お問い合わせ
SECURITY NOTE — 044

Context-Aware Access (CAA) の『時間ベースアクセスレベル』で期間限定プロジェクトのGoogle Workspaceリソースを安全に管理する情シス向けガイド

PUBLISHED2026.04.28
READ7 分
CATEGORYSECURITY

Google WorkspaceのContext-Aware Access (CAA) には、アクセスを時間に基づいて制御できる「時間ベースアクセスレベル」という機能が提供されています。この機能は、期間限定のプロジェクトや外部委託先との協業において、Google Workspaceリソースへのアクセスを効率的かつセキュアに管理するために活用できます。

この記事を読んだほうが良い人

  • 期間限定のプロジェクトでGoogle Workspaceリソースのアクセス管理に課題を感じている情シス担当者
  • 外部委託先との協業における情報漏洩リスクを最小限に抑えたい情シス担当者
  • 一時的なアクセス権の付与・解除に工数を要している情シス担当者
  • Context-Aware Access (CAA) の活用範囲を広げたいと考えている情シス担当者

Context-Aware Access (CAA) の基本を理解する

Context-Aware Access (CAA) は、Google WorkspaceをはじめとするGoogle Cloudリソースへのアクセスを、ユーザーの状況(コンテキスト)に基づいて制御する機能です。単なる認証情報だけでなく、デバイスの状態、IPアドレス、地理的位置、時間帯など、複数の要素を組み合わせてアクセス可否を判断します。

CAAとは何か?

CAAは、ゼロトラストセキュリティモデルをGoogle Workspaceに導入するための重要な要素です。アクセスするユーザーが「誰であるか」だけでなく、「どこから」「どのデバイスで」「いつ」アクセスしているか、といったコンテキスト情報を評価し、定義されたセキュリティポリシーに合致する場合のみアクセスを許可します。これにより、従来の境界型セキュリティでは難しかった、よりきめ細やかなアクセス制御が可能になります。

従来のアクセス制御との違い

従来のアクセス制御は、主にユーザーIDやパスワード、そしてIPアドレス制限といった静的な情報に基づいていました。しかし、リモートワークの普及やクラウドサービスの利用拡大により、社内ネットワークの境界は曖昧になり、デバイスの多様化も進んでいます。

CAAは、これらの変化に対応するため、以下のような動的な要素をアクセス判断に組み込みます。 - デバイスのコンプライアンス: デバイスが最新のセキュリティパッチ適用済みか、画面ロックが設定されているかなど - IPアドレス/地理的位置: アクセス元のネットワークや国・地域 - ユーザーの属性: 組織部門や役職 - 時間と日付: 特定の時間帯や期間

これにより、より柔軟で強固なセキュリティポリシーを実装し、情報漏洩リスクを低減できます。

『時間ベースアクセスレベル』で実現する動的なアクセス制御

CAAのアクセスレベル定義において、特定の時間帯や日付範囲を条件として設定できるのが「時間ベースアクセスレベル」です。この機能は、一時的なアクセス要件がある場合に特に有効です。

時間ベースアクセスレベルの仕組み

時間ベースアクセスレベルは、Google CloudのAccess Context Managerで設定するアクセスレベルの条件として、「日時」を指定することで実現します。具体的には、以下の要素を組み合わせてアクセス条件を定義できます。 - 特定の日付範囲: 例: 2024年4月1日から2024年6月30日まで - 曜日: 例: 月曜日から金曜日まで - 時間帯: 例: 午前9時から午後5時まで (UTC基準)

これらの条件を満たす場合にのみ、ユーザーは指定されたGoogle Workspaceアプリケーションやリソースにアクセスできるようになります。期間が終了したり、指定された時間帯を過ぎたりすると、自動的にアクセスが遮断されるため、情シス担当者が手動でアクセス権を付与・解除する手間が省けます。

期間限定プロジェクトでの活用シナリオ

多くの企業では、特定の期間だけ活動するプロジェクトが存在します。例えば、3ヶ月間の新サービス開発プロジェクトや、半年間のシステム移行プロジェクトなどです。これらのプロジェクトでは、参加メンバー(社内・社外問わず)がプロジェクト期間中のみ、関連する共有ドライブや特定のドキュメント、Google Chatスペースにアクセスする必要があります。

時間ベースアクセスレベルを活用することで、以下のような運用が可能です。 - プロジェクト開始と同時にアクセス権を自動付与: プロジェクトの開始日と終了日を設定したアクセスレベルを作成し、対象の共有ドライブに適用します。 - プロジェクト終了と同時にアクセス権を自動解除: 期間が終了すると、メンバーは自動的に共有ドライブにアクセスできなくなります。情シス担当者が手動で権限を削除し忘れるリスクを排除できます。 - 夜間や休日のアクセス制限: 開発プロジェクトで情報漏洩リスクを考