お問い合わせ
SECURITY NOTE — 077

Google Workspace CAAで部門別アクセス制御

PUBLISHED2026.05.14
READ11 分
CATEGORYSECURITY

Google WorkspaceのContext-Aware Access (CAA) は、デバイスの状態や位置情報だけでなく、ユーザーのカスタム属性を用いたきめ細やかなアクセス制御を可能にします。これにより、組織内の部門や役職に応じた柔軟なセキュリティポリシーを実装できます。

この記事を読んだほうが良い人

  • Google Workspaceのアクセス制御を部門や役職に応じて細かく設定したい情シス担当者
  • 従来のOUベースの制御では限界を感じている管理者
  • Context-Aware Access (CAA) の活用範囲を広げたいと考えている方
  • ゼロトラストセキュリティモデルの導入を検討している企業でGoogle Workspaceを管理している方

Context-Aware Access (CAA) とは? 基本と応用

Context-Aware Access (CAA) は、Google Workspaceをはじめとするさまざまなアプリケーションへのアクセスを、ユーザーの状況に応じて動的に制御する機能です。ゼロトラストセキュリティモデルの実現において重要な要素の一つであり、従来の「社内ネットワークからのアクセスは安全」という境界型セキュリティの考え方から脱却し、「すべてのアクセスを信頼せず検証する」という原則に基づいています。

従来のアクセス制御は、主にIPアドレスによるネットワーク制限や、組織部門(OU)に基づくユーザーへの設定適用が中心でした。しかし、これだけでは多様化する働き方や組織構造の変化に対応しきれない場面が増えています。例えば、特定の部署に属しながらも別のプロジェクトに兼務する社員や、リモートワークで場所を問わず業務を行う社員へのアクセス制御は、OUだけでは複雑になりがちです。

CAAでは、以下のような多岐にわたる条件を組み合わせてアクセスレベルを定義できます。

  • デバイスの状態: デバイスのOSバージョン、画面ロック設定、暗号化状況、承認済みデバイスかどうかなど
  • IPアドレス: アクセス元のIPアドレス範囲
  • 地域: アクセス元の国や地域
  • 時間: 特定の時間帯のみアクセスを許可または拒否
  • ユーザーカスタム属性: ユーザーに付与された部門、役職、雇用形態などの属性情報

これらの条件を組み合わせることで、「会社貸与のPCからのみ」「国内からのみ」「特定の部署の社員のみ」といった、より高度なアクセス制御を実現できます。CAAの利用には、Cloud Identity Premium、Google Workspace Enterprise Plus、Enterprise Standard、Enterprise Essentials Plus、Education Plus、Education Standard、またはFrontlineエディションが必要です(Google Workspace管理者ヘルプより)。

「ユーザーグループ属性」とは? カスタム属性で組織構造を反映

この記事で焦点を当てる「ユーザーグループ属性」とは、Google Workspaceの管理コンソールでユーザーごとに定義できる「カスタム属性」を指します。部門、役職、雇用形態、プロジェクトチームなど、組織固有の情報をユーザーアカウントに紐づけることで、これをCAAのアクセスレベルの条件として利用します。

OUだけでは対応しきれない場面があります。OU(組織部門)は、ユーザーを組織階層に基づいて分類する強力なツールですが、一つのユーザーは一つのOUにしか所属できません。しかし、現実の組織は複雑で、以下のようなケースがあります。

  • 兼務: 複数の部門やプロジェクトを兼務する社員の場合、OUではその多面的な役割を表現しきれません。
  • プロジェクトベースの組織: プロジェクトごとにメンバーが流動的に変わる場合、OUの変更では対応が追いつかないことがあります。
  • 柔軟な役割: 部門横断的な役割を持つユーザーや、特定の役職にのみ適用したいポリシーがある場合、OUだけでは粒度が粗くなります。

カスタム属性を活用すれば、OUの階層構造とは独立して、ユーザーに複数の属性(例: 部門: 営業部, プロジェクト: 新規事業, 役職: マネージャー)を付与できます。これにより、OUでは難しかった「部門や役職に応じたきめ細やかなGoogle Workspaceアクセス制御」が可能になります。

