お問い合わせ
SECURITY NOTE — 079

GWS MDMでWindowsセキュリティベースラインに対応する

PUBLISHED2026.05.15
READ15 分
CATEGORYSECURITY

Google Workspace (GWS) MDMは、Windowsデバイスの基本的なセキュリティ管理機能を提供します。本記事では、Microsoftが推奨するWindowsセキュリティベースラインの項目をGWS MDMでどこまでカバーできるか、その対応状況と具体的な設定方法、そして不足を補うための手段を解説します。

この記事を読んだほうが良い人

  • Google WorkspaceとWindowsデバイスを管理している情シス担当者
  • MicrosoftのWindowsセキュリティベースラインを参考に、GWS MDMでのセキュリティ設定を検討している方
  • GWS MDMでWindowsデバイスのセキュリティ設定を統一し、継続的に監査したいと考えている方
  • GWS MDMの機能で不足する部分を、他のツールでどう補完すべきか知りたい方

GWS MDMでWindowsセキュリティベースラインをどこまで実現できるか

Microsoftが提供する「Windowsセキュリティベースライン」は、Windows 11やWindows 10などのOSに対して推奨されるセキュリティ設定の集合体です。これは、米国国立標準技術研究所 (NIST) や Center for Internet Security (CIS) などの業界標準に基づき、一般的な脅威からデバイスを保護するためのガイドラインとして活用されます。通常、これらのベースラインはグループポリシーオブジェクト (GPO) 形式で配布され、Active Directory環境で適用されることが多いです。

Google Workspace MDMは、Active Directoryのようなオンプレミス環境に依存せず、クラウドからWindowsデバイスを管理するための機能を提供します。しかし、Microsoftのベースラインが網羅する全ての項目を直接GWS MDMで設定できるわけではありません。GWS MDMのWindowsデバイス管理機能は、主に以下のカテゴリのセキュリティ設定に対応しています。

  • デバイスパスワードポリシー: パスワードの複雑さ、長さ、有効期限など
  • 画面ロックとアイドルタイムアウト: デバイスのアイドル状態でのロック設定
  • BitLockerドライブ暗号化: ドライブの暗号化の強制と回復キーの管理
  • Windows Update設定: 更新チャネル、適用タイミング、再起動ポリシー
  • Windows Defenderの一部設定: リアルタイム保護、クラウドベース保護など
  • カスタム設定(レジストリ、PowerShellスクリプト): GWS MDMの標準UIで提供されない設定を補完する

「どの項目が対応済みで、どの項目が非対応か」を把握しておくことが、設計判断の出発点になります。以下の表は、Windowsセキュリティベースラインの主要項目とGWS MDMの対応状況を整理したものです。

セキュリティ項目(ベースライン主要項目) GWS MDMの対応 補完の要否
パスワードポリシー(長さ・複雑さ・有効期限・履歴) ✅ 対応 不要
画面ロック・アイドルタイムアウト ✅ 対応 不要
BitLocker ドライブ暗号化(回復キー管理含む) ✅ 対応 不要
Windows Update チャネル・延期設定 ✅ 対応 不要
Windows Defender 基本保護(リアルタイム・クラウド・PUA) ✅ 対応 不要
詳細な監査ポリシー(イベントログの細かな制御) ❌ 非対応 Intune / GPO が必要
AppLocker / Windows Defender Application Control ❌ 非対応 Intune / GPO が必要
高度なインバウンド・アウトバウンドファイアウォールルール ❌ 非対応 カスタム設定で一部補完可
Credential Guard / Device Guard ❌ 非対応 Intune が必要
SMBv1 無効化などのプロトコルレベル設定 △ カスタム設定で補完可 PowerShell スクリプト配信が必要
OS ハードニング(サービス・スケジューラ・ファイル権限) ❌ 非対応 Intune / GPO が必要

この表からわかるように、GWS MDMは「ユーザーに直接関わるデバイス挙動の制御」については一定のカバレッジを持ちますが、「OS 内部のセキュリティ強化」「アプリケーション制御」「詳細な監査」の領域は対応範囲外です。純粋なクラウド管理環境でもベースラインの上半分は GWS MDM だけで達成できる一方、コンプライアンス要件が厳格な組織では別ツールとの組み合わせが前提になります。

