールですが、その利便性の裏で、アクセス管理やデータ保護の複雑さが増しているのも事実です。特に、従来の「社内ネットワークは安全、社外は危険」という境界型セキュリティモデルは、もはや通用しません。
そこで注目されているのが、Googleが長年実践し、サービスとして提供しているBeyondCorp Enterpriseです。これは、すべてのアクセスを信頼せず、常に検証するという「ゼロトラスト」の思想をGoogle Workspace環境に適用するための強力なソリューションです。
この記事では、BeyondCorp Enterpriseがどのようなもので、Google Workspace環境のセキュリティをどのように堅牢化できるのか、情シス担当者が実践できる具体的な導入手順と設定例を交えながら解説します。特に、今すぐ着手しやすいContext-Aware Accessに絞って説明するので、「どこから手をつければいいかわからない」という状態を解消することを目指します。
この記事を読んだほうが良い人
- 100名規模の企業でGoogle Workspaceを導入・運用しており、セキュリティ強化を検討している情シス担当者
- ゼロトラストセキュリティモデルの導入を具体的に進めたいと考えている方
- BeyondCorp Enterpriseが自社のGoogle Workspace環境にどう貢献するのか知りたい方
- Context-Aware Accessの具体的な設定方法やポリシー設計について学びたい方
BeyondCorp Enterpriseとは何か? Googleが提唱するゼロトラストモデル
BeyondCorp Enterpriseは、GoogleのBeyondCorpに関する公式技術論文・ブログで公開されている通り、Googleが自社で10年以上にわたり実践してきたゼロトラストセキュリティモデルを、企業向けにサービスとして提供するものです。
なお、BeyondCorp EnterpriseはGoogle Workspaceに標準で含まれる機能ではなく、別途ライセンス(Essentials / Standard / Premium)が必要です。また、後述のContext-Aware Accessについては一部のWorkspaceプランで利用できますが、詳細な要件はGoogle Workspace管理者向け公式情報を参照してください。
ゼロトラストとは、「何も信頼しない、常に検証する」という考え方です。従来の境界型セキュリティでは、一度社内ネットワークに入ってしまえば、そのユーザーやデバイスは「信頼できる」と見なされがちでした。しかし、サイバー攻撃の手口が巧妙化し、リモートワークが普及した現代では、この前提はもはや成り立ちません。
BeyondCorp Enterpriseは、ユーザーのデバイス、場所、IPアドレス、時間帯、セキュリティ状態など、あらゆる「コンテキスト(状況)」を常に評価し、その情報に基づいてリソースへのアクセスを許可するかどうかを動的に判断します。これにより、たとえユーザーが正規のID・パスワードを持っていたとしても、不審な状況からのアクセスであればブロックするといった、よりきめ細やかなアクセス制御が可能になります。
なぜ今、BeyondCorp Enterpriseが必要なのか?
現代のビジネス環境は、リモートワークの常態化、クラウドサービスの利用拡大、多様なデバイスの活用といった変化に直面しています。これにより、以下のようなセキュリティ課題が顕在化しています。
- 境界の曖昧化: 社内ネットワークという明確な境界線が事実上なくなりました。
- シャドーIT: 従業員が勝手に利用するクラウドサービスが増え、管理者の目が届きにくくなっています。
- 多様なデバイス: 社用PCだけでなく、個人のスマートフォンやタブレットからのアクセスも増え、デバイス管理が複雑化しています。
- 巧妙な攻撃: フィッシングやマルウェアなど、ユーザーやデバイスを起点とした攻撃が増加しています。
BeyondCorp Enterpriseは、これらの課題に対応し、場所やデバイスの種類を問わず、安全なアクセスを担保するための基盤を提供します。
Google Workspace環境でのBeyondCorp Enterpriseの実践:Context-Aware Access
BeyondCorp Enterpriseの主要な機能の一つが「Context-Aware Access(コンテキストアウェアアクセス)」です。これは、Google Workspaceの管理コンソールから設定でき、アクセスするユーザーの状況(コンテキスト)に基づいて、Google Workspaceのアプリケーションやデータへのアクセスを制御する機能です。本記事では、BeyondCorp Enterpriseの中でもGWS情シスが今すぐ着手できるContext-Aware Accessに絞って解説します。
Context-Aware Accessでできること
Context-Aware Accessでは、以下のようなコンテキスト情報を組み合わせてアクセスレベルを定義し、Google Workspaceのアプリケーション(Gmail, Drive, Calendarなど)に適用できます。
-
デバイスの属性:
- OSの種類とバージョン(例: Windows 11以降、macOS(管理者が定める最小バージョン))
- デバイスの暗号化状態(例: ディスクが暗号化されているか)
- デバイスのパスワード保護状態
- デバイスが会社の管理下にあるか(Endpoint Verificationツールで確認)
-
IPアドレス:
