お問い合わせ
SECURITY NOTE — 033

Context-Aware Access (CAA) でGoogle Admin Consoleへのアクセスを厳格化!情シス向け多層防御設定ガイド

PUBLISHED2026.04.25
READ9 分
CATEGORYSECURITY

Google WorkspaceのContext-Aware Access (CAA) は、ユーザーがアクセスするデバイスや場所などのコンテキストに基づいてアクセスを制御する機能です。この機能は、特に機密性の高いGoogle Admin Consoleへの不正アクセス対策として、多層防御の重要な要素となります。

この記事を読んだほうが良い人

  • Google Workspaceを運用している情シス担当者
  • Google Admin Consoleへのアクセスセキュリティを強化したいと考えている方
  • 情報漏洩や設定改ざんのリスクに不安を感じている方
  • Context-Aware Access (CAA) の具体的な設定方法を知りたい方
  • 多層的なセキュリティ対策を検討している企業のご担当者

Context-Aware Access (CAA) とは?なぜAdmin Consoleに必要か

Context-Aware Access (CAA) は、Google Workspaceのセキュリティ機能の一つで、ユーザーがクラウドサービスにアクセスする際の「状況(コンテキスト)」に応じて、アクセスを許可またはブロックする仕組みです。このコンテキストには、デバイスの種類、OSのバージョン、IPアドレス、地理的な場所、セキュリティステータスなどが含まれます。

Admin Consoleは、Google Workspace環境全体の設定を管理する非常に重要なインターフェースです。ここが乗っ取られると、ユーザーアカウントの改ざん、データのエクスポート、セキュリティ設定の無効化など、企業に甚大な被害を及ぼす可能性があります。そのため、Admin Consoleへのアクセスは、他のサービスよりもさらに厳格なセキュリティ対策が求められます。

CAAをAdmin Consoleに適用することで、例えば以下のような厳格なアクセス制御が可能になります。 - 特定のオフィスIPアドレスからのみAdmin Consoleにアクセスを許可する - 会社が管理するデバイス(デバイスポリシーに準拠しているデバイス)からのみアクセスを許可する - 特定の国や地域からのアクセスをブロックする - 多要素認証 (MFA) が有効なデバイスからのみアクセスを許可する

これにより、たとえ管理者アカウントの認証情報が漏洩したとしても、不正なデバイスや場所からのAdmin Consoleへのアクセスを未然に防ぎ、多層防御を実現できます。

Google Admin Consoleへのアクセスを多層防御するCAA設定の基本

CAAポリシーをAdmin Consoleに適用する際の基本的な考え方は、まず「アクセスレベル」を定義し、次にそのアクセスレベルをAdmin Consoleという「アプリケーション」に「ポリシー」として適用することです。

1. アクセスレベルの設計思想

アクセスレベルは、アクセスを許可する条件の集合体です。Admin Consoleへのアクセスを多層的に保護するためには、単一の条件だけでなく、複数の条件を組み合わせたアクセスレベルを設計することが重要です。

例えば、以下のような条件を組み合わせることができます。 - IPアドレス: 社内ネットワーク、VPN接続元など、信頼できるIPアドレス範囲を指定します。 - デバイスポリシー: Google Endpoint Management (GEM) などで管理されているデバイスであること、OSが最新であること、画面ロックが設定されていることなどの条件を設定します。 - 地理的場所: アクセス元が特定の国や地域であるか否かを指定します。 - ユーザーの属性: 特定のユーザータイプ(管理者など)や、デバイスの所有者情報など、ユーザーに関連する属性情報に基づく条件も設定できます。

これらの条件を「AND」や「OR」で組み合わせることで、より詳細で堅牢なアクセスレベルを構築します。

2. ポリシーの適用範囲

CAAポリシーは、組織部門(OU)単位で適用できます。Admin Consoleへのアクセス制御では、通常、管理者アカウントが属するOUに対してポリシーを適用することになります。これにより、一般ユーザーには影響を与えずに、管理者のみに厳格なアクセスルールを課すことが可能です。

CAAポリシー設定手順:Google Admin Consoleへのアクセスを厳格化する

具体的な設定手順を見ていきましょう。ここでは、以下のシナリオを想定します。 「特定のオフィスIPアドレスから、かつ会社の管理対象デバイスからのみ、Google Admin Consoleへのアクセスを許可する

ステップ1: アクセスレベルの作成

まず、アクセスを許可する条件を定義するアクセスレベルを作成します。

  1. Google Admin Console にスーパー管理者アカウントでログインします。
  2. 左側のメニューから [セキュリティ] > [コンテキストアウェア アクセス] > [アクセスレベル] に移動します。
  3. [アクセスレベルを作成] をクリックします。
  4. アクセスレベル名と説明を入力します(例: AdminConsole_TrustedAccess)。
  5. [条件を追加] をクリックし、以下の条件を設定します。
    • IPアドレスの条件:
      • [IPアドレス] を選択し、信頼できるオフィスネットワークのグローバルIPアドレス範囲(CIDR形式、例: 192.168.1.0/24 のようにネットワークアドレスとサブネットマスク長をスラッシュで区切る形式)を入力します。
      • 例: 203.0.113.0/24
    • デバイスポリシーの条件:
      • [デバイスポリシー] を選択します。
      • [デバイスが承認済みである必要があります] にチェックを入れます。
      • [承認済みのデバイスが必要です] にチェックを入れます(デバイス承認機能が有効な場合)。
      • 必要に応じて、[OSのバージョン][画面ロック] などの条件も追加します。
  6. 複数の条件を設定する場合、条件間の論理演算子([すべて満たす(AND)] または [いずれかを満たす(OR)])を適切に選択します。今回は両方の条件を満たす必要があるため、「すべて満たす(AND)」を選択します。
  7. [アクセスレベルを作成] をクリックして保存します。

