お問い合わせ
SECURITY NOTE — 094

GWS MDMでChrome拡張機能をガバナンスする方法

PUBLISHED2026.05.11
READ8 分
CATEGORYSECURITY

Google Workspace (GWS) MDMとChrome Enterprise Premiumを組み合わせることで、組織内のChromeブラウザ拡張機能を詳細に制御し、セキュリティリスクを低減できます。この記事では、これらのツールを活用した拡張機能の管理方法について解説します。

この記事を読んだほうが良い人

  • Google Workspaceを運用しており、デバイス管理に関心がある情シス担当者
  • 従業員が利用するChrome拡張機能のシャドーIT対策を検討している方
  • Chrome Enterprise Premiumの拡張機能管理機能について知りたい方
  • Google Workspace管理コンソールでChrome拡張機能の許可・ブロック設定を行いたい方

なぜChrome拡張機能の管理が重要なのか:シャドーITのリスク

現代のビジネスにおいて、Webブラウザは主要な業務ツールです。Chromeブラウザは豊富な拡張機能によって利便性を高めますが、その反面、情シス担当者にとっては見過ごせないセキュリティリスクにもなり得ます。

  • 情報漏洩のリスク: 悪意のある、またはセキュリティ対策が不十分な拡張機能は、ユーザーの閲覧履歴、入力情報、さらには社内システムへのアクセス情報などを外部に送信する可能性があります。特に、近年注目される生成AIツールを拡張機能として利用する「シャドーAI」は、機密情報の意図しない学習や漏洩につながるリスクがあります。
  • マルウェア感染: 悪質な拡張機能は、PCにマルウェアをインストールする足がかりとなることがあります。
  • 生産性の低下: 不要な拡張機能が多数インストールされると、ブラウザの動作が重くなり、従業員の生産性を低下させる原因になります。
  • コンプライアンス違反: 業界規制や社内ポリシーに反する拡張機能の使用は、重大なコンプライアンス違反に繋がる可能性があります。

これらのリスクを放置すると、企業の信頼性や事業継続性に大きな影響を及ぼすため、情シスによるChrome拡張機能の適切な管理は不可欠です。

Chrome Enterprise Premiumがもたらす拡張機能ガバナンスの強化

本記事で「GWS MDM」とは、Google Workspace管理コンソールを通じたデバイス・ブラウザ管理の枠組み全体を指しています。モバイルデバイスのポリシー適用やアカウント管理を担うMDM機能と、Chrome Browser Cloud Management(CBCM)によるブラウザ管理は同一の管理コンソールから操作でき、組織部門(OU)設計も共有できます。Chrome拡張機能の制御は、このCBCM/Chrome Enterprise Premiumが担う領域です。既存のGWS管理者権限でそのまま設定できるため、追加の管理体制を構築せずに導入できる点が現場での利点になります。

Chrome拡張機能の管理は、Google WorkspaceのChrome管理機能や、無償のCBCMでも基本的なポリシー設定が可能です。しかし、Chrome Enterprise Premiumは、これらの基本機能の上に、より高度なセキュリティと可視性を提供し、拡張機能ガバナンスを強化します。

無償のChrome管理/CBCMとChrome Enterprise Premiumの機能差

機能カテゴリ 無償のChrome管理/CBCM Chrome Enterprise Premium
拡張機能ポリシー 強制インストール、許可リスト、ブロックリストの設定が可能 同上。さらに高度なセキュリティ機能と連携
脅威対策 基本的なセーフブラウジング機能 高度な脅威対策: ゼロデイ攻撃やフィッシング、悪意のある拡張機能を検出・ブロック
レポートと分析 ブラウザの基本情報、ポリシー適用状況など 詳細なレポートと監査: 拡張機能の使用状況、リスクスコア、セキュリティイベントの詳細なログと分析
アクセス制御 なし Context-Aware Access (CAA) との連携: デバイスの状態、場所、IPアドレスなどに基づくアクセスポリシーの適用
セキュリティ管理 なし DLP (データ損失防止) との連携: コピー・印刷・ダウンロードによるデータ持ち出しの防止

Chrome Enterprise Premiumを導入することで、情シスは単に拡張機能のリストを制御するだけでなく、未知の脅威からの保護、詳細な監査、そしてよりきめ細やかなアクセス制御が可能になります。これにより、従業員の生産性を維持しつつ、情報漏洩リスクを最小限に抑えられます。

Google Workspace管理コンソールでの拡張機能制御設定

ここからは、Google Workspace管理コンソールを使用してChrome拡張機能のポリシーを設定する具体的な手順を解説します。これらの設定は、Google Workspaceに登録されたChromeブラウザや、管理対象のGoogleアカウントでログインしているChromeブラウザに適用されます。

なお、本記事はCBCMによるChrome for Windows/Macを主対象としています。ChromeOS KioskやAndroidデバイスのChrome管理は対象外です。

1. 管理コンソールへのアクセス

Google Workspaceの管理者アカウントで管理コンソールにログインします。 デバイス > Chrome > アプリと拡張機能 に移動します。

2. ターゲットの組織部門を選択

ポリシーを適用したい組織部門 (OU) を選択します。特定の部署やグループにのみポリシーを適用したい場合に便利です。

3. 拡張機能の管理設定

「アプリと拡張機能」画面上で、以下の3つの主要なポリシーを設定できます。

3-1. 拡張機能の強制インストール (Force install)

