お問い合わせ
SECURITY NOTE — 093

GWS CAAでサードパーティアプリを制御する方法

PUBLISHED2026.05.11
READ9 分
CATEGORYSECURITY

Google WorkspaceのContext-Aware Access (CAA) は、ユーザーのデバイス情報やIPアドレス、場所などに基づいてアクセスを制御する機能です。本記事では、OpenID Connect (OIDC) を利用するサードパーティアプリケーションがGoogle Workspaceに連携する際、CAAがどこまでアクセスを制限できるのか、その具体的な設定方法と注意点を解説します。

この記事を読んだほうが良い人

  • 100名規模の企業でGoogle Workspaceを管理する情シス担当者
  • 社内GWSに接続するサードパーティSaaSのセキュリティ統制に課題を感じている人
  • OIDC/OAuth連携アプリのアクセス制限にContext-Aware Accessの活用を検討している人
  • CAAがOIDCアプリに「効くのか」「効かないのか」の具体的な情報を求めている人

GWS CAA (Context-Aware Access) とは何か

Context-Aware Access (CAA) は、Google Workspaceの高度なセキュリティ機能の一つです。ユーザーがGoogleサービスや、Google SSO(シングルサインオン)を利用するサードパーティアプリケーションにアクセスする際、そのアクセスが「信頼できるコンテキスト」から行われているかを評価し、条件に応じてアクセスを許可またはブロックします。

評価されるコンテキストには、以下のような要素があります。

  • デバイスの状態: 画面ロック、ディスク暗号化、OSのバージョン、デバイスの所有状況(会社所有か個人所有か)など
  • IPアドレス: 社内ネットワーク、特定のVPNからのアクセスなど
  • 場所: 国、地域など
  • 時刻: 業務時間内のみなど
  • ユーザーのセキュリティグループ: 特定の部署や役職に限定

これにより、例えば「会社支給のデバイスからのみアクセス可能」「特定の国からはアクセス不可」といった、きめ細やかなアクセス制御を実現できます。

サードパーティアプリ連携におけるセキュリティ課題

近年、多くの企業でGoogle Workspaceと連携する多様なサードパーティSaaSが利用されています。これらのアプリは、OpenID Connect (OIDC) や OAuth 2.0 といったプロトコルを用いて、Google Workspaceのユーザー認証情報やデータにアクセスします。

しかし、この便利な連携は同時にセキュリティリスクもはらんでいます。

  • 野放しのアクセス: ユーザーが自由に外部アプリを連携させると、どのアプリがどのデータにアクセスしているのか、情シス部門が把握しきれなくなる可能性があります。
  • シャドーIT: 情シスが認識していないアプリが業務で使われ、情報漏洩のリスクを高めるケースがあります。
  • 不正アクセス: ユーザーアカウントが乗っ取られた場合、連携済みのサードパーティアプリを通じて、さらに広範囲な情報が漏洩する恐れがあります。

このような課題に対し、Google Workspace管理コンソールには「OAuthアプリのアクセス制御」機能がありますが、これは「どのアプリを許可/ブロックするか」という大まかな制御です。さらに「どのような状況でのアクセスを許可するか」というコンテキストに基づいた制御が必要になります。

OIDC (OpenID Connect) アプリにGWS CAAは「効く」のか?

結論から言うと、Google Workspaceの認証を利用するOIDC/OAuthアプリケーションへのアクセスに対して、CAAは有効です。

Google Workspaceの公式ヘルプにも「Google サービスへのアクセスと、Google SSO を使用するサードパーティ アプリへのアクセス」にCAAが適用できると明記されています。OIDCはOAuth 2.0の拡張であり、Google WorkspaceをIDプロバイダとして利用する際に適用されます。

CAAは、ユーザーがサードパーティアプリにアクセスしようとした際、その認証フローの中でコンテキストを評価します。具体的には、Google Workspaceがユーザー認証を行うタイミングでCAAポリシーが適用され、設定されたアクセスレベルの条件を満たさない場合は、アプリへのアクセスがブロックされます。

OAuthアプリアクセス制御との違い

ここで重要なのは、CAAと「OAuthアプリのアクセス制御」機能との違いです。 - OAuthアプリのアクセス制御: 特定のサードパーティアプリに対して、Google Workspaceのユーザーデータへのアクセスを許可するか、ブロックするかを決定します。これはアプリそのものの「登録」や「承認」のフェーズに近い制御です。 - Context-Aware Access (CAA): OAuthアプリのアクセス制御で許可されたアプリに対し、さらに「どのような状況(コンテキスト)であればアクセスを許可するか」という条件を追加します。これは、アプリが許可された後、ユーザーがそのアプリを利用する際の「実行時」の制御です。

例えば、「この会計SaaSは許可するが、アクセスは会社支給のPCからのみに限定する」といった制御は、OAuthアプリのアクセス制御だけでは実現できず、CAAと組み合わせて初めて可能になります。

GWS CAAでサードパーティアプリを制御するための設定ステップ

GWS CAAでサードパーティアプリのアクセスを制御する基本的な流れは、以下の3ステップです。

  1. アクセスレベルの作成: アクセス条件(デバイス、場所など)を定義します。
  2. サードパーティアプリの信頼設定: アプリがOIDC/OAuthでGoogle Workspaceに連携できるよう、管理コンソールで設定します。
  3. アプリへのアクセスレベル適用: 作成したアクセスレベルを特定のサードパーティアプリに紐付けます。

1. アクセスレベルの作成

まず、どのような条件下でのアクセスを許可するかを定義する「アクセスレベル」を作成します。

  1. Google 管理コンソールにログインします。
  2. セキュリティ > コンテキストアウェア アクセス > アクセスレベル に移動します。
  3. アクセスレベルを作成 をクリックします。
  4. アクセスレベルの名前(例: Secure_Office_Access)と説明を入力します。