そのため、GWS MDMを導入する際は、どのセキュリティ項目がカバーされ、どの項目が不足するかを明確に理解し、必要に応じて他のツールや運用方法と組み合わせる「ハイブリッドアプローチ」を検討することが重要です。

GWS MDMで設定可能なWindowsセキュリティ項目と設定手順

ここでは、Google Workspace MDMでWindowsデバイスに適用できる主要なセキュリティ設定と、その設定手順について解説します。

1. デバイスパスワードポリシー

デバイスのログインパスワードに関する要件を設定します。GWS MDMの管理コンソール標準UIには「パスワード」という独立したセクションは用意されておらず、パスワード関連の制御は次の2系統で実現します。

  • GCPW (Google Credential Provider for Windows) 経由: Google Workspace のパスワードポリシー(管理コンソール > セキュリティ > 認証 > パスワード管理)を Windows ログオンに連携させる方法
  • カスタム設定 (OMA-URI) 経由: Microsoft の DeviceLock CSP (./Device/Vendor/MSFT/Policy/Config/DeviceLock/...) を直接指定して、最小パスワード長や複雑度要件をプッシュする方法
  • 設定パス(カスタム設定経由の場合): Google Workspace 管理コンソール > デバイス > モバイルとエンドポイント > 設定 > Windows > カスタム設定 (Custom settings)
  • 代表的なOMA-URI例:
    • 最小パスワード長: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength
    • パスワード履歴: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordHistory
    • 有効期限: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts(およびMaxInactivityTimeDeviceLock)
  • 推奨設定例:
    • 最小パスワード長: 12 文字以上
    • パスワード履歴の記憶: 10 世代
    • 有効期限: 90日 (組織のセキュリティポリシーに応じて調整)

2. 画面ロックとアイドルタイムアウト

デバイスが一定時間操作されない場合に、自動的に画面をロックする設定です。GWS MDMの標準UIには「画面ロック」という独立セクションはなく、Microsoftの DeviceLock CSP をカスタム設定 (OMA-URI) で配信して実現します。

  • 設定パス: Google Workspace 管理コンソール > デバイス > モバイルとエンドポイント > 設定 > Windows > カスタム設定 (Custom settings)
  • 代表的なOMA-URI例:
    • 画面ロックまでの非アクティブ時間: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock(分単位の整数)
    • パスワード再要求までの時間: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword
  • 推奨設定例:
    • 画面ロックまでのアイドル時間: 5分(MaxInactivityTimeDeviceLock = 5)

3. BitLockerドライブ暗号化

Windowsデバイスのドライブを暗号化し、データ漏洩リスクを低減します。GWS MDMはBitLockerの強制と回復キーの保存に対応しています。

  • 設定パス: Google Workspace 管理コンソール > デバイス > モバイルとエンドポイント > 設定 > Windows > BitLocker settings
  • 設定可能な項目:
    • BitLockerの有効化: ドライブ暗号化を必須にするか。
    • BitLocker回復キーの保存: 回復キーをGoogle Workspaceに保存するか。これにより、ユーザーが回復キーを紛失した場合でも管理者が回復キーを取得できます。
  • 設定手順の注意点:
    1. 管理コンソールでBitLockerを有効化するポリシーを設定します。
    2. デバイスがポリシーを受信すると、BitLockerの有効化が促されます。
    3. BitLockerが有効化されると、回復キーがGoogle Workspaceにアップロードされます。管理者はデバイス > モバイルとエンドポイント > デバイスから特定のデバイスを選択し、[セキュリティ]セクションで回復キーを確認できます。
  • 推奨設定例:
    • BitLockerの有効化: 必須
    • BitLocker回復キーの保存: 有効

4. Windows Update設定

デバイスのWindows Update動作を制御し、セキュリティパッチの適用を確実にします。

  • 設定パス: Google Workspace 管理コンソール > デバイス > モバイルとエンドポイント > 設定 > Windows > Windows Update settings
  • 設定可能な項目:
    • 更新チャネル: Semi-Annual Channel (SAC) やWindows Insider Program (WIP) など。一般的には「Semi-Annual Channel (ターゲット指定)」または「Semi-Annual Channel」を選択します。
    • 更新の適用タイミング: 更新プログラムのダウンロード、インストール、再起動のタイミングを制御します。
    • 再起動ポリシー: アクティブ時間外の自動再起動や、再起動の延期設定など。
  • 推奨設定例:
    • 更新チャネル: Semi-Annual Channel
    • 更新の延期期間: 機能更新プログラムを最大30日、品質更新プログラムを最大7日 (安定性を確保しつつ、迅速な適用を促す)
    • アクティブ時間の構成: ユーザーが設定 (業務への影響を最小限にするため)

