お問い合わせ
SECURITY NOTE — 036

Google Workspaceの新しいセキュリティ設定「Advanced Protection Program for Enterprise」で情シスが実現する最高レベルの情報保護

PUBLISHED2026.04.26
READ11 分
CATEGORYSECURITY

Google Workspaceには、2021年5月10日より最高レベルのセキュリティ保護を提供する「Advanced Protection Program for Enterprise(APP for Enterprise)」が提供されています。このプログラムは、組織の機密情報を標的とした高度なサイバー攻撃からユーザーアカウントを厳重に保護します。

この記事を読んだほうが良い人

  • 高度なセキュリティ対策を必要とする企業の情シス担当者
  • Google Workspace環境での情報漏洩リスクを最小化したいと考えている情シス担当者
  • 既存のセキュリティ対策では不十分と感じており、さらなる強化を検討している方
  • Advanced Protection Program for Enterpriseの導入を検討している方

Advanced Protection Program for Enterprise(APP for Enterprise)とは

Advanced Protection Program for Enterprise(以下、APP for Enterprise)は、Google Workspace環境における最も堅牢なセキュリティ保護を提供するプログラムです。特に、組織内の要人や機密情報にアクセスするユーザー(経営層、IT管理者、法務部門など)を標的とした高度なフィッシング攻撃やアカウント乗っ取りから保護することを目的としています。

従来のAdvanced Protection Program(APP)が個人ユーザー向けに提供されてきたのに対し、APP for Enterpriseは企業・組織向けに、管理者が組織部門(OU)やセキュリティグループ単位でプログラムを適用できる機能が加わっています。これにより、企業はリスクレベルに応じて柔軟かつ強力なセキュリティ対策を講じることが可能になります。

主な保護機能

APP for Enterpriseは、以下の多層的なセキュリティ機能を提供します。

  1. 高強度認証の強制(物理セキュリティキー必須): フィッシング耐性のある物理セキュリティキー(FIDO準拠)の使用をユーザーに義務付けます。これにより、パスワードが漏洩しても、物理キーがなければログインできないため、フィッシング攻撃によるアカウント乗っ取りを効果的に防ぎます。

  2. 信頼できないサードパーティ製アプリのブロック: Google Workspaceデータへのアクセス許可を求める、信頼性の低い、または危険な可能性のあるサードパーティ製アプリケーションの接続を自動的にブロックします。これにより、悪意のあるアプリによるデータ漏洩リスクを低減します。

  3. GmailとGoogleドライブの強化された保護: Gmailの添付ファイルやドライブのファイルに対して、より詳細なマルウェアスキャンとリンク保護を適用します。未知の脅威や巧妙なフィッシングリンクからユーザーを保護します。

  4. Google Cloud Platform (GCP) 環境の保護: GCPプロジェクトの作成制限やSSHキーの管理強化など、GCP環境におけるセキュリティリスクも低減します。

これらの機能は、標的型攻撃やサプライチェーン攻撃など、高度化するサイバー脅威から組織を守るための重要な柱となります。

APP for Enterprise 導入のメリット・デメリット

APP for Enterpriseの導入は、組織のセキュリティ体制を大きく強化しますが、同時に考慮すべき点も存在します。

メリット

  • 最高レベルのセキュリティ保護: Googleが提供する最も厳格なセキュリティ基準が適用され、特に標的型攻撃に対する耐性が飛躍的に向上します。
  • アカウント乗っ取りリスクの低減: 物理セキュリティキーの強制により、フィッシング攻撃によるアカウント乗っ取りのリスクを最小限に抑えます。
  • データ漏洩リスクの抑制: 信頼できないアプリのブロックやファイルのスキャン強化により、意図しないデータ流出やマルウェア感染のリスクを低減します。
  • コンプライアンス要件への対応: 厳格なセキュリティ要件が求められる業界や規制に対し、高いレベルで対応できる体制を構築できます。

デメリット

  • ユーザーへの影響と利便性の低下: 物理セキュリティキーの使用が必須となるため、ユーザーは常にキーを携帯し、ログイン時に使用する必要があります。これは、特に慣れないユーザーにとっては利便性の低下と感じられる可能性があります。
  • 管理の手間とコスト: 物理セキュリティキーの配布、管理、紛失時の対応など、情シス側の運用負担が増加します。また、物理セキュリティキー自体の購入費用や、プログラム利用に必要なGoogle Workspaceのライセンス(Enterprise Standard、Enterprise Plus、Education Plus、Cloud Identity Premiumなど)のコストがかかります。
  • 導入時の周知とトレーニングの必要性: ユーザーがスムーズに移行できるよう、導入の背景、手順、新しいログイン方法について丁寧な周知とトレーニングが不可欠です。