ユーザーカスタム属性の設定手順

Google Workspaceでユーザーカスタム属性を設定する手順を説明します。

1. カスタム属性の作成

まず、管理コンソールで利用したいカスタム属性を定義します。

  1. Google Workspace 管理コンソールにログインします。
  2. 左側のメニューから ディレクトリ > ユーザー を選択し、ユーザーを管理 画面へ進みます。
  3. 画面上部の その他の設定 > カスタム属性を管理 をクリックします。
  4. カテゴリを追加 をクリックし、例えば「組織情報」のようなカテゴリ名を入力し、追加 をクリックします。
  5. 追加したカテゴリの下にある カスタム属性を追加 をクリックします。
  6. 情報タイプ に「部門」「役職」「雇用形態」などを入力します。
  7. 名前(API参照用)を入力し、情報の種類 を選択します。(例: テキスト、ドロップダウンリスト、ブール値など。ドロップダウンリストにすると入力ミスを防げます。)
  8. の欄には、ドロップダウンリストを選択した場合に表示される選択肢(例: 「営業部」「開発部」など)を入力します。
  9. ユーザーに表示 にチェックを入れ、追加 をクリックします。

この手順で、「組織情報」カテゴリの中に「部門」や「役職」といったカスタム属性が作成されます。

2. ユーザーへの属性値の割り当て

作成したカスタム属性を各ユーザーに割り当てます。

  1. 管理コンソールの ユーザー 画面に戻り、属性を割り当てたいユーザーをクリックします。
  2. ユーザーの詳細画面で、ユーザー情報 の項目を展開します。
  3. 先ほど作成したカスタム属性のカテゴリ(例: 「組織情報」)が表示されているので、その下にある属性(例: 「部門」「役職」)に適切な値を入力または選択します。
  4. 入力後、画面下部の 保存 をクリックします。

ユーザーが多い場合は、CSVファイルを用いた一括更新も可能です。ユーザーリストをCSVでエクスポートし、カスタム属性の列を追加して値を入力後、再度インポートすることで効率的に設定できます。

CAAアクセスレベルでの属性活用ポリシー設計例

ユーザーカスタム属性を定義したら、いよいよContext-Aware Access (CAA) のアクセスレベルでこれらを活用したポリシーを設計します。

アクセスレベルの作成手順

  1. Google Workspace 管理コンソールにログインします。
  2. 左側のメニューから セキュリティ > コンテキストアウェア アクセス > アクセスレベル を選択します。
  3. アクセスレベルを作成 をクリックします。
  4. アクセスレベル名 を入力します(例: 「経理部アクセスレベル」)。
  5. 条件 の項目で、新しい条件を追加 をクリックします。
  6. 属性 のドロップダウンから ユーザー属性 を選択します。
  7. カスタム属性 のドロップダウンから、先ほど作成したカスタム属性(例: 「組織情報.部門」)を選択します。
  8. 演算子 を選択し、 に条件となる属性値(例: 「経理部」)を入力します。
  9. 複数の条件を組み合わせる場合は、AND または OR ロジックを指定して条件を追加します。
    • AND: 全ての条件を満たす場合にアクセス許可
    • OR: いずれかの条件を満たす場合にアクセス許可
  10. 必要に応じて、デバイスポリシーやIPアドレスなどの他の条件も追加します。
  11. アクセスレベルを作成 をクリックします。

ポリシー設計例

1. 特定部門のみにSaaS連携アプリの利用を許可する

シナリオ: 経理部員のみが会計SaaSと連携するGoogle Workspace Marketplaceアプリを利用できるようにし、他の部門からの誤操作や情報漏洩リスクを防ぎたい。

カスタム属性: 組織情報.部門 = 経理部

アクセスレベル: - アクセスレベル名: 経理部SaaS連携許可 - 条件: ユーザー属性 > 組織情報.部門 > 等しい > 経理部

適用先: 管理コンソールの セキュリティ > APIの制御 > アプリのアクセス制御 で、該当のSaaS連携アプリに対し、このアクセスレベルを適用します。

2. 役職に応じてGoogle Drive上の機密情報へのアクセスを制御する

シナリオ: マネージャー以上の役職者のみが、Google Drive上の「機密プロジェクト」フォルダ内のドキュメントにアクセスできるようにしたい。

カスタム属性: 組織情報.役職 = マネージャー または 組織情報.役職 = 部長

アクセスレベル: - アクセスレベル名: マネージャー以上機密アクセス - 条件: ユーザー属性 > 組織情報.役職 > 等しい > マネージャー (OR) ユーザー属性 > 組織情報.役職 > 等しい > 部長

適用先: Google Driveの共有設定で、特定のフォルダやファイルに対し、このアクセスレベルを適用します。

3. 契約社員のGoogle Workspace利用範囲を限定する

シナリオ: 契約社員は、会社貸与のPCからのみGmailとGoogleカレンダーにアクセスできるようにし、Google Driveやその他のサービスへのアクセスは制限したい。

カスタム属性: 組織情報.雇用形態 = 契約社員

アクセスレベル: - アクセスレベル名: 契約社員限定アクセス - 条件: ユーザー属性 > 組織情報.雇用形態 > 等しい > 契約社員 AND デバイスのコンプライアンス > 承認済みデバイス > はい