ステップ2: CAAポリシーの作成と適用

次に、作成したアクセスレベルをGoogle Admin Consoleに適用するポリシーを作成します。

  1. [セキュリティ] > [コンテキストアウェア アクセス] > [コンテキストアウェア アクセス ポリシー] に移動します。
  2. [ポリシーを作成] をクリックします。
  3. ポリシー名と説明を入力します(例: Strict_AdminConsole_Policy)。
  4. [ユーザー] セクションで、このポリシーを適用したい管理者ユーザーが所属する組織部門(OU)またはグループを選択します。例えば、管理者 OUを選択します。
  5. [アプリ] セクションで、[Google Admin Console] を検索して選択します。
  6. [アクセスレベル] セクションで、以下の設定を行います。
    • [アクセスを許可する] を選択し、ステップ1で作成したアクセスレベル(例: AdminConsole_TrustedAccess)を選択します。
    • [アクセスをブロックする] は、特定の条件でアクセスをブロックしたい場合に設定しますが、今回は許可条件を厳格化するため、ここでは設定しません。
    • [アクセスを許可する] に複数のアクセスレベルを指定した場合、いずれかのアクセスレベルに合致すればアクセスが許可されます。
  7. [ポリシーを作成] をクリックして保存します。

設定が完了すると、選択したOUに属する管理者は、指定したIPアドレス範囲から、かつ会社の管理対象デバイスからのみGoogle Admin Consoleにアクセスできるようになります。それ以外の状況からのアクセスはブロックされます。

多層防御のための応用設定と注意点

複数アクセスレベルの組み合わせ

より複雑なシナリオに対応するため、複数のアクセスレベルを組み合わせてポリシーに適用することも可能です。例えば、「オフィスIPアドレスから」または「VPN接続(特定の証明書を持つデバイス)から」のいずれかの条件を満たせば許可するといった設定です。この場合は、それぞれの条件でアクセスレベルを作成し、ポリシー適用時に両方のアクセスレベルを選択します。

テストと段階的導入

CAAポリシーは強力なため、導入前に十分なテストが必要です。 - まず、少数のテスト用管理者アカウントとテスト用OUでポリシーを適用し、想定通りに動作するかを確認します。 - 可能であれば、最初は「アクセスをブロックする」ではなく「アクセスを許可する」のアクセスレベルで、既存のアクセスを妨げない範囲で設定し、ログを監視して影響範囲を確認します。 - 問題がなければ、適用範囲を広げていきます。

緊急時の対応

CAAポリシーによってAdmin Consoleへのアクセスがブロックされ、誰もログインできなくなる事態は避けなければなりません。 - スーパー管理者アカウントのバックアップ: 緊急時に備え、CAAポリシーが適用されない(または非常に緩いポリシーが適用される)スーパー管理者アカウントを最低1つは確保しておくことを強く推奨します。物理的なセキュリティキーと組み合わせるなど、厳重に管理してください。 - 緊急脱出用アクセスレベル: 特定の物理キーを挿入した場合など、非常に限定的な条件で一時的にアクセスを許可する「緊急脱出用」アクセスレベルを事前に作成しておくことも有効です。

ユーザーエクスペリエンスへの配慮

アクセスがブロックされた際に、ユーザー(管理者)に表示されるメッセージをカスタマイズできます。なぜアクセスがブロックされたのか、どうすればアクセスできるのかを明確に伝えることで、混乱を避けることができます。

CAA運用のポイントとよくある課題

ログ監視の重要性

CAAポリシーの適用状況やアクセスブロックの履歴は、監査ログで確認できます。定期的にログを監視し、不正なアクセス試行がないか、意図しないブロックが発生していないかを確認することが重要です。これにより、ポリシーの調整やセキュリティインシデントの早期発見に繋がります。

ポリシーの定期的な見直し

組織のネットワーク環境やセキュリティ要件は変化します。IPアドレスの変更、新しいデバイス管理ポリシーの導入などがあった場合は、それに合わせてCAAポリシーも定期的に見直し、更新する必要があります。

よくある課題

  • IPアドレスの変動: オフィスIPアドレスが動的に変わる環境では、IPアドレスに基づく制御が難しくなります。VPNや固定IPサービスの利用を検討しましょう。
  • デバイス管理の徹底: デバイスポリシーに基づく制御は、全デバイスが適切に管理されていることが前提です。Google Endpoint Management (GEM) などの導入と運用を徹底することが重要です。
  • テスト不足によるロックアウト: 導入前のテストが不十分だと、管理者自身がAdmin Consoleにアクセスできなくなるリスクがあります。必ず段階的に導入し、バックアップ手段を確保しましょう。

まとめ

Google WorkspaceのContext-Aware Access (CAA) を活用することで、Google Admin Consoleへのアクセスを多層的に保護し、情報漏洩や設定改ざんのリスクを大幅に軽減できます。特定のIPアドレスからのアクセス制限、管理対象デバイスからのアクセス必須化など、組織のセキュリティ要件に合わせて柔軟かつ厳格なポリシーを設定することが可能です。

本記事で紹介した設定手順と注意点を参考に、ぜひAdmin Consoleのセキュリティ強化に取り組んでみてください。堅牢なアクセス制御は、企業の情報資産を守る上で不可欠な対策です。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。