5. Windows Defender (Microsoft Defender) の一部設定

Windows Defender (Microsoft Defender Antivirus) の基本的な保護機能を有効化します。GWS MDMの標準UIには「Windows Defender」という独立セクションは用意されておらず、Microsoftの Defender CSP をカスタム設定 (OMA-URI) で配信して制御します。

  • 設定パス: Google Workspace 管理コンソール > デバイス > モバイルとエンドポイント > 設定 > Windows > カスタム設定 (Custom settings)
  • 代表的なOMA-URI例:
    • リアルタイム保護: ./Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring
    • クラウドベースの保護: ./Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection
    • PUA保護: ./Vendor/MSFT/Policy/Config/Defender/PUAProtection
  • 推奨設定例:
    • リアルタイム保護: 有効 (AllowRealtimeMonitoring = 1)
    • クラウドベースの保護: 有効 (AllowCloudProtection = 1)
    • PUA保護: 有効 (PUAProtection = 1)

6. カスタム設定 (Custom settings) による補完

GWS MDMの標準UIで提供されないWindowsの設定は、カスタム設定 (Custom settings) として OMA-URI 形式 で Microsoft の Configuration Service Provider (CSP) を直接指定することで補完できます。GWS MDMのカスタム設定は Microsoft CSP に基づく OMA-URI 専用で、PowerShell スクリプトの直接実行やレジストリの GUI 編集機能は提供されていません。

  • 設定パス: Google Workspace 管理コンソール > デバイス > モバイルとエンドポイント > 設定 > Windows > カスタム設定 (Custom settings)
  • 利用方法(公式仕様):
    1. [カスタム設定を追加 (Add a custom setting)] をクリックします
    2. Name に識別用の一意な名前を入力します
    3. OMA-URI にデバイス設定のパス(例: ./Device/Vendor/MSFT/Policy/Config/...)を入力します(オートコンプリート対応)
    4. Data type は OMA-URI に応じて自動設定されます(Integer / String / String (XML) / SyncML XML ファイル)
    5. Value に対応するデータ値を入力します
    6. Description に補足説明を入力します(任意)
  • カスタム設定で実現できる代表例:
    • VPN許可制御: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowVPN
    • USBストレージ制限・画面ロックタイムアウト・特定アプリのブロックなど
  • 注意点:
    • カスタム設定を本番適用する前に、必ず限定的なテストデバイスで動作確認してください。誤ったCSP値はシステムに深刻な影響を与える可能性があります
    • GWS MDMのカスタム設定は、Microsoft Intuneのような GUI ベースの詳細プロファイル管理や条件付きアクセス、PowerShell スクリプト配信と同等ではありません

GWS MDMで不足するセキュリティ項目と補完策

GWS MDMは多くの基本的なWindowsセキュリティ設定をカバーしますが、MicrosoftのWindowsセキュリティベースラインが網羅する全ての項目に対応しているわけではありません。特に、以下のような高度なセキュリティ機能や詳細な設定は、GWS MDM単独では実現が難しい場合があります。

  • 詳細な監査ポリシー: 特定のイベントログ記録を細かく制御する設定。
  • アプリケーション制御 (AppLocker, Windows Defender Application Control): 許可されたアプリケーションのみ実行を許可するホワイトリスト形式の制御。
  • 高度なネットワークファイアウォールルール: 特定のポート、プロトコル、アプリケーションに対する詳細なインバウンド/アウトバウンドルール。
  • Credential Guard / Device Guard: 資格情報やOSカーネルを保護する仮想化ベースのセキュリティ機能。
  • SMBv1の無効化など、プロトコルレベルのセキュリティ強化:
  • OSのハードニング全般: サービス、スケジューラ、ファイルシステム権限などの詳細設定。