特定の拡張機能を全ユーザーに強制的にインストールさせたい場合に利用します。これは、セキュリティツールや業務上必須の拡張機能などに適しています。

  1. 「拡張機能を自動インストールする」設定を探します。
  2. 「追加」をクリックし、「Chromeウェブストアから追加」を選択します。
  3. インストールしたい拡張機能のIDを検索または入力します。拡張機能IDは、ChromeウェブストアのURLの末尾に記載されている文字列です(例: https://chrome.google.com/webstore/detail/example-extension/xxxxxxxxxxxxxxxxxxxxxxxxxxxx の部分)。
  4. 対象の拡張機能を選択し、「追加」をクリックします。
  5. 設定を保存します。

このポリシーが適用されると、ユーザーは強制インストールされた拡張機能を削除できません。

3-2. 許可リスト (Allow list)

許可された拡張機能のみインストールを許可し、それ以外の拡張機能のインストールをブロックする設定です。最も厳格なシャドーIT対策として有効です。

  1. 「拡張機能のインストールモード」設定を探します。
  2. プルダウンメニューから「許可リスト上の拡張機能のみ許可する」を選択します。
  3. 「許可された拡張機能」の項目で、「追加」をクリックし、許可したい拡張機能のIDを一つずつ追加します。
  4. 設定を保存します。

この設定では、リストにない拡張機能は一切インストールできなくなります。

3-3. ブロックリスト (Block list)

特定の拡張機能のみをブロックし、それ以外の拡張機能のインストールは許可する設定です。業務上不要な拡張機能や、過去に問題を起こした拡張機能をピンポイントでブロックしたい場合に利用します。

  1. 「拡張機能のインストールモード」設定を探します。
  2. プルダウンメニューから「すべての拡張機能を許可する(ブロックリスト上の拡張機能を除く)」を選択します。
  3. 「ブロックされた拡張機能」の項目で、「追加」をクリックし、ブロックしたい拡張機能のIDを一つずつ追加します。
  4. 設定を保存します。

この設定は、ユーザーの自由度をある程度残しつつ、リスクの高い拡張機能を排除したい場合に適しています。

許可リスト・ブロックリスト設計の考え方と運用上の注意点

Chrome拡張機能の制御ポリシーは、単に設定するだけでなく、継続的な運用とユーザーへの配慮が重要です。

許可リスト・ブロックリスト設計のベストプラクティス

  • 原則ブロック、必要なものだけ許可 (許可リスト方式): 最もセキュアな方法は、デフォルトで全ての拡張機能をブロックし、業務上必要不可欠なものだけを許可リストに追加する運用です。これにより、未知のリスクを未然に防ぎやすくなります。ただし、ユーザーの利便性を損なわないよう、事前のヒアリングと評価が重要です。
  • 部門ごとのニーズを考慮したOU設計: 全社一律のポリシーではなく、特定の部署(例: 開発部門、マーケティング部門)で利用が必須となる拡張機能がある場合は、組織部門 (OU) ごとに異なるポリシーを適用することを検討します。
  • 評価プロセスの確立: 新たな拡張機能の利用申請があった場合の評価プロセス(セキュリティレビュー、業務必要性の確認など)を確立し、情シス内で判断基準を明確にします。

運用上の注意点と制約

  • ユーザーへの周知: ポリシー適用前に、従業員に対して変更の目的(セキュリティ強化、シャドーIT対策など)と具体的な影響(利用できなくなる拡張機能、申請方法など)を丁寧に説明し、理解と協力を求めます。
  • 定期的なレビュー: 拡張機能のトレンドは常に変化します。許可リストやブロックリストは、定期的に見直しを行い、不要なものを削除したり、新たな脅威に対応したりする必要があります。
  • 例外対応のフロー: 予期せぬ業務上の理由で、一時的に特定の拡張機能が必要となるケースも考えられます。迅速な例外対応ができるよう、申請・承認フローを整備しておくことが重要です。
  • Chrome Enterprise Premiumとの連携: Premiumの機能である詳細なレポートやContext-Aware Accessを組み合わせることで、ポリシー適用後の拡張機能の利用状況を可視化し、リスクの高い挙動を自動的に検知・ブロックできます。これにより、より高度なガバナンスを実現できます。

まとめ: セキュアなブラウザ環境で情報漏洩リスクを低減する

Chrome拡張機能は業務効率化の強力なツールである一方で、シャドーITの温床となり情報漏洩のリスクを高める可能性を秘めています。Google Workspace MDMとChrome Enterprise Premiumを組み合わせることで、情シス担当者は組織のセキュリティポリシーに沿った拡張機能の制御を実現できます。

強制インストール、許可リスト、ブロックリストといったポリシー設定を適切に行い、Chrome Enterprise Premiumの高度なセキュリティ機能で運用を強化することで、従業員の利便性を損なうことなく、セキュアなブラウザ環境を構築し、情報漏洩リスクを大幅に低減できます。まず許可リスト方式またはブロックリスト方式のどちらを採用するかを決め、一部のOUで試験適用してから全社展開する順序で進めることをすすめます。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。