- 特定のIPアドレス範囲からのアクセスのみ許可(例: オフィスIPアドレス)
- 特定のIPアドレス範囲からのアクセスを拒否
-
場所:
- 特定の国や地域からのアクセスのみ許可/拒否
-
ユーザーの属性:
- 特定の組織部門のユーザーのみ許可
-
時間:
- 特定の時間帯のみアクセスを許可(Advanced CAA機能。後述のポリシー設定例2を参照)
これらの条件を組み合わせることで、「会社の管理下にあるPCで、オフィスネットワークからのみGoogle Driveにアクセスできる」といった、非常に厳格なポリシーを設定できます。
Context-Aware Accessの具体的な設定手順
Context-Aware Accessの設定は、Google Workspace管理コンソールで行います。
1. Endpoint Verificationの有効化とデバイス登録
まず、デバイスの情報を取得するために「Endpoint Verification(エンドポイント検証)」を有効化します。
- Google Workspace管理コンソールにログインします。
-
デバイス>モバイルとエンドポイント>設定>ユニバーサル>データアクセス>デバイスシグナルと進みます。 -
エンドポイント検証を使用してデバイスシグナルを収集するにチェックを入れ、設定を保存します。 - ユーザーは、Chromeブラウザに「Endpoint Verification」拡張機能をインストールし、自分のデバイスを登録する必要があります。これにより、管理者はデバイスのOS、IPアドレス、暗号化状況などを把握できるようになります。
2. アクセスレベルの作成
次に、アクセス条件を定義する「アクセスレベル」を作成します。
- 管理コンソールで
セキュリティ>アクセスとデータ管理>コンテキストアウェアアクセス>アクセスレベルに移動します。 -
アクセスレベルを作成をクリックします。 - アクセスレベル名(例:
Secure_Office_Device_Access)と説明を入力します。 -
条件を適用するまたは条件を結合するを選択し、条件を追加します。-
例1: オフィスIPアドレスからのアクセスのみ許可
-
IPアドレスを選択し、オフィスのグローバルIPアドレス範囲を入力します。
-
-
例2: 会社の管理下にあるWindows PCからのアクセスのみ許可
-
デバイスのOSでWindowsを選択し、バージョンで最小バージョンを指定します。 -
デバイスが会社の所有にチェックを入れます。 -
デバイスの暗号化にチェックを入れます。
-
-
例3: 特定の国からのアクセスをブロック
-
場所を選択し、アクセスをブロックしたい国(例:ロシア)を選択します。 - この場合、
条件を結合するでNOTを使用し、選択した国以外からのアクセスを許可するように設定します。
-
-
例1: オフィスIPアドレスからのアクセスのみ許可
複数の条件をAND/ORで組み合わせることで、より複雑なアクセスレベルを定義できます。
3. アプリケーションへのアクセスレベルの割り当て
作成したアクセスレベルを、Google Workspaceの特定のアプリケーションに適用します。
- 管理コンソールで
セキュリティ>アクセスとデータ管理>コンテキストアウェアアクセス>アプリケーションに割り当てに移動します。 - アクセスレベルを適用したい組織部門またはグループを選択します。
-
アプリケーションを選択をクリックし、アクセスレベルを適用したいGoogle Workspaceアプリケーション(例:ドライブとドキュメント、Gmail)を選択します。 - 選択したアプリケーションに対して、先ほど作成したアクセスレベルを割り当てます。
-
割り当てをクリックして設定を保存します。
これにより、指定した組織のユーザーが、選択したアプリケーションにアクセスする際に、作成したアクセスレベルの条件が評価されるようになります。条件を満たさない場合は、アクセスが拒否されます。
ポリシー設定例
具体的なポリシー設定の例をいくつかご紹介します。
# ポリシー設定例1:会社の管理下にあるPCで、オフィスIPアドレスからのみGoogle Driveにアクセスを許可
アクセスレベル名: Office_Managed_Device_Access
説明: オフィスIPアドレスからの、会社の管理下PCによるアクセス
条件:
- デバイスの所有権: 会社の所有 (true)
- デバイスのOS: Windows (バージョン 10.0.19045 以降)
- デバイスの暗号化: true
- IPアドレス: 203.0.113.0/24 (オフィスのグローバルIPアドレス範囲)
適用するアプリケーション: Google Drive、Googleドキュメント、Googleスプレッドシート、Googleスライド
適用対象: 特定の組織部門(例: 全ユーザー、または機密情報を扱う部門)
# ポリシー設定例2:業務時間外はGmailへのアクセスを制限(ただし管理者グループは例外)
# ⚠️ 注意: 時間帯・日付条件はAdvanced CAAの機能であり、BeyondCorp Enterprise Premiumライセンスが必要です。
# 管理コンソールUIの基本モードからは設定できない場合があります。
# Google Cloud Access Context Managerドキュメントで要件を確認してください。
アクセスレベル名: Business_Hours_Only
説明: 平日9時~18時のみアクセス許可
条件:
- 時間帯: 月曜日~金曜日 9:00~18:00 (タイムゾーン: JST)