これらの不足を補うためには、以下のツールや運用方法との組み合わせを検討する必要があります。

1. Microsoft Intune / Microsoft Endpoint Manager (MEM) との併用

最も直接的かつ強力な補完策は、Microsoft Intuneとの併用です。Intuneは、Windowsデバイスのより詳細なポリシー設定、アプリケーション展開、条件付きアクセスなどを包括的に管理できるMDM/UEMソリューションです。

  • 共同管理: GWS MDMで基本的なデバイス登録と一部のポリシーを管理し、IntuneでWindows固有の詳細なセキュリティ設定やアプリケーション管理を行うハイブリッド運用。
  • GCPW (Google Credential Provider for Windows) との連携: GCPWを利用してWindowsデバイスのログインをGoogleアカウントと連携させつつ、Intuneでデバイスのセキュリティポリシーを適用する構成も可能です。

2. サードパーティ製EDR / MDMソリューション

より高度な脅威検知・対応、脆弱性管理、コンプライアンス要件を満たす必要がある場合、専門のEDR (Endpoint Detection and Response) や、より機能豊富なサードパーティ製MDMソリューションの導入を検討します。これらのツールは、GWS MDMではカバーしきれない高度なセキュリティ対策を提供します。

3. セキュリティポリシー文書とユーザー教育

技術的な対策だけでなく、運用面でのセキュリティ強化も不可欠です。

  • セキュリティポリシー文書: 組織のセキュリティ要件を明文化し、技術的な設定でカバーできない部分を運用ルールで補完します。
  • ユーザー教育: 従業員に対して、パスワード管理の重要性、不審なメールの報告、デバイスの適切な利用方法など、セキュリティ意識を高めるための定期的な教育を実施します。

4. Google Credential Provider for Windows (GCPW) の活用

GCPWは、WindowsデバイスにGoogle Workspaceアカウントでログインできるようにするツールです。GWS MDMと組み合わせることで、Windowsデバイスのユーザー管理とセキュリティ管理を一元化しやすくなります。例えば、GWS MDMでデバイスを登録し、GCPWでユーザー認証を行うことで、Google WorkspaceのパスワードポリシーがWindowsログインにも適用されるようになります。

運用上の注意点と継続的な改善

Windowsデバイスのセキュリティ設定は、一度行ったら終わりではありません。継続的な運用と改善が重要です。

  1. 段階的な適用とテスト: 新しいセキュリティポリシーを導入する際は、まず少数のテストデバイスに適用し、業務への影響や予期せぬ問題が発生しないかを確認します。
  2. 変更管理: ポリシーの変更履歴を管理し、変更内容、理由、適用日などを記録します。これにより、問題発生時の原因特定やロールバックが容易になります。
  3. 定期的な監査とレポート: Google Workspace 管理コンソールのデバイスリストや監査と調査機能を利用して、デバイスが正しくポリシーを適用しているか、セキュリティイベントが発生していないかを定期的に確認します。
  4. セキュリティベースラインの更新: Microsoftのセキュリティベースラインは、OSのアップデートや新たな脅威に対応して定期的に更新されます。これらの更新情報を常に把握し、自社のポリシーに反映させることを検討します。
  5. ユーザーエクスペリエンスとのバランス: セキュリティを強化しすぎると、ユーザーの利便性が著しく損なわれ、業務効率の低下やシャドーITのリスクにつながる可能性があります。セキュリティとユーザビリティのバランスを考慮した設定が求められます。

まとめ

Google Workspace MDMは、Windowsデバイスの基本的なセキュリティ管理において、情シス担当者にとって強力なツールです。パスワードポリシー、BitLocker暗号化、Windows Updateなど、Windowsセキュリティベースラインの主要な項目の一部をクラウドから効率的に設定・管理できます。

しかし、Microsoftが推奨するセキュリティベースラインの全てをGWS MDM単独で網羅することは困難です。特に、高度なアプリケーション制御や詳細な監査ポリシーなど、より深いレベルのセキュリティ要件については、Microsoft Intuneやサードパーティ製EDRソリューションとの併用、あるいはセキュリティポリシー文書とユーザー教育といった運用面での対策が不可欠となります。

自社のセキュリティ要件を明確にし、GWS MDMの機能を最大限に活用しつつ、不足する部分を戦略的に補完する「ハイブリッドアプローチ」を検討することが、現代のWindowsデバイス管理における鍵となります。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。