Google Workspace のデバイス管理、アクセス管理の機能でセキュリティを強化!
- Google Cloud Day
- Google Workspace
- アクセス管理
本記事は、2021年5月27日に開催された Google の公式イベント「 Google Cloud Day : Digital ’21 」において、 Google Cloud カスタマーエンジニアの戸子台良太氏が講演された「 Google Workspace だけでここまでできる!デバイスとアクセスの管理」のレポート記事となります。
今回は Google Workspace に搭載されているデバイス管理とアクセス管理の機能を活用したセキュリティ対策について詳しく解説します。
なお、本記事内で使用している画像に関しては Google Cloud Day : Digital ’21 「 Google Workspace だけでここまでできる!デバイスとアクセスの管理」を出典元として参照しております。
それでは、早速内容を見ていきましょう。
目次
デバイスとアクセス管理の必要性
昨今、リモートワークは日常の中に溶け込み、従来のオフィス出社から在宅勤務やテレワークへ移行する企業が増えています。
2020年3月に実施されたあるアンケートによると、これまでオフィスで働いていた従業員の一部を新型コロナウイルスの終息後にリモートワークに完全移行させるつもりである、と回答した CFO の割合は全体の74%を占めました。リモートワークは候補者の希望(勤務時間や勤務場所)に応えやすいことから優秀な人材を確保しやすい、という背景があります。
しかし、リモートワークには様々なセキュリティ上のリスクが存在します。第三者による不正アクセスをはじめとしたサイバー攻撃は高度化かつ多様化しており、企業は安全なリモートワークを実現するための適切な管理を求められるようになりました。
一方で、企業がデバイスやユーザー、データを管理および保護することは年々難しくなっています。近年では、一企業が複数のサービスを利用しており、かつ、従業員は多くのアプリケーションや複数デバイスを利用していることも珍しくありません。
このような背景から、企業はシンプルかつ安全に自社の業務環境を管理する必要性に迫られています。そして、これらの適正管理を実現するためには Google Workspace が有効なソリューションになります。
Google Workspace とは?
Google Workspace は Google が提供しているグループウェアサービスです。以前は「 G Suite 」という名前で親しまれていましたが、2020年10月に「 Google Workspace」へブランド名を変更しました。
Google Workspace には G Suite以上に強力なコラボレーション機能が搭載されています。プランが一新されたことで、より多くのニーズに対応可能な料金体系になりました。
Google Workspace にはメール、スケジュール管理、ビデオ会議、オンラインストレージなど、企業に必要な機能がすべて揃っています。また、組織の生産性を高めるための業務効率化ツールが多く備わっている点も Google Workspace の大きな特徴です。
Google 自身も業務の中で Google Workspace を活用しています。Google Workspace の利用者は Google の強固なインフラと最先端のテクノロジーを自由に活用することができます。
Google Workspace の詳細については、以下の記事が参考になります。
【最新情報】G Suiteがブランド変更!Google Workspaceの料金、機能、既存契約への影響は?
