お問い合わせ
SECURITY NOTE — 066

Context-Aware Accessで外部ユーザーの共有ドライブアクセスは制限できない?情シスが知るべきファクト

PUBLISHED2026.05.04
READ7 分
CATEGORYSECURITY

Context-Aware Access (CAA) はGoogle Workspaceのセキュリティ強化に役立つ強力な機能ですが、その適用範囲には重要な注意点があります。特に、外部ユーザーが関わる共有ドライブへのアクセス制限について誤解されがちな点を解説します。

この記事を読んだほうが良い人

  • Context-Aware Accessの導入を検討している情シス担当者
  • 共有ドライブの外部共有におけるセキュリティ対策を強化したいと考えている方
  • Google Workspaceの公式ドキュメントの解釈に不安がある方

Context-Aware Accessの基本と適用範囲

Context-Aware Access (CAA) は、Google Workspaceのユーザーがアプリケーションやデータにアクセスする際に、その状況(コンテキスト)に基づいてアクセスを許可または拒否する機能です。デバイスの種類、IPアドレス、地域、ユーザーのセキュリティグループなど、複数の属性を組み合わせてアクセス条件を定義できます。これにより、例えば「社内ネットワークから、かつ会社が管理するデバイスからのみGoogle Driveにアクセス可能」といった厳格なセキュリティポリシーを実装できます。

しかし、この強力な機能には重要な適用範囲の制約があります。Googleの公式ドキュメント「Context-Aware Access の概要」(Google Workspace管理者ヘルプ)には、以下の明確な記述があります。

Context-Aware Access は、Google Workspace アカウントのユーザーにのみ適用されます。外部ユーザーがアクセスする共有コンテンツには適用されません。

これは、CAAがGoogle Workspaceの管理対象である社内ユーザーに対してのみ機能し、社外のユーザー(例: 協力会社の担当者、顧客など)がアクセスする共有ドライブやドキュメントには、CAAポリシーが適用されないことを意味します。したがって、「外部ユーザー + 非管理デバイス」からの共有ドライブアクセスをCAAで制限しようとする設計は、Googleの仕様上不可能です。

なぜ外部ユーザーにはContext-Aware Accessが適用されないのか?

Context-Aware Accessが外部ユーザーに適用されないのは、その認証・認可の仕組みに起因します。CAAは、アクセスを試みるユーザーのGoogle Workspaceアカウント情報と、そのアカウントに関連付けられたデバイスやネットワークのコンテキスト情報を基にポリシーを評価します。

具体的には、CAAポリシーは以下の要素を参照します。

  1. ユーザーのID: Google WorkspaceアカウントのユーザーID、セキュリティグループ、組織部門など。
  2. デバイス情報: デバイスの種類(PC、スマートフォンなど)、OS、デバイスが会社に管理されているか(ChromeOS、Endpoint Verificationによる確認)、デバイスの暗号化状態など。
  3. ネットワーク情報: IPアドレス、地域、アクセスレベル(社内ネットワーク、VPN経由など)。

外部ユーザーは、組織が管理するGoogle Workspaceアカウントのユーザーではありません。彼らは自身のGoogleアカウント、Gmailアカウント、または他のIDプロバイダのアカウントで共有コンテンツにアクセスします。これらの外部アカウントや、それに紐づくデバイス情報は、組織のGoogle Workspace管理コンソールからは管理・制御できません。

CAAは、あくまでGoogle Workspaceの管理対象ユーザーとその管理対象デバイスに対して、Google Workspaceのサービスへのアクセスを制御するためのツールです。そのため、管理対象外の外部ユーザーに対しては、その機能が及ばない構造となっています。

共有ドライブの外部共有における現実的なセキュリティ対策

Context-Aware Accessが外部ユーザーの共有ドライブアクセス制限には利用できないという事実を踏まえ、情シス担当者は他の方法でセキュリティ対策を講じる必要があります。外部共有には常に情報漏洩のリスクが伴うため、複数の対策を組み合わせた多層防御が不可欠です。