適用先: - Google Workspace管理コンソールの アプリ > Google Workspace > Gmailカレンダー で、契約社員限定アクセス を適用。 - Google ドライブとドキュメント などの他のサービスでは、このアクセスレベルを適用しないか、より厳しいアクセスレベルを適用します。

このように、CAAのアクセスレベルとユーザーカスタム属性を組み合わせることで、組織のニーズに合わせた柔軟かつ強固なアクセス制御を実現できます。

運用上の注意点とベストプラクティス

CAAのユーザーカスタム属性を活用したアクセス制御は強力ですが、その効果を最大限に引き出し、かつ安定して運用するためにはいくつかの注意点があります。

  • 属性情報の鮮度維持: 人事異動、組織変更、雇用形態の変更などがあった際、ユーザーのカスタム属性情報が常に最新の状態に保たれていることが極めて重要です。情報が古いと、必要なユーザーがアクセスできなくなったり、本来アクセスを許可すべきでないユーザーがアクセスできてしまったりするリスクがあります。人事システムとの連携や、定期的な棚卸しプロセスを確立することを推奨します。
  • 人事システムとの同期タイムラグへの注意: カスタム属性の更新を人事システムと連携させている場合、属性値の変更がGoogle Workspaceへ反映されるまでに数分から数時間のラグが生じることがあります。特に期末の大規模異動では、辞令と同日にアクセス権限を切り替えなければならないケースが多く、連携スクリプトや手動更新の実行タイミングをあらかじめ運用手順に組み込んでおく必要があります。異動当日の朝に実行する手順を決めておくだけで、現場からの「ログインできない」問い合わせをかなり減らせます。
  • ポリシーのテストと監視: 新しいアクセスレベルを導入する際は、必ず影響範囲を限定したテストを実施してください。少数のユーザーやテスト用アカウントで動作を確認し、予期せぬ影響がないかを慎重に検証します。導入後も、アクセスログを定期的に監視し、ポリシーが意図通りに機能しているか、異常なアクセスがないかを確認することが重要です。
  • ユーザーへの影響とコミュニケーション: アクセス制御の変更は、ユーザーの業務に直接影響を与えます。ポリシー導入前には、変更内容とその理由、ユーザーが影響を受ける可能性のある操作について、明確にコミュニケーションを取ることが不可欠です。これにより、混乱を防ぎ、スムーズな移行を促します。
  • 属性設計の考え方: カスタム属性を設計する際は、将来的な拡張性や管理のしやすさを考慮し、粒度を検討します。あまりに細かすぎると管理が煩雑になり、粗すぎると柔軟な制御ができません。また、命名規則を統一することで、管理者間の認識齟齬を防ぎ、運用負荷を軽減できます。
  • 既存のOUやGoogleグループとの組み合わせ: カスタム属性はOUやGoogleグループの代替ではなく、補完する関係です。OUでユーザーの基本的なグループ分けを行い、カスタム属性でより詳細な役割や状態を付与する、といった組み合わせが効果的です。例えば、OUで「本社」「支社」と分け、カスタム属性で「部門」「役職」を付与するといった運用が考えられます。

これらのベストプラクティスを実践することで、CAAのユーザーカスタム属性を組織のセキュリティ強化に最大限に活用できます。

まとめ:きめ細やかなアクセス制御で実現するセキュアなGoogle Workspace

Google WorkspaceのContext-Aware Access (CAA) におけるユーザーカスタム属性の活用は、現代の複雑な組織構造と多様な働き方に対応するための強力なツールです。従来のOUやIPアドレスベースの制御だけでは難しかった、部門や役職、雇用形態といった「人の属性」に基づいたきめ細やかなアクセス制御を実現できます。

この機能により、情シス担当者は以下のようなメリットを享受できます。

  • セキュリティの強化: 必要最小限のアクセス権限を付与する「最小権限の原則」を徹底し、情報漏洩リスクを低減します。
  • 運用の柔軟性: 組織変更や人事異動にも、属性情報を更新するだけで柔軟に対応できます。
  • コンプライアンスの遵守: 業界規制や社内ポリシーに基づいた厳格なアクセス制御を実装しやすくなります。

導入には、カスタム属性の設計、アクセスレベルの定義、そして継続的な運用管理が伴います。ただ、最初から完璧な設計を目指す必要はなく、まずは「雇用形態」や「部門」1〜2属性だけでアクセスレベルを1本作り、効果を確認してから拡張していくアプローチが現実的です。本記事で紹介した設計例を参考に、自社環境のゼロトラスト強化に向けて一歩踏み出してみてください。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。