Google Workspace のデバイスとアクセス管理の特徴
管理コンソールによる一元管理
管理コンソールとは、 Google Workspace を管理するためのコンソール画面です。 Google Workspace を使えば、この管理コンソール上ですべての管理を一元的に行うことができます。
パソコン、タブレット、スマートフォンなどのデバイス種別に関わらず、1つの管理コンソール画面で管理可能なため、管理者の作業工数を削減できます。また、デバイス以外にも OS やブラウザを管理する機能も搭載されています。
モバイルデバイス管理の詳細な設定
Google Workspace のモバイルデバイス管理には、基本管理と詳細管理という2種類の管理方法が存在します。
デフォルトで使用可能な基本管理は、デバイスにエージェントなどをインストールすることなく利用可能であり、パスワード設定の強制、デバイスのブロック、アカウントのリモートワイプなど強力な制御を行うことができます。そして、さらに詳細な管理を実施したい場合は詳細管理を利用します。
以下、基本管理と詳細管理の比較を表にまとめます。
基本管理 | 詳細管理 | |
---|---|---|
エージェントレス管理 | ○ | × |
デバイス一覧 | ○ | ○ |
基本的なパスコードの適用 | ○ | ○ |
モバイルレポート | ○ | ○ |
不正使用からの保護 | ○ | ○ |
アカウントのリモートワイプ | ○ | ○ |
Android アプリの管理 | ○ | ○ |
デバイスの監査とアラート | ○ | ○ |
デバイス管理ルール | ○ | ○ |
デバイスのブロック、ブロック解除 | ○ | ○ |
標準型と強化型のパスコードの適用 | × | ○ |
デバイスの承認 | × | ○ |
デバイスのリモートワイプ | × | ○ |
iOS アプリの管理 | × | ○ |
Android の仕事用プロファイル | × | ○ |
レポート:管理対象アプリとセキュリティの詳細 | × | ○ |
セキュリティポリシー | × | ○ |
会社所有のデスクトップデバイスの一括登録 | × | ○ |
会社所有の Android デバイスの一括登録 | × | ○ |
会社所有の iOS デバイス | × | ○ |
ユーザーによる組織へのデバイス所有権の割り当て | × | ○ |
デバイスの証明書の配信 | × | ○ |
このように、詳細管理を活用することで多種多様な管理を実現できます。自社の要件に応じて、適切な管理方法を選択してください。
きめ細かいアクセス管理
Gogole Workspace でアクセス管理を行う場合、コンテキストアウェアアクセスを活用します。コンテキストアウェアアクセスは Google のセキュリティフレームワークである BeyondCorp に基づく機能になります。
コンテキストアウェアアクセスを使えば、ユーザーやデバイス、アクセスコンテキストなどに基づいて、 Google Workspace のリソースへのアクセスレベルを細かく設定できます。
例えば、ユーザーの IP アドレスやアクセス元地域に基づくアクセス制御や、 Chrome の拡張機能を経由して各ユーザーのデバイスの属性を把握し、特定のパソコンのみに Google Workspace へのアクセスを許可するような運用が可能になります。
また、 Salesforce などの多様なサードパーティー製アプリケーションへのログイン制御に対応している点も、コンテキストアウェアアクセスの大きな特徴の一つとなっています。
BeyondCorp に関しては、以下の記事で詳しく解説しています。
テレワークをするなら知らなきゃ!【Googleのゼロトラスト】BeyondCorpの特徴、メリットをご紹介!
手間なく運用管理ができるシンプル性
上記でご紹介した様々な管理を行う上で煩雑な設定を行う必要はなく、直感的に操作できる点が Google Workspace の管理機能の最大の特徴です。
Google 独自の親しみやすいインターフェースにより、誰でも簡単に高いレベルの管理を実現できます。 Google Workspace の管理機能は管理者の運用負荷軽減に直結するため、結果として自社の生産性向上に繋がります。
Google Workspace のデバイス管理機能によるセキュリティ対策
Google Workspace では、様々なデバイス管理を行うことが可能です。以下、代表的な機能について順番にご説明します。
なお、デバイス管理は Google Workspace の管理コンソール画面から進むことができます。
エンドポイント管理
Google Workspace のエンドポイント管理では、 Google Workspace 環境にアクセスした履歴のある端末一覧が表示されます。
管理したい端末を選択すると、その端末に関する様々なステータスを確認できます。例えば、 Google Workspace との同期時間、パスワード有効化の有無、暗号化の有無などが挙げられます。また、デバイス種別( Windows や Mac など)や OS バージョンを確認することも可能です。
