お問い合わせ
SECURITY NOTE — 042

Context-Aware Access (CAA) でGoogle Sitesの機密情報サイトへのアクセスを動的に制御する:情シス向け実践ガイド

PUBLISHED2026.04.28
READ9 分
CATEGORYSECURITY

Google WorkspaceのContext-Aware Access (CAA) を活用することで、Google Sitesで作成した機密性の高い情報共有サイトへのアクセスを、利用者の場所やデバイスの状態に基づいて厳格に制御できます。この記事では、情シス担当者がGoogle SitesにCAAを適用し、ゼロトラスト環境下でのセキュリティを強化するための具体的な方法を解説します。

この記事を読んだほうが良い人

  • Google Sitesで社内ポータルや機密情報サイトを運用している情シス担当者。
  • 特定のGoogle Sitesへのアクセスを、IPアドレスやデバイスの状態などに基づいて動的に制御したいと考えている方。
  • ゼロトラストの原則に基づき、Google Workspaceのセキュリティを強化したいと考えている方。
  • Google Sitesのセキュリティと利便性のバランスに課題を感じている方。

Context-Aware Access (CAA) とは?Google Sitesとの連携の重要性

Context-Aware Access (CAA) は、Google Workspaceのセキュリティ機能の一つで、ユーザーの状況(コンテキスト)に応じてGoogle Workspaceサービスへのアクセスを動的に制御する仕組みです。アクセス元IPアドレス、デバイスのOSやセキュリティ状態、ユーザーの地理的位置情報など、さまざまな条件を組み合わせて「アクセスレベル」を定義し、そのアクセスレベルを満たさないユーザーからのアクセスをブロックしたり、限定的なアクセスを許可したりできます。

ゼロトラストとCAA

ゼロトラストとは、「何も信頼しない」ことを前提にセキュリティを設計する考え方です。社内ネットワーク内であっても、すべてのアクセスを検証し、最小限の権限のみを与えることで、内部からの脅威や外部からの侵入リスクを低減します。CAAは、このゼロトラストの原則を実現するための重要なツールです。ユーザーがどこからアクセスし、どのようなデバイスを使用しているかといったコンテキストを常に評価することで、よりきめ細やかなアクセス制御を可能にします。

Google Sitesのアクセス制御の課題

Google Sitesは、手軽に情報共有サイトを作成できる便利なツールです。しかし、機密性の高い情報を扱うサイトの場合、以下のような課題に直面することがあります。

  • 利便性との両立: 厳しすぎるアクセス制限は利便性を損ない、ユーザーがシャドーITに走るリスクがあります。
  • 動的な環境への対応: テレワークや外出先からのアクセスが増える中で、固定的なIPアドレス制限だけでは不十分です。
  • デバイスのセキュリティ状態: 個人所有のデバイスやセキュリティパッチが適用されていないデバイスからのアクセスはリスクが高まります。

CAAがGoogle Sitesにもたらすメリット

CAAをGoogle Sitesに適用することで、これらの課題を解決し、セキュリティと利便性を両立できます。

  • 動的なアクセス制御: ユーザーの状況に応じてリアルタイムにアクセスを許可・拒否するため、柔軟な働き方をサポートしつつセキュリティを維持できます。
  • 情報漏洩リスクの低減: 機密情報を含むサイトへのアクセスを、信頼できるデバイスやネットワーク環境からのみに限定できます。
  • ゼロトラストの実現: 「どこから」「どのデバイスで」といったコンテキストを考慮したアクセス制御により、ゼロトラストセキュリティモデルを強化できます。

Google SitesへのCAA適用ステップバイステップガイド

Google SitesにCAAを適用するには、Google Workspace管理コンソールでアクセスレベルを定義し、それをGoogle Sitesサービスに適用する手順が必要です。

