本記事はGoogle Workspace Updatesブログ( https://workspaceupdates.googleblog.com/ )の情報を基に、2025年9月17日に作成されました。
Google Workspaceのセキュリティを管理されている、すべての管理者の皆様へ。
日々の運用において、各管理者に、その職務に必要な「最小限の権限」のみを付与する。
これは、内部不正や、アカウント乗っ取りによる被害を最小限に抑えるための、セキュリティにおける、最も基本的で、そして最も重要な「最小権限の原則」です。
あなたの組織では、会議室に設置されたGoogle Meet ハードウェアの管理を、特定のIT担当者に委任しているかもしれません。その際、彼らに「Google Meet ハードウェアとカレンダーの管理」という、管理者権限を付与してきたことでしょう。
しかし、この、一見すると適切に見える権限設定に、実は、多くの管理者が気づいていなかった、重大な「過剰権限」の問題が、長年潜んでいたことをご存知でしょうか。
この度、その長年の課題を解決し、あなたの組織のセキュリティ体制を、より堅牢で、あるべき姿へと進化させる、極めて重要な仕様変更が発表されました。
今回は、2025年10月15日に適用される、この管理者権限の変更について、すべての管理者が「必ず」知っておくべき内容と、それまでに「何をすべきか」を、詳しく解説していきます。
これまでの課題:ハードウェア管理者に、なぜか「全社員のカレンダー」へのフルアクセス権が
今回の仕様変更の核心を理解するために、まずは、これまでの「Google Meet ハードウェアとカレンダーの管理」権限が、どのようなものであったかを、正確に振り返ってみましょう。
この権限は、その名前が示す通り、2つの異なる能力を、一つの権限として、まとめて付与するものでした。
本来の目的:
Google Meet ハードウェアデバイスを管理し、会議室リソースのカレンダーを、そのデバイスに割り当てる能力。これは、ハードウェア管理者にとって、当然必要な権限です。隠れた過剰権限:
そして、もう一つ。この権限には、なんと、「あなたの組織内の、すべてのユーザーの、すべてのGoogleカレンダーに対する、完全な読み取り/書き込みアクセス権」が、自動的に付与されていました。
つまり、会議室のデバイスを設定するだけの職務であるはずの担当者が、その気になれば、社長のプライベートな予定から、人事部の面接スケジュール、そして法務部が管理する機密性の高い会議まで、組織内のあらゆるカレンダーの中身を、閲覧し、さらには変更・削除することさえ、可能だったのです。
これは、まさに「最小権限の原則」に、真っ向から反する状態でした。この過剰な権限は、悪意のある内部関係者による情報漏洩や、あるいは、この管理者アカウントが万が一乗っ取られた場合に、被害を甚大なものにしてしまう、深刻なセキュリティリスクを、長年抱え続けていました。
何が変わるのか?:権限の「分離」と「適正化」
今回の仕様変更は、この、本来あるべきではなかった「過剰権限」を、完全に解消するものです。
2025年10月15日以降、以下の通り、仕様が変更されます。
変更後の「Google Meet ハードウェアとカレンダーの管理」権限:
この権限は、その本来の目的である、「Google Meet ハードウェアデバイスの管理と、カレンダーの割り当て」という能力のみを持つ、純粋なハードウェア管理権限へと、その役割が適正化されます。
組織内の他のユーザーのカレンダーに対する、広範な読み取り/書き込みアクセス権は、この権限からは、完全に削除されます。
これにより、ハードウェアの管理者は、その職務に全く関係のない、機密性の高いカレンダーデータに、アクセスすることができなくなります。これは、組織のセキュリティを、あるべき姿へと是正する、非常に重要な一歩です。
なぜこの変更が重要なのか?:「責務の分離」によるセキュリティ強化
この変更は、セキュリティの基本原則である「責務の分離(SoD: Segregation of Duties)」を、Google Workspaceの管理者権限において、より厳格に実現するものです。
ハードウェアを管理する責務と、
組織全体のカレンダーデータを管理する責務。
これらは、本来、全く異なる役割であり、異なる権限によって、独立して管理されるべきです。今回の権限の分離は、この原則を徹底することで、内部からの情報漏洩リスクや、アカウント乗っ取り時の被害範囲を、大幅に最小化します。
【管理者必見】10月15日までに、あなたが「必ず」やるべきこと
この仕様変更は、自動的に適用されます。そのため、管理者の皆様は、何もしなければ、10月15日以降、あなたの組織のMeetハードウェア管理者は、ユーザーのカレンダーにアクセスできなくなります。
多くの場合、これは、セキュリティが向上する、望ましい変化です。しかし、組織の運用によっては、意図しない「権限不足」による、業務への影響が発生する可能性があります。
そこで、すべての管理者の皆様に、ご自身の組織の状況に合わせて、以下の2つの選択肢から、適切なアクションを、10月15日までに、必ず実行していただく必要があります。
選択肢1:何もしない(推奨されるケース)
対象となる組織:
あなたの組織のMeetハードウェア管理者が、その本来の職務(デバイスの管理と割り当て)以外で、他のユーザーのカレンダーにアクセスする必要が「ない」場合。アクション:
何もする必要はありません。2025年10月15日を迎えると、自動的に、権限が適正化され、組織のセキュリティが向上します。ハードウェア管理者は、引き続き、管理コンソールから、デバイスへのカレンダー割り当て作業を行うことができます。
選択肢2:新しい「カレンダーの管理」権限を、別途付与する
対象となる組織:
あなたの組織の管理者が、Meetハードウェアの管理「に加えて」、組織全体の、すべてのカレンダーに対する、完全な読み取り/書き込みアクセス権を、業務上、明確な理由があって「必要としている」場合。(例:全社のカレンダーを監査する、コンプライアンス担当者など)アクション:
2025年10月15日までに、対象となる管理者のカスタムロールに、Googleカレンダーの管理者権限である、新しい「カレンダーの管理(Manage Calendars)」権限を、明示的に追加で付与してください。
この操作を行うことで、対象の管理者は、10月15日以降も、これまでと同等の、広範なカレンダー管理能力を、維持することができます。
この新しい権限は、すでに管理コンソールで利用可能です。
どちらの選択をすべきか、分からない場合は?
まずは、あなたの組織で「Google Meet ハードウェアとカレンダーの管理」権限を持つ、すべての管理者をリストアップし、彼らが、現在、その広範なカレンダーアクセス権を、どのような業務目的で利用しているか、ヒアリングを行うことを、強くお勧めします。
その上で、「本当に、その権限は必要か?」を、最小権限の原則に立ち返って、再評価してください。
まとめ
今回ご紹介した、「Google Meet ハードウェアとカレンダーの管理」権限の、重要な仕様変更。
これは、Google Workspaceが、セキュリティのベストプラクティスを、自社のプラットフォーム上で、より厳格に、そして徹底して、実装していくという、強い意志の表れです。
便利さのために、セキュリティが犠牲にされることがあってはならない。
管理者の皆様は、ぜひ、2025年10月15日という期限を念頭に、自社の管理者権限の棚卸しを行い、この機会に、組織のセキュリティ体制を、より堅牢で、より理想的な形へと、見直してみてはいかがでしょうか。