モバイルデバイス管理
Google Workspace のモバイルデバイス管理では、エンドポイント管理と同様に端末一覧がコンソール画面上に表示されます。 Android 端末だけでなく、 iOS 端末も同じ画面で一元的に確認可能です。
確認できる項目としては、 Google Workspace との同期時間、 OS 種別、管理レベルなどが挙げられます。管理レベルとは前述した2つの管理方法を意味しており、基本管理または詳細管理のどちらかが表示されます。
さらに情報の確認だけではなく、端末のブロックも管理コンソール画面から実行できます。対象となる端末を選択してブロックを行うと即座に端末がブロックされ、 Google Workspace の環境から強制的にログアウトされます。なお、ブロック解除も同一画面から簡単に実行できます。
下図の右側が実際にブロックされた iPhone の画面です。強制的にログアウトしていることがお分かりいただけると思います。
これらのブロックやブロック解除を行うために面倒な作業は必要なく、ボタンを数回クリックするだけですべての操作が完了し、対象端末へ実行結果がスムーズに反映されます。
OS の詳細管理
Google Workspace の OS 管理について、詳細管理を用いた内容をご紹介します。今回は iOS の場合を例にとって解説しています。
iOS デバイスに対して詳細管理を有効にすると、非常に細かい部分まで管理者がコントロールできるようになります。管理項目は多岐にわたり、証明書、アカウント設定、データ共有、ロック画面、バックアップ、 iCloud 同期などが挙げられます。
例えば、データ共有の場合はデータ保護を実行できます。これはユーザーが仕事用のデータを個人アプリにコピーすることを禁止する設定であり、業務環境の Google ドキュメントの内容をメモ帳にコピペすることをブロックする、といった使い方が考えられます。
Windows 管理
Google Workspace の Windows 管理は、 Windows 端末に対して Google 認証情報プロバイダ( GCPW )をインストールすることで可能になります。
GCPW のインストールにより、 Windows 端末を管理するだけでなく、その端末で Google Workspace のアカウントを使用し、 Windows 環境にログインすることができます。そのため、ユーザー目線では Windows 端末へのログインと Windows 端末上での Google Workspace の利用を一つのアカウントで実施可能になります。
管理者目線では Windors デバイスの管理、アップデート設定、 BitLocker 設定などを行うことができます。例えば Windows アップデートの設定では、自動更新の時間帯や頻度などを細かく設定することが可能です。
Chrome ブラウザ管理
Google Workspace では、 Chrome ブラウザに関する様々な管理機能を提供しています。例えば、 Chrome の拡張機能を全ユーザーに対して一括インストールするような設定が挙げられます。
下図では、 Endpoint Verification の自動インストールを設定しています。これにより、ユーザーが会社のアカウントで Chrome ブラウザにログインすることで、ユーザーが操作することなく Endpoint Verification が自動的にインストールされます。
また、 Chrome ブラウザのホームページとして特定 URL を指定することもできます。さらに、そのページにユーザーがアクセスしやすいように、常にホームボタンを表示するような細かい設定を行うことも可能です。
このように、 Google Workspace の管理機能を活用することで、 Chrome ブラウザの細かい部分まで管理者が一括で設定することができます。
デバイスルール設定
デバイスルール設定とは、デバイス管理に対する管理者の負担を軽減するための機能です。デバイスルール設定も管理コンソールの画面から直接飛ぶことができます。
デバイスルール設定でルールを作成するには2種類の方法があり、自分で一からルールを作成するパターンとテンプレートを使うパターンに大きく分けられます。このテンプレートを活用することで、管理者負担を低減することが可能になります。
例えば、不審なイベント発生時のワイプの実施というテンプレートが用意されています。これはモバイルデバイス上で不審なアクティビティが検出された際に、そのデバイスで自動的にワイプを実施するためのルール設定です。
テンプレートに沿ってルールの名前や適用範囲、トリガー、条件などをデバイスルールとして事前に設定しておくことで、管理者が都度作業する必要がなくなり、デバイス管理における負荷軽減を実現できます。
Google Workspace のアクセス管理機能によるセキュリティ対策
Google Workspace では、コンテキストアウェアアクセスを使うことでアクセス管理を実現します。コンテキストアウェアアクセスは、アクセスが発生する文脈に応じてアクセス可否をコントロールできる機能です。さらに、コンテキストアウェアアクセスに加えて「パスワードが保管されているアプリ」というアクセス管理の機能も搭載されています。