ステップ1: アクセスレベルの設計と定義

まずは、どのような状況でGoogle Sitesへのアクセスを許可・拒否するかを具体的に設計します。アクセスレベルは、複数の条件を組み合わせて作成できます。

アクセスレベルの設計例

例えば、以下のようなアクセスレベルを設計できます。

  • 社内ネットワークからのアクセスのみ許可:
    • 条件: IPアドレスが社内ネットワークの範囲内であること。
  • 信頼済みデバイスからのアクセスのみ許可:
    • 条件: デバイスが組織によって承認され、最新のセキュリティパッチが適用されていること。
    • 補足: デバイスの承認には、GCPW (Google Credential Provider for Windows) やモバイルデバイス管理 (MDM) の導入が必要です。
  • 特定の国からのアクセスを制限:
    • 条件: ユーザーの所在地が特定の国ではないこと。

これらの条件を組み合わせて、機密サイトに最適なアクセスレベルを定義します。例えば、「社内ネットワークからのアクセス、または信頼済みデバイスからのアクセス」といったOR条件も設定可能です。

設計時には条件とポリシーの構成をスプレッドシートや設計書で事前に整理しておくと、管理コンソールでの入力ミスを防げます。設計メモの例を示します。

  • アクセスレベル名: 「機密サイトアクセス許可」
  • 条件1: IPアドレス (例: 192.168.1.0/24, 10.0.0.0/8)
  • 条件2: デバイスポリシー (例: 承認済みデバイス、画面ロック有効、OSバージョン最新)
  • 条件3: 地域 (例: 日本)
  • ポリシー: (条件1 OR 条件2) AND 条件3

ステップ2: Google Workspace管理コンソールでの設定

Google Workspace管理コンソールに管理者としてログインし、Context-Aware Accessの設定を行います。

  1. 管理コンソールへアクセス: admin.google.com にアクセスし、管理者アカウントでログインします。
  2. セキュリティ設定へ移動: 左側のナビゲーションメニューから「セキュリティ」>「コンテキストアウェアアクセス」を選択します。
  3. アクセスレベルの作成: 「アクセスレベル」タブを選択し、「アクセスレベルを作成」をクリックします。
    • アクセスレベル名: わかりやすい名前(例: ConfidentialSitesAccess)を入力します。
    • 説明: このアクセスレベルがどのような条件で適用されるかを記述します。
    • 条件の追加: 「条件を追加」をクリックし、設計した条件(IPアドレス、デバイスのOS、セキュリティステータス、地域など)を設定します。複数の条件をAND/ORで組み合わせられます。
    • 集約モード: 複数の条件をどのように評価するか(すべて満たす必要があるか、いずれかを満たせばよいか)を設定します。
    • 設定が完了したら、「アクセスレベルを作成」をクリックして保存します。

ステップ3: Google Sitesへのアクセスレベル適用

作成したアクセスレベルをGoogle Sitesサービスに適用します。

  1. コンテキストアウェアアクセス設定へ戻る: 管理コンソールの「セキュリティ」>「コンテキストアウェアアクセス」へ移動します。
  2. サービスへの割り当て: 「サービスへの割り当て」タブを選択します。
  3. Google Sitesを選択: 「Google Sites」サービスを見つけてクリックします。
  4. アクセスレベルを適用:
    • アクセスを許可するユーザー: 「アクセスレベルを割り当てる」を選択します。
    • 割り当てるアクセスレベル: ステップ2で作成したアクセスレベル(例: ConfidentialSitesAccess)を選択します。
    • 適用: 設定を保存します。

これで、Google Sitesサービス全体に設定したアクセスレベルが適用されます。特定の機密サイトにのみ適用したい場合は、Sitesの共有設定で、該当するユーザーグループにのみアクセスを許可し、CAAでそのユーザーグループに対するアクセスレベルを調整することで、より粒度の高い制御が可能です。

具体的なユースケース例と設定のポイント

ここでは、Google SitesにCAAを適用する具体的なユースケースをいくつか紹介します。

ユースケース1: 社内ネットワークからのアクセスのみ許可

シナリオ: 機密性の高い経営情報サイトは、社内のオフィスネットワークからのみアクセス可能にしたい。

設定のポイント:

  • アクセスレベルで、社内ネットワークのグローバルIPアドレス範囲を指定します。
  • IPアドレス 条件を使用し、IPサブネットワーク にオフィスIPアドレスを入力します。
  • 複数のオフィスがある場合は、それらのIPアドレス範囲をすべて追加します。

ユースケース2: 信頼済みデバイスからのみアクセス許可

シナリオ: テレワーク環境下でも、会社が貸与したセキュリティ対策済みのPCからのみ、顧客情報サイトにアクセスさせたい。

設定のポイント:

  • デバイス管理 (MDM) をGoogle Workspaceに統合し、デバイスが「承認済み」かつ「OSが最新」「画面ロックが有効」などの状態であることを条件とします。
  • アクセスレベルで、デバイスポリシー 条件を使用し、必要なデバイス属性を選択します。
  • ユーザーに会社貸与デバイスでのアクセスを徹底させるための周知も重要です。

ユースケース3: 海外からのアクセスを制限

シナリオ: 日本国内の拠点からのアクセスに限定し、海外からの不正アクセスや情報漏洩リスクを低減したい。

設定のポイント:

  • アクセスレベルで、地域 条件を使用し、「国/地域」で「日本」を指定します。
  • ユーザーの所在地が次の場所ではない オプションをチェックし、日本以外の国からのアクセスを拒否するように設定します。
  • ただし、VPNを利用しているユーザーの場合、VPNサーバーのIPアドレスや地理情報が参照される点に注意が必要です。

運用上の注意点とトラブルシューティング

CAAは強力なセキュリティツールですが、適切な運用が必要です。

  • CAAの制御はサービス単位: CAAの適用はGoogle Workspace上の「Google Sites」サービス全体に対して行われます。個別のサイト単位やページ単位での粒度は設定できません。そのため、機密性の高い情報は専用の独立したサイトとして分離しておく設計が前提になります。アクセス制御の粒度を上げたい場合は、Sites側のグループ共有設定とCAAの組み合わせで対応します。
  • テストの重要性: アクセスレベルを適用する際は、必ず少数のテストユーザーやテストサイトで事前に動作確認を行います。想定外のアクセス拒否が発生しないか、綿密に検証しましょう。
  • ユーザーへの周知: アクセス制限が変更されることを事前にユーザーに周知し、混乱を避けます。どのような条件でアクセスが許可されるのか、拒否された場合の対処法も事前に案内しておくと、問い合わせを最小化できます。
  • ログの監視: Google Workspaceの監査ログ (特に「コンテキストアウェアアクセス」のログ) を定期的に確認し、不審なアクセス試行や誤った拒否が発生していないかを監視します。
  • アクセスの拒否理由の確認: ユーザーがアクセスを拒否された場合、管理コンソールの「コンテキストアウェアアクセス」ページで、拒否された理由を確認できます。これにより、問題の特定と解決が迅速に行えます。
  • 段階的な導入: いきなり全てのGoogle Sitesに厳しいアクセスレベルを適用するのではなく、機密性の高いサイトから段階的に導入し、ユーザーの反応を見ながら調整することを推奨します。

まとめ

Google Sitesは手軽に情報共有サイトを構築できる一方で、機密情報を扱う際にはアクセス制御が課題となりがちです。Context-Aware Access (CAA) を活用することで、ユーザーのコンテキストに基づいた動的なアクセス制御を実現し、セキュリティと利便性のバランスを取りながら、ゼロトラストの原則をGoogle Sitesにも適用できます。

この記事で紹介したステップバイステップの設定ガイドやユースケース例を参考に、ぜひ自社のGoogle Sites環境にCAAを導入し、機密情報サイトのセキュリティを強化してみてください。適切なアクセスレベル設計と運用を通じて、情報漏洩リスクを低減し、より安全な情報共有基盤を構築できます。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。