受験体験記（Google Cloud Associate Google Workspace Administrator）

誰かの参考になれば。

受験概要

• 受験日 2026/01/10
• オンライン受験（Kryterion）※複数回目
• 試験時間 2h ※見直し含めて1h掛からず
• 問題数 40問 ※合格したので正答率不明
• 連続受験クーポンで半額($137.5→$68.75)

受験後の感想

• 以下のUdemyの模擬試験の的中率？は高かったけどちゃんと理解してないと意外と足元掬われるかも
• 問題数が少なかったのでサクッと終わった（見直し6問）
• Kryterionのオンライン試験で受験中の回線トラブルが起きなかった（実は意外と起きない？）

勉強法

• Udemy：【2026最新】Associate Google Workspace Administrator 模擬試験
  
  • 割引ありで3000円→1300円
• 一旦真面目に模擬試験を受けて、直しをしながらGeminiと壁打ち
• VSCodeでMDにまとめつつ、Copilotで補完するととても楽ができる
• 勉強時間：電車で模擬試験&直し、1hくらい集中して復習(4hくらい)
  • 模擬試験：1回目7割弱、2回目8割強取れたので、補完的な学習で十分だった
  • これまでの他のGCの試験とほぼ全く絡まない内容。特に以下はしっかり押さえておく必要あり
    • グループとアクセス設定
    • セキュリティ調査ツール
    • Vault
    • データ保管

前提

• 一般的なwebシステム開発の経験あり
• DNS,DMARC,SAMLは知ってる
• 会社のOA基盤がGWS
• いくつかのGoogleCloud資格取得済み(CDL,GAIL,ACE,ADP)
• まだ実際のGoogle Cloud環境は一切触ってない(触ると混乱するため)

得られた用語など

※自分用メモ。恐らく今後触れる機会がほぼないためちょっと真面目にまとめ。正確性に責任負いません

グループとポリシー、メールアドレスなど

• OU：組織単位(Organizational Unit)でグループ化されたユーザーやデバイスの集合
• 動的グループ、設定グループ
  • 動的グループ：ユーザーの属性（役職、部署、勤務地など）に基づいて自動的にメンバーシップが更新されるグループ
  • 設定グループ：特定のユーザーセットに対してサービスのオンオフや設定を適用可能
• ポリシーの優先順位
  1. ユーザーに直接適用
  2. 設定グループ
  3. OU
  4. ドメイン全体の設定
• 「基本禁止,一部許可」の設定：組織ルートでOFF、該当OUでON（オーバーライド）
• 信頼ルール（Trust Rules）
  • ユーザーが外部とデータを共有する際に適用されるポリシーや制限を設定するためのルール
  • 共有先ドメイン、ファイルタイプ、ユーザー属性、デバイスの状態などで条件設定可能
• プライマリドメイン、セカンダリドメイン、エイリアスドメイン
  • セカンダリドメイン：異なるドメインで独立したユーザーアカウントを作成可能（合併後のドメイン引き継ぎなどに利用）
  • エイリアスドメイン：複数ドメインのメールアドレスを同じユーザーに割り当て、同じ受信トレイで管理可能
• GWSのドメイン認証
  • DNSレコードに一時的なTXTレコードを追加して確認（確認後は削除可能）

セキュリティ・データ保護

• DLPルール
  • 特定の機密データだけ共有制限したい場合に使用
  • 例：クレジットカード番号、個人識別情報(PII)、機密プロジェクトコードネームなど
• Gmailの情報保護モード
  • メールの転送禁止や期限設定を行う場合に使用
  • メールそのものを送るのではなく、受信者が特定のリンクからメール内容にアクセスする仕組み
• ラベル
  • ラベル検索フィルタを使用して、ラベルで整理されたファイルを簡単に探すことが可能
  • ラベルの自動付与方法
    • 管理コンソールでDLPルールを設定し、特定の条件に基づいて自動的にラベルを適用
    • GWSのAPIを使用して、カスタムスクリプトやアプリケーションでラベルを自動付与
• 基本モバイル管理、詳細モバイル管理、MDM、Google Endpoint Management
  • 基本モバイル管理：「エージェント不要」「画面ロックのみ強制」「アカウントデータワイプ」「BYOD向け」
  • 詳細モバイル管理：「強力な制御」「デバイス全体のワイプ」「アプリ配布」
• コンテキストアウェアアクセス
  • ユーザーの属性（役職、部署など）に基づくアクセス制御
  • デバイスの状態（OSバージョン、セキュリティパッチ適用状況など）に基づくアクセス制御
  • ネットワークの場所（IPアドレス、地理的位置など）に基づくアクセス制御
• 訴訟ホールドと、保持期間ポリシーの違い（Vaultの項に記載）
• Chrome拡張機能の制限
  • ホワイトリスト方式: 許可された拡張機能のみインストール可能
  • ブラックリスト方式: 禁止された拡張機能のみインストール不可
  • ユーザーインストールの許可/禁止: ユーザーが自分で拡張機能をインストールできるかどうかを制御
  • 強制インストール: 管理者が指定した拡張機能を自動的にインストール
  • 拡張機能の更新管理: 自動更新の有効化/無効化や、特定のバージョンへの固定
  • 拡張機能IDによる検索: 特定の拡張機能をIDで検索して管理（chromeにログインしているアカウントの拡張機能一覧から確認可能）
• Chromebookのセキュリティ施策
  • エフェメラルモード: ユーザーがログアウトすると、そのユーザーのデータや設定がデバイスから自動的に削除されるモード
  • オフラインアクセス無効: ユーザーがChromebookをオフラインで使用する際に、Google DriveやGmailなどのデータへのアクセスを制限する設定