本章では、それぞれのアクセス管理方法について詳しくご紹介します。
コンテキストアウェアアクセス
コンテキストアウェアアクセスでは、アクセスレベル(アクセスを許可する条件)や対象アプリケーションなどを指定することで、きめ細やかなアクセス管理を実現できます。
例えば、デバイスポリシーやアクセス元の地域などを複合的に設定することで、管理者の承認端末かつ日本国内からのアクセスのみ許可する、といった細かい設定が可能になります。他にも IP サブネットやデバイスの OS を指定することもできます。
アクセスレベルが決まった後は、適用対象を設定します。組織全体を対象とすることも可能ですし、特定のユーザーやアプリケーションに限定してアクセスレベルを適用させることもできます。
このように、コンテキストアウェアアクセスを活用することで、自社の状況に合わせた柔軟なアクセス管理が可能になります。専門的な知識は必要なく、ボタンをクリックするだけの直感的な操作ですべて完了します。
そして、コンテキストアウェアアクセスでアクセス管理の設定を行うことで、端末側にも即時に設定が反映され、条件を満たすアクセス以外は完全にブロックされます。(下図右側が端末画面)
パスワードが保管されているアプリ
Google Workspace では、 SAML 認証に対応したアプリケーションを簡単に SSO 連携できますが、パスワードが保管されているアプリの機能を活用することで SAML 認証に対応していないアプリケーションのアクセス管理も実現できます。
パスワードが保管されているアプリで管理者が選択したアプリケーションに認証情報を定義することで、利用可能なユーザーを選択可能になります。
以下は Twitter にアクセス可能なユーザーを設定している画面です。
アクセス許可されたユーザーは認証情報を意識せずにアプリケーションへアクセスできますが、このときユーザー側で Cloud Identity Account Manager という Chrome の拡張機能をインストールしておく必要がありますのでご注意ください。
Google Workspace では、自分が利用可能なアプリケーションをユーザー自身の画面に一覧表示するダッシュボード機能が搭載されていますが、パスワードが保管されているアプリで新しいアプリケーションの利用許可が発生した場合は、即座にこのダッシュボード上にも反映されます。
また、パスワードが保管されているアプリは Google Workspace のデータセット内にデフォルトで存在しないアプリケーションでもカスタムアプリとして追加できます。 HTTPS に対応したアプリケーションであれば、管理者が一括して認証情報を管理し、利用ユーザーを自由に設定できます。
Google Workspace に関する質問
Q .デバイス管理をするときにデバイス側に何かエージェント等をインストールする必要はありますか?
A .基本管理の場合はモバイルおよび PC 等に特別なソフトウェアのインストールは不要です。詳細管理の場合は、モバイルデバイスには Google Device Policy アプリおよび Google MDM プロファイルのインストールが必要になります。
Q .デバイス管理はどのエディションで利用できますか?
A .基本管理であればどのエディションでも利用可能です。高度なデバイス管理機能は Google Workspace Business Plus より上位のエディションで利用可能です。
Q . Windows 10デバイスの管理は Google Workspace の標準機能として搭載されていますか?
A . Windows 10 端末に対してポリシーの管理などを実現する高度なデスクトップ管理機能に関しては、 Google Workspace Enterprise Standard ないし Plus エディションにて標準で対応している機能です。
Q .コンテキストアウェアアクセスで Google Workspace のアプリ、 Google マップ、 Google フォトの利用制限をすることはできますか?
A . Google Workspace のカレンダーや Gmail 、 Google ドライブなどにルールを適用することは可能です。一方で、 Google マップや Google フォトは現状設定できません。
Q .コンテキストアウェアアクセスで既に運用中の Google Workspace へのアクセス制御を行いたい場合は「 Cloud Identity Premium Edition 」を追加するだけで設定可能ですか?
A .はい。コンテキストアウェアアクセスは Google Workspace Enterprise Standard 以上であれば標準で利用できますが、それ以外のエディションをご利用の場合は、追加で Cloud Identity Premium ライセンスを購入することでもご利用いただけます。
Q .アクセス管理の話では VPN などのツールを使うことなくアクセス制御しているように思えたのですが、アクセス制御にはどのような準備が必要ですか?
