本記事はGoogle Workspace Updatesブログ( https://workspaceupdates.googleblog.com/ )の情報を基に、2025年8月26日に作成されました。
Google Workspaceのセキュリティを管理されている皆様、こんにちは。
組織のセキュリティを守る上で、「ID管理」は、もはや最も重要な防衛ラインと言っても過言ではありません。そして、その中心にあるのが、私たちがお馴染みの「Googleでログイン」機能です。
社員は、Google WorkspaceのIDとパスワード一つで、Gmailやドライブはもちろん、Salesforce、Slack、Notionといった、日々の業務に欠かせない、数多くのサードパーティ製アプリケーションに、簡単かつ安全にログインできます。
しかし、その利便性の裏側で、先進的なセキュリティ管理者の皆様は、新たな課題に直面していました。
「社内のPCからGoogle Workspaceのアプリにアクセスするのは厳しく制限できるけど、同じGoogle IDでログインするサードパーティアプリへのアクセスは、どうやって制御すればいいんだ?」
「会社が許可していない危険な場所や、セキュリティ対策が不十分な個人のデバイスから、重要な顧客データが入ったCRMに『Googleでログイン』されてしまったら、どう防げばいいのだろう…」
これまで、Google Workspaceの強力なゼロトラストセキュリティ機能である「コンテキストアウェアアクセス(CAA)」は、主にGoogle自身のアプリケーション(Gmail、ドライブなど)に適用されるものでした。その結果、サードパーティアプリへのアクセス制御は、大きな「セキュリティの穴」となり得る可能性がありました。
この度、その重大な穴を完全に塞ぎ、あなたの組織のセキュリティ体制を、真に一貫性のある、強固なものへと進化させる、画期的なアップデートが発表されました。今回は、すべての「Googleでログイン」に対応したアプリに、コンテキストアウェアアクセスの傘を広げる、この重要な機能強化について詳しく解説していきます。
前提知識:「コンテキストアウェアアクセス(CAA)」と「OpenID Connect(OIDC)」
今回のアップデートの核心を理解するために、2つの重要なキーワードをおさらいしましょう。
コンテキストアウェアアクセス(CAA):
これは、Google Workspaceのゼロトラストセキュリティの中核をなす機能です。ユーザーがアクセスしようとしている「状況(コンテキスト)」、すなわち、ユーザーのID、アクセス元の国やIPアドレス、デバイスのセキュリティ状態(OSは最新か、暗号化されているか等)をリアルタイムで評価し、「安全な状況」からのアクセスのみを許可する、というインテリジェントなアクセス制御の仕組みです。OpenID Connect(OIDC):
これは、「Googleでログイン」機能を実現している、世界標準の認証技術です。私たちが様々なWebサービスで「Googleでログイン」ボタンをクリックすると、裏側ではこのOIDCという仕組みが働き、安全に本人確認が行われています。世の中の多くのサードパーティアプリが、このOIDCを採用しています。
今回のアップデートの核心:セキュリティの傘が、すべてのOIDCアプリへ
これまでのCAAは、主にGoogleのサービスが対象でした。今回のアップデートの核心は、このCAAによる強力なアクセス制御ポリシーを、「OpenID Connect(OIDC)を利用して『Googleでログイン』する、すべてのサードパーティアプリおよび社内開発アプリ」に対して、適用できるようになったという点にあります。
これにより、管理者は、以下のような、極めて高度で、一貫性のあるセキュリティポリシーを、組織のすべてのアプリケーションにわたって強制することができるようになります。
具体的なポリシー設定例
ポリシー例1:信頼できるネットワークからのアクセスのみを許可
「会社のオフィスや、許可されたVPNからのアクセスでない限り、SalesforceやSlackへの『Googleでログイン』をブロックする」ポリシー例2:セキュリティ基準を満たしたデバイスのみを許可
「OSが最新バージョンでない、あるいはディスクが暗号化されていない個人のPCからは、いかなるサードパーティアプリへの『Googleでログイン』も許可しない」ポリシー例3:特定の国からのアクセスを制限
「会社の事業展開とは関係のない、特定の国からのサードパーティアプリへの『Googleでログイン』を、すべてブロックする」
これまでバラバラに管理せざるを得なかった、Google Workspaceアプリとサードパーティアプリのセキュリティポリシーを、CAAという単一の、そして強力なフレームワークの下で、一元的に管理できるようになる。これは、組織のセキュリティガバナンスにおける、大きな飛躍と言えるでしょう。
管理者必見!柔軟な導入を可能にする「モニタモード」
「いきなり全アプリにブロックポリシーを適用するのは、影響が大きすぎて怖い…」
そう考える管理者の方も多いでしょう。ご安心ください。
Googleは、この強力な機能を、安全かつ段階的に導入するための「モニタモード」を用意しています。
「モニタモード」を有効にすると、ポリシー違反のアクセスがあった場合でも、ユーザーのアクセスを実際にブロックすることはせず、監査ログに「もし有効化されていたら、このアクセスはブロックされていました」という記録だけを残します。
これにより、管理者は、
新しいポリシーが、どの部署の、どのユーザーに、どの程度の頻度で影響を与えるのかを、実際の業務を一切止めることなく、正確に把握できます。
このデータを基に、影響を受けるユーザーへの事前の告知や、ポリシーの微調整を行うことができます。
そして、十分な影響評価と準備を経て、自信を持って本番の「適用モード」へと移行できます。
この「モニタモード」は、リスクを最小限に抑えながら、新しいセキュリティ体制へとスムーズに移行するための、極めて重要な機能です。
現時点での注意点:アプリごとの個別設定は今後の課題
非常に強力な機能ですが、現時点では一つだけ注意点があります。
それは、「すべてのOIDCアプリに対して、単一のポリシーを適用する」という仕様になっている点です。
現時点では、「アプリAにはポリシーXを、アプリBにはポリシーYを」といったように、サードパーティアプリごとに、個別のCAAポリシーを割り当てることはできません。
この点は、今後の機能拡張に期待したいところですが、まずは「組織全体のセキュリティベースラインを、すべてのサ-ドパーティアプリにわたって引き上げる」という目的においては、絶大な効果を発揮します。
利用開始にあたって(管理者向け情報)
対象エディション:
この高度なセキュリティ機能は、主に大規模組織やセキュリティ要件の高い組織向けのプランで利用可能です。Frontline Standard, Plus
Enterprise Standard, Plus
Education Standard, Plus
Enterprise Essentials Plus
Cloud Identity Premium
設定方法:
管理者は、Google管理コンソールの [セキュリティ] > [コンテキストアウェアアクセス] > [一般設定] から、OIDCアプリに対するCAAポリシーを設定できます。この設定は、組織部門(OU)単位で適用することも可能です。
まとめ
今回発表された、コンテキストアウェアアクセスのOIDCアプリへの適用拡大。これは、Google Workspaceが提供するゼロトラストセキュリティの「最後のピース」が、ついに埋まったことを意味します。
Googleのアプリであろうと、サードパーティのアプリであろうと、社内開発のアプリであろうと、ユーザーが「Google ID」でアクセスするすべての入り口を、単一の、そして世界最高水準のセキュリティポリシーで守り抜く。
この一貫性のある強固な防衛ラインは、クラウドサービスの利用がますます多様化する現代において、組織の最も重要な情報資産を守るための、まさに「最終防衛ライン」となるでしょう。
対象エ-ディションをご利用のセキュリティ管理者の皆様は、ぜひ、まずは「モニタ-モード」から、この新しいセキュリティの世界を体験してみてください。あなたの組織のセキュリティ体制は、間違いなく新たな次元へと進化します。