適用するアプリケーション: Gmail
適用対象: 全ユーザー(ただし、管理者グループは別のアクセスレベルを適用し、この制限から除外する)
これらの例のように、自社のセキュリティ要件に合わせて柔軟にポリシーを設計できます。
導入ロードマップと運用上の注意点
BeyondCorp Enterpriseの導入は、段階的に進めることが成功の鍵です。
導入ロードマップ例
-
現状分析と要件定義(1ヶ月目):
- 既存のセキュリティポリシーとアクセス状況を把握します。
- BeyondCorp Enterpriseで何を達成したいのか、具体的なセキュリティ要件を定義します。
- どのアプリケーションに、どのような条件でアクセスを制限したいか洗い出します。
-
パイロット導入とテスト(2ヶ月目):
- 少数のユーザー(情シスチームなど)を対象に、Context-Aware Accessのポリシーを設定し、テストします。
- アクセスレベルが意図通りに機能するか、誤ってブロックされないかを確認します。
- ユーザー体験への影響を評価します。
-
全社展開とモニタリング(3ヶ月目以降):
- パイロット導入で得られた知見を元にポリシーを調整し、段階的に全社展開します。
- Google Workspace管理コンソールの監査ログやレポート機能を使って、アクセス状況を継続的にモニタリングします。
- 不審なアクセスやポリシー違反がないか定期的に確認し、必要に応じてポリシーを更新します。
運用上の注意点
- ユーザーへの周知: 新しいアクセス制限が導入されることを、事前にユーザーに十分に周知し、理解を求めましょう。特に、Endpoint Verificationのインストールやデバイス登録の必要性については丁寧に説明が必要です。
- 例外処理: 特定の業務やユーザーに対しては、柔軟なアクセスを許可する必要がある場合もあります。例外ポリシーを慎重に設計し、その妥当性を定期的に見直しましょう。
- ポリシーの定期的な見直し: ビジネス環境やセキュリティ脅威は常に変化します。導入後もポリシーを定期的に見直し、最新の状況に合わせて更新していくことが重要です。
- 監査ログの活用: Google Workspaceの監査ログは、アクセス状況やポリシー適用結果を詳細に記録します。これを活用して、セキュリティインシデントの早期発見や原因究明に役立てましょう。
考察:BeyondCorp Enterpriseがもたらす未来のセキュリティ
BeyondCorp EnterpriseをGoogle Workspace環境に導入することで、情シスは単にセキュリティを強化するだけでなく、より戦略的な役割を担うことができるようになります。
従来のセキュリティ対策では、常に「どこまで規制するか」というトレードオフに悩まされてきました。しかし、BeyondCorp Enterpriseのゼロトラストモデルは、ユーザーの利便性を損なうことなく、状況に応じた最適なアクセス制御を実現します。これにより、「場所やデバイスに縛られない柔軟な働き方」と「堅牢なセキュリティ」の両立が可能になるのです。
情シス担当者としては、これまで見えにくかったクラウド環境でのアクセス状況を可視化し、具体的なセキュリティポリシーとして実装できるようになるため、安心感を持ってGoogle Workspaceを運用できるようになります。また、セキュリティインシデントのリスクを低減し、万が一の際にも迅速な対応が可能になります。
これは、単なるツール導入に留まらず、企業のセキュリティ文化そのものを変革する可能性を秘めています。
まとめ
この記事では、BeyondCorp EnterpriseがGoogle Workspace環境のセキュリティをどのように堅牢化できるか、特にContext-Aware Accessに焦点を当てて解説しました。
- BeyondCorp Enterpriseは、Googleが実践するゼロトラストモデルを企業向けに提供するものです(別途ライセンスが必要)。
- Context-Aware Accessは、ユーザーのデバイス、場所、IPアドレス、OSなどのコンテキスト情報に基づいて、Google Workspaceへのアクセスを動的に制御する強力な機能です。
- 設定はGoogle Workspace管理コンソールから行い、Endpoint Verificationの有効化、アクセスレベルの作成、アプリケーションへの割り当ての3ステップで進めます。
- 導入は段階的に行い、ユーザーへの周知、定期的なポリシー見直し、監査ログの活用が成功の鍵となります。
「クラウド環境のセキュリティが不安」「ゼロトラストを具体的にどう進めればいいか分からない」と感じていた方も、この記事を通じてBeyondCorp Enterpriseの可能性と実践的な導入イメージを掴んでいただけたなら幸いです。
最初の一歩として現実的なのは、まず情シスチームのPCにEndpoint Verificationをパイロット展開し、アクセスログを1週間確認した上でポリシー設計に着手する進め方です。全社展開を急ぐ前に、自チームで動作と影響範囲を確認しておくことで、本番展開時の混乱を大幅に減らせます。
コーポレートITのご相談はお気軽に
この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。
「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。
※ この記事は DRASENAS Blog の転載です。オリジナルではコードや設定手順が随時アップデートされています。