A .きめ細かいアクセス制御が可能なコンテキストアウェアアクセスでは、アクセスルールとルールを適用する対象のアプリとユーザーグループを設定するだけで制御可能になります。モバイル機器の場合は特別なアプリやプロファイルのインストールも不要ですし、 PC 等の場合は Chrome ブラウザおよび Endpoint Verification 拡張機能のインストールがされていれば利用可能です。
まとめ
本記事では、 Google Workspace を活用したデバイス管理とアクセス管理について、具体的な機能を交えながら詳しくご紹介しました。
Google Workspace の管理機能は直感的でシンプルに扱える点が大きなメリットであり、誰でも簡単に自社のセキュリティを強化することができます。リモートワークが普及した現代において、デバイスやアクセスの管理は避けては通れない経営課題であるため、これを機に Google Workspace を選択肢に加えてみてください。
なお、 Google Workspace の契約はトップゲート経由がオススメです。トップゲートで契約することで
- 請求書払いが可能
- 円建てで運用できる
- 管理者負荷を軽減
- 導入後サポートが充実
など、様々なメリットを享受することができます。
Google Workspace のようなグループウェアは、サービスを利用開始した後の運用方法によってサービスの導入効果が大きく変わります。 Google と直接契約した場合は専任担当が付かないため、運用に関するアドバイスを受けることはできません。その点、トップゲートで契約すれば、いつでもプロに運用面の相談を行うことができ、自社の Google Workspace 運用をより良い方向に導くことが可能です。導入前のご相談も受け付けていますので、まずはお気軽にお問い合わせください。
本記事を参考にして、ぜひ Google Workspace の導入を検討してみてはいかがでしょうか?
弊社トップゲートでは、Google Workspace(旧G Suite)に関して、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します!
Google Workspace(旧G Suite)の導入をご検討をされている方はお気軽にお問い合わせください。
また、弊社トップゲートでは、Google Cloud (GCP) 利用料3%OFFや支払代行手数料無料、請求書払い可能などGoogle Cloud (GCP)をお得に便利に利用できます。さらに専門的な知見を活かし、
- Google Cloud (GCP)支払い代行
- システム構築からアプリケーション開発
- Google Cloud (GCP)運用サポート
- Google Cloud (GCP)に関する技術サポート、コンサルティング
など幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。お困りごとがございましたら、お気軽にお問い合わせください。
Google Workspace関連記事をご紹介
最後までご覧いただきありがとうございます。トップゲート編集部がこの記事を読んだ方におすすめしたいGoogle Workspaceにまつわる記事を厳選しました。
ご興味ある記事をぜひご覧ください!
Google Workspace Enterpriseの各プランを徹底解説!オススメなプランの選び方とは?
Google Workspace Businessの各プランを徹底解説!オススメなプランの選び方とは?
Google Workspace はどのプランを選べば良いの?具体的なおすすめプランの選び方をご紹介!
Google Workspace の Business プラン、 Enterprise プラン、 Essentials プランを徹底比較!
Google Workspace の機能をフル活用!最上位プラン Enterprise Plus の魅力に迫る
【あなたは知ってる?】Google Workspace の便利な活用法とテクニック10選
弊社トップゲートでは、TOPGATE Broadcaster と称してウェビナーを定期開催しております。
- クラウドに関すること
- Google Cloud (GCP) の最新情報やお役立ち情報
- Googleのテクノロジーを活用した生産性の向上に関すること
など、 仕事で差がつく情報を忙しいビジネスパーソンのために短時間でコンパクトにお届けしております。
参加者さまからの「わかりやすかった」「勉強になった」など好評いただいております。取っ付きにくい内容も講師がわかりやすく解説しております。参加費は無料であるウェビナーがほとんどです!
以下のボタンをクリックして、気になるウェビューへお気軽にご参加ください!
メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud(GCP)、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!