1. Google Workspaceの共有設定を厳格化する

Google Workspaceの管理コンソールでは、組織全体または特定の組織部門に対して、共有ドライブやファイルの外部共有に関する詳細な設定が可能です。

  • 組織外共有の制限:
    • 共有ドライブの作成を特定の組織部門に限定する。
    • 共有ドライブのコンテンツを組織外のユーザーと共有できるかどうかを制御する(閲覧者、コメント投稿者、編集者)。
    • 「ウェブ上で公開」や「公開リンク」での共有を禁止する。
  • ドメインのホワイトリスト/ブラックリスト:
    • 信頼できる特定の外部ドメイン(例: 協力会社)のみと共有を許可し、それ以外のドメインとの共有を禁止する。
    • あるいは、共有を禁止したい特定のドメインを設定する。

これらの設定は、管理コンソールから アプリ > Google Workspace > ドライブとドキュメント > 共有設定 で調整できます。特に、共有ドライブの作成権限や、組織外共有のデフォルト設定は厳しく見直すべき点です。

2. データ損失防止 (DLP) 機能の活用

Google Workspace Enterprise Plusで利用可能なDLP機能は、機密情報が共有ドライブから組織外に流出するのを防ぐ強力な手段です。

  • コンテンツの検出: クレジットカード番号、個人情報(氏名、住所など)、特定のキーワードや正規表現パターンを含むファイルを自動的に検出し、ポリシー違反としてフラグを立てます。
  • 共有のブロック: ポリシーに違反するコンテンツを含むファイルが外部と共有されようとした際に、自動的に共有をブロックしたり、警告を発したりすることができます。

DLPポリシーは、共有ドライブ内のファイルだけでなく、GmailやGoogle Chatなど、他のGoogle Workspaceサービス全体に適用できるため、情報漏洩リスクを総合的に低減します。

3. アクセスレビューと監査ログの定期的な確認

共有ドライブのアクセス権限は時間の経過とともに複雑化しがちです。定期的なアクセスレビューを実施し、不要な外部共有がないか、適切な権限が付与されているかを確認することが重要です。

  • 共有ドライブのメンバーシップ確認: 誰が共有ドライブのメンバーであり、どのような権限を持っているかを定期的に確認します。特に外部ユーザーが追加されていないか注意深く監視します。
  • 監査ログの活用: Google Workspaceの監査ログ(管理者アクティビティ、Driveログなど)を定期的に確認し、不審な共有アクティビティやダウンロード履歴がないかを監視します。SIEMツールと連携して、異常な挙動を自動的に検知する仕組みを構築することも有効です。

4. ユーザーへのセキュリティ意識向上トレーニング

技術的な対策だけでなく、ユーザー自身のセキュリティ意識を高めることも非常に重要です。

  • 共有ポリシーの周知徹底: 組織の共有ポリシー(外部共有の可否、共有時の注意点など)を明確に定め、従業員に周知徹底します。
  • 情報セキュリティ研修: 定期的に情報セキュリティ研修を実施し、機密情報の取り扱い、フィッシング詐欺への注意喚起、共有ドライブの適切な利用方法などを教育します。
  • ベストプラクティスの共有: 共有ドライブの利用に関するベストプラクティス(例: 必要な期間だけ共有する、共有する相手を最小限にするなど)を共有し、実践を促します。

5. Google Cloud Identityの活用(外部ユーザーの管理)

もし外部ユーザーをより厳格に管理する必要がある場合、Google Cloud Identityを導入し、外部ユーザーを「管理対象外ID」としてではなく、ある程度「管理対象」として扱うことも検討できます。これにより、特定の外部ユーザーに対しては、多要素認証の強制などのセキュリティポリシーを適用できる場合があります。ただし、これはCAAとは異なるアプローチであり、導入には別途検討が必要です。

まとめ

Context-Aware Access (CAA) は、Google Workspaceの内部ユーザーに対する非常に強力なセキュリティツールであり、デバイスやネットワークのコンテキストに基づいてアクセスを厳格に制御できます。しかし、その適用範囲はGoogle Workspaceアカウントの管理対象ユーザーに限定されており、外部ユーザーがアクセスする共有コンテンツには適用されません。

この事実を理解することは、情シス担当者がGoogle Workspaceのセキュリティ戦略を立てる上で不可欠です。外部ユーザーとの共有ドライブ運用においては、CAAに依存するのではなく、Google Workspaceの共有設定の厳格化、データ損失防止 (DLP) 機能の活用、定期的なアクセスレビューと監査ログの確認、そして何よりもユーザーへのセキュリティ意識向上トレーニングを組み合わせた多層的な防御策を講じることが重要です。

常に最新の公式情報を確認し、自社の環境とリスクプロファイルに合わせた最適なセキュリティ対策を構築していきましょう。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。