これらのメリットとデメリットを十分に理解し、組織のリスク許容度や運用体制に合わせて導入を検討することが重要です。

APP for Enterprise の設定手順

APP for EnterpriseをGoogle Workspace環境に導入する具体的な手順を解説します。

前提条件の確認

  1. Google Workspace ライセンス: APP for Enterpriseの利用には、以下のいずれかのライセンスが必要です。

    • Enterprise Standard
    • Enterprise Plus
    • Education Plus
    • Cloud Identity Premium

  2. 物理セキュリティキーの準備: 対象ユーザー全員分の物理セキュリティキー(FIDO準拠)を準備します。YubiKeyやTitanセキュリティキーなどが一般的です。

Google Admin Consoleでの有効化

Google Workspace 管理コンソールからAPP for Enterpriseを有効化し、設定を行います。

  1. 管理コンソールにログイン: スーパー管理者権限を持つアカウントでGoogle Workspace 管理コンソールにログインします。

  2. 設定画面への移動: セキュリティ > 高度な保護機能プログラム へと進みます。

  3. プログラムの有効化と対象の選択: 「高度な保護機能プログラム」のページで、「高度な保護機能プログラムを有効にする」ボタンをクリックします。 次に、プログラムを適用する組織部門(OU)またはセキュリティグループを選択します。通常、まずは少数の高リスクユーザーやテストユーザーを含むOU/グループに適用し、段階的に拡大することを推奨します。

  4. セキュリティキーの登録強制: 選択したOU/グループに対して、セキュリティキーの登録と使用を強制する設定を行います。これにより、対象ユーザーはログイン時に物理セキュリティキーの使用が必須となります。

  5. その他の保護設定の確認: APP for Enterpriseを有効にすると、以下の設定も自動的に有効になるか、または設定オプションとして提供されます。

    • 信頼できないサードパーティ製アプリへのアクセスブロック: Googleデータへのアクセスを許可するアプリを制限します。
    • Gmailとドライブの強化された保護: フィッシングやマルウェアに対するスキャンレベルを強化します。

    これらの設定が意図通りに適用されているかを確認します。

設定を保存すると、選択したOU/グループに属するユーザーに対してAPP for Enterpriseの保護が適用されます。ユーザーは次回のログイン時にセキュリティキーの登録を求められることになります。

ユーザーへの周知とトレーニング

APP for Enterpriseの導入は、ユーザーのログイン方法に大きな変更をもたらします。スムーズな移行のためには、丁寧な周知とトレーニングが不可欠です。

導入の背景と目的の説明

なぜAPP for Enterpriseを導入するのか、その背景(組織のセキュリティ強化、情報漏洩リスク低減など)と、ユーザー自身を守るためのものであることを明確に伝えます。一方的にルールを課すのではなく、目的を共有することで理解と協力を得やすくなります。

ユーザーが準備すべきこと

  • 物理セキュリティキーの取得と管理: 会社から配布される物理セキュリティキーを受け取り、大切に保管することの重要性を伝えます。常に携帯が必要であることや、紛失時の対応フローも事前に周知します。
  • ログインフローの変化: 物理セキュリティキーを使ったログイン手順を具体的に説明します。初回登録時の手順や、普段のログイン時にキーを挿入(またはタップ)するタイミングなどを、図や動画を交えて説明するとより分かりやすいです。

よくある質問とその回答 (FAQ)

導入前に想定されるユーザーからの質問をまとめ、回答を用意しておきます。

  • 「なぜ物理キーが必要なのですか?」
  • 「キーを忘れたらどうなりますか?」
  • 「キーを紛失したらどうすれば良いですか?」
  • 「自宅のPCではどうすれば良いですか?」
  • 「スマートフォンでのログインはどうなりますか?」

FAQを用意することで、情シスへの問い合わせ集中を緩和できます。

トレーニングセッションの実施

可能であれば、実際に物理セキュリティキーを使ってログインを試すトレーニングセッションを実施します。特に、ITリテラシーが高くないユーザーや、新しい技術の導入に抵抗があるユーザーに対しては、個別サポートも検討します。

運用上の注意点とトラブルシューティング

APP for Enterpriseの導入後も、情シスはいくつかの運用上の注意点を把握し、適切な対応ができるように準備しておく必要があります。

物理セキュリティキーの紛失・破損時対応

ユーザーが物理セキュリティキーを紛失したり、破損したりする可能性は常にあります。

  • 緊急時の対応フロー: 情シスは、紛失・破損時の緊急対応フローを確立しておく必要があります。一時的なアクセス方法の提供(ただし、これはセキュリティリスクを伴うため慎重に)、新しいキーの再発行手順などを明確にします。
  • 予備キーの準備: 組織として、一定数の予備セキュリティキーを常備しておくことが推奨されます。
  • 管理コンソールからのキー管理: 管理コンソールでは、ユーザーが登録したセキュリティキーの一覧を確認し、紛失したキーを無効化するなどの操作が可能です。

新規ユーザー追加時のフロー

APP for Enterpriseが適用される組織部門やグループに新規ユーザーを追加する場合、そのユーザーもプログラムの保護対象となります。

  • 新規ユーザーに対するセキュリティキーの配布と登録手順を、オンボーディングプロセスに組み込む必要があります。

例外ユーザーの管理

特定の業務上の理由で、APP for Enterpriseの適用が難しいユーザーや、一時的に適用を解除する必要があるケースも発生するかもしれません。

  • 組織部門の細分化: 管理コンソールで組織部門を細分化し、APP for Enterpriseの適用対象外とするOUを作成することで、柔軟な管理が可能です。ただし、セキュリティレベルが低下するため、例外は最小限に留めるべきです。
  • ポリシーの明確化: 例外を設ける場合の基準や承認プロセスを明確なポリシーとして定め、不必要な例外が発生しないように管理します。

定期的なレビューと監査

導入後も、APP for Enterpriseの設定が適切に機能しているか、セキュリティキーの運用状況はどうかなど、定期的にレビューと監査を実施することが重要です。

  • ログの監視: 管理コンソールの監査ログなどを活用し、セキュリティキーの登録状況や不審なログイン試行がないかを監視します。
  • ユーザーからのフィードバック: ユーザーからのフィードバックを収集し、運用上の課題や改善点を特定します。

情シス担当者が押さえておきたい実運用のポイント

APP for Enterpriseは全ユーザーに一律適用する必要はありません。OU・グループ単位で適用範囲を絞れる設計を活かして、段階的な展開を計画することが重要です。

適用対象ユーザーの選定基準

まず「誰から守るべきか」を整理するところから始めます。リスクの高いユーザーを特定する際の判断基準として、以下が参考になります。

  • 経営情報・財務情報・人事情報にアクセスできる役職者
  • GCP・クラウドインフラの管理者アカウント
  • 法務・コンプライアンス・M&A担当者
  • 取引先の機密情報を扱うプロジェクト担当者

こうしたユーザーを優先的に適用対象とし、残りのユーザーは通常のMFA設定で対応するという段階的アプローチが、コストと運用負荷を抑えながらセキュリティを強化する現実解です。

物理セキュリティキーの選定

YubiKey(Yubico社)とTitanセキュリティキー(Google社)はどちらもFIDO準拠ですが、接続インターフェース(USB-A / USB-C / NFC)の対応状況が異なります。ユーザーの端末環境(MacBook、Windows PC、Android端末、iPhoneなど)に合わせて選定する必要があります。

1ユーザーにつき2本体制にするか1本にするかは、紛失リスクと予算のバランスで判断します。管理コンソールからのキー無効化手順と緊急時のバックアップコード発行フローをセットで整備しておくことで、1本体制でも業務停止リスクを抑えられます。

導入後の監査ログ活用

管理コンソールの監査ログには、セキュリティキーの登録・削除イベントや物理キーなしでのログイン試行が記録されます。これらのログを定期的に確認する運用を組み込むことで、未登録ユーザーの存在や異常なログイン試行を早期に検知できます。特に適用直後の1〜2週間は集中的にログを確認し、キーの登録漏れが残っていないかを確かめることを勧めます。

まとめ:最高レベルの保護で組織の情報を守る

Google WorkspaceのAdvanced Protection Program for Enterpriseは、組織の機密情報を標的とする高度なサイバー攻撃からユーザーアカウントを保護するための、強力なソリューションです。物理セキュリティキーの強制、信頼できないアプリのブロック、そしてGmailやドライブの強化された保護により、従来のセキュリティ対策では防ぎきれなかったリスクを大幅に低減できます。

導入には、ユーザーへの周知や物理セキュリティキーの運用といった課題も伴いますが、これらの課題を乗り越えることで、企業は最高レベルの情報保護体制を確立できます。情シス担当者としては、組織のリスクとリソースを考慮し、このプログラムが提供する強力なメリットを最大限に活用できるよう、計画的な導入と運用を進めることが求められます。

APP for Enterpriseの導入を検討している場合は、まず対象ユーザーの洗い出しと物理セキュリティキーの調達計画から着手することを勧めます。段階的な適用とユーザーへの丁寧な説明を組み合わせることで、運用の混乱を最小限に抑えながら、組織全体のセキュリティレベルを引き上げられます。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。