退職処理

• アーカイブユーザーライセンス: 退職者のデータを一定期間保持し、必要に応じてアクセス可能にする場合に使用
• データ転送: 退職者のデータを別の現役ユーザーに引き継ぎ、業務継続性を確保する場合に使用

Workspace管理コンソール

• WorkspaceログのBQ連携は、GCP側ではなく「Workspace管理コンソール」の「レポート」セクションで設定する

セキュリティ調査ツール

• ドライブログ: ユーザーのドライブ内でのファイル操作履歴を追跡・分析するためのログ
  • ファイルの閲覧、編集、共有、削除などの操作履歴を記録
  • 不正アクセスや情報漏洩の調査に利用可能
  • ログエクスポート機能を使用して、ログデータを外部SIEMツールに転送可能
• ユーザーログ: ユーザーのアクティビティに関する詳細なログ情報を収集・分析するためのもの
  • ログイン履歴、メール送受信、ドライブ操作、管理者アクションなどの情報を含む
  • セキュリティインシデントの調査やコンプライアンス監査に利用可能
  • ログエクスポート機能を使用して、ログデータを外部SIEMツールに転送可能
• フィッシング対応

Vault

• Google Vaultとは、GWSのデータアーカイブとeDiscoveryソリューションで、法的保持ポリシーの管理やデータの検索・エクスポートが可能
• 保持ポリシー(Hold Policies)＝「データ保持ポリシー」
• 訴訟ホールド(Litigation Hold)＝「法的保持ポリシー」
• 保持ポリシーと訴訟ホールドの違い
  • 保持ポリシー: 組織全体または特定のグループに対して適用され、一般的なデータ保持要件を満たすために使用
    • 期間中のデータは削除不可だが、更新は可能
  • 訴訟ホールド: 特定のユーザーに対して個別に適用され、法的手続きに関連するデータを保持
    • 期間中のデータは削除・更新不可
• eDiscovery＝「電子情報開示」
  • 電子情報開示とは、法的手続きや調査のために、GWS内のメールやドライブデータを検索、収集、エクスポートするプロセス

確認・トラブルシューティング

トラブルシューティング

• 特定サービスの利用不可は、サービスステータスダッシュボード
  • サービスステータスダッシュボードとは、GWSの各サービスの稼働状況をリアルタイムで確認できるオンラインツール
• セキュリティ設定んやポリシーの健全性チェックはセキュリティヘルスページ
  • セキュリティヘルスページとは、GWSのセキュリティ設定やポリシーの健全性を評価・改善するための管理コンソール内の機能
• カレンダー関連は大体受信側の設定が原因
• Meet会議の品質トラブル（音声・画質）はMeet クオリティツール
• 特定機能が使えなくなったなどはポリシー優先順位の確認
• 通信遅延・エラー調査はHARファイルの取得
  • HARファイルとは、HTTP Archive formatの略、ブラウザとサーバー間の通信ログを保存したファイル
  • HARファイルのサニタイズ：ファイル内の個人情報や機密情報を削除またはマスクすること
    • 例：Authorizationヘッダー、Cookie、URLパラメータなど
    • 手動でテキストエディタで編集、またはスクリプトを使用して自動的に削除・マスク可能
• アプリがデータを触れない場合はAPIスコープ（権限）を確認
  • OAuthスコープ（APIのアクセス範囲）を管理コンソールの「アプリのアクセス制御」で確認

その他

• BAA,HIPAA,HPI
  • BAA(Business Associate Agreement)とは、医療情報の取り扱いに関する法的契約で、GWSと締結することで、HIPAA準拠のサービス利用が可能になる
    • BAA締結後に非コアサービスをOFFにする必要あり
  • HIPAA(Health Insurance Portability and Accountability Act)とは、米国の医療情報のプライバシーとセキュリティに関する法律
  • PHI(Protected Health Information)とは、個人を特定できる医療情報のこと
• GDPR等の対応(データの海外移転規制)＝「データのリージョン設定」
  • データのリージョン設定とは、GWSでユーザーのデータ（Gmail、Google Driveなど）が保存される地理的な場所を指定するための設定
• 全社共有の社外連絡先＝「Domain Shared Contacts API」で登録
  • Domain Shared Contacts APIとは、GWSドメイン内で共有される連絡先情報を管理するためのAPI
• GCDS(Google Cloud Directory Sync)とは、GWSのディレクトリ情報をMicrosoft Active Directoryと同期するためのサービス
• 最強の認証＝「物理セキュリティキー」を強制する
  • 物理セキュリティキーとは、FIDO U2FやFIDO2規格に準拠したハードウェアデバイスで、ユーザーがログイン時に使用することで、フィッシング攻撃や不正アクセスからアカウントを保護する
  • デメリット：紛失リスク、コスト、ユーザー教育の必要性
• 建物・フロア定義：「近くの会議室」を提案させる
  • 建物・フロア定義とは、GWSのカレンダーで会議室の場所情報を管理するための設定
• AppSheet: ノーコードアプリ開発プラットフォームで、スプレッドシートやデータベースを元にモバイルアプリやウェブアプリを簡単に作成できるサービス
  • AppSheetと連携可能なデータソース
    • Google Sheets
    • Excelファイル（OneDrive、Dropboxなど）
    • SQLデータベース（MySQL、PostgreSQL、SQL Serverなど）
    • Cloud SQL（Google Cloudのマネージドデータベースサービス）
    • その他のクラウドストレージサービス（Box、Smartsheetなど）
• 環境負荷・CO2排出量の可視化＝「Carbon Footprint」レポート
  • Carbon Footprintレポートとは、Google CloudおよびGWSの使用に伴う二酸化炭素（CO2）排出量を可視化・分析するためのレポート