  5. 条件を新規追加 をクリックし、必要な条件を設定します。

    • デバイスのポリシー: 会社所有のデバイス、画面ロック必須、承認済みOSバージョンなど
    • IPアドレス: 社内固定IPアドレス、VPNのIP範囲など
    • 場所: 日本国内のみ、特定の都市のみなど

  6. 複数の条件を設定する場合、それらの条件を「AND」(すべて満たす)または「OR」(いずれかを満たす)で組み合わせる論理演算子を選択します。

  7. 作成 をクリックしてアクセスレベルを保存します。

2. サードパーティアプリの信頼設定

OIDC/OAuthを利用するサードパーティアプリがGoogle Workspaceと連携するためには、管理コンソールでそのアプリを信頼する必要があります。多くの場合は、ユーザーが初回アクセス時に同意画面が表示され、管理者が許可することで連携が確立されます。

  1. Google 管理コンソールで セキュリティ > APIの制御 > アプリのアクセス制御 に移動します。
  2. アプリを管理 をクリックします。
  3. ここで、ユーザーが連携を試みたアプリや、管理者が明示的に許可/ブロックしたいアプリを検索・設定します。
  4. 対象のアプリを選択し、アクセスを構成 から 信頼済み または 制限付き を設定します。CAAを適用するには、アプリが少なくとも 制限付き または 信頼済み である必要があります。

3. アプリへのアクセスレベル適用

作成したアクセスレベルを、特定のサードパーティアプリに適用します。

  1. Google 管理コンソールで セキュリティ > コンテキストアウェア アクセス > 割り当て に移動します。
  2. アクセスレベルを割り当てる をクリックします。
  3. 「ユーザー、グループ、組織部門」を選択し、対象となるユーザーを指定します。
  4. 「クラウドアプリ」で、サードパーティアプリ を選択します。
  5. プルダウンからアクセスレベルを適用したい特定のサードパーティアプリを選択します。
  6. アクセスレベル のドロップダウンから、ステップ1で作成したアクセスレベル(例: Secure_Office_Access)を選択します。
  7. アクセスできない場合はブロックする にチェックを入れ、保存 をクリックします。

これにより、指定したユーザーが対象のサードパーティアプリにアクセスしようとした際、作成したアクセスレベルの条件を満たさない場合はアクセスがブロックされるようになります。

CAAでできること・できないこと対比表

GWS CAAがサードパーティアプリ連携に対して何ができるのか、何ができないのかを理解することは、適切なセキュリティ設計のために不可欠です。

項目 CAAでできること CAAでできないこと
アクセス制御の粒度 - ユーザーのIDとコンテキスト(デバイス、場所、IPなど)に基づいたアクセス制限 - アプリケーション内部の機能制限(例: 特定のメニューの非表示)
対象プロトコル - Google SSO(OpenID Connect/OAuth 2.0)を利用した認証フロー - Google SSOを経由しない、アプリ独自の認証フロー
データアクセス - Google Workspaceデータへのサードパーティアプリからのアクセスを、コンテキストで制限 - アプリが一度取得したGoogle Workspaceデータの「持ち出し」そのものを制限(DLPの領域)
アプリの承認 - 許可されたアプリの利用に条件を追加 - アプリそのもののGoogle Workspaceへの接続(OAuthアプリアクセス制御の領域)
ユーザー体験 - 条件を満たさないユーザーにはアクセス拒否メッセージを表示 - アプリが提供する機能やUXの変更
ログ・監査 - CAAポリシーによるアクセスブロックのログを監査ログで確認可能 - アプリがGoogle Workspaceデータに対して行った具体的な操作内容の監視(Google監査ログとアプリのログの連携は別途)

アクセスレベル適用フローのイメージ

CAAがOIDCアプリへのアクセスをどのように制御するかを、以下の順に整理します。

  1. ユーザーがOIDCアプリにアクセス: ユーザーがサードパーティアプリを起動し、Google SSOで認証しようとします。
  2. Google Workspaceに認証リクエスト: アプリはユーザーをGoogle Workspaceの認証エンドポイントにリダイレクトします。
  3. CAAポリシー評価: Google Workspaceは、認証リクエスト元のユーザーとコンテキスト情報(デバイス、IP、場所など)を取得し、CAAポリシーと照合します。
  4. アクセスレベルの確認: ユーザーに適用されているアクセスレベルの条件を満たしているか確認します。
  5. アクセス許可またはブロック:
    • 条件を満たす場合: 認証が成功し、ユーザーはアプリにアクセスできます。
    • 条件を満たさない場合: アクセスがブロックされ、ユーザーには拒否メッセージが表示されます。

このフローにより、OIDCアプリへのアクセスが、設定されたセキュリティポリシーに準拠しているかをリアルタイムで判断し、不正なアクセスを未然に防ぎます。

まとめ:GWS CAAで実現するセキュアなアプリ連携

Google WorkspaceのContext-Aware Access (CAA) は、OIDC/OAuthを利用するサードパーティアプリケーションのアクセス制御において非常に強力なツールです。単にアプリの利用を許可・ブロックするだけでなく、ユーザーがアクセスする「状況」に基づいて、よりきめ細やかなセキュリティポリシーを適用できます。

これにより、情シス部門はシャドーITのリスクを軽減し、機密データへのアクセスを厳格に管理することが可能です。本記事で解説した設定手順と、できること・できないことの対比表を参考に、貴社のGoogle Workspace環境におけるサードパーティアプリ連携のセキュリティ強化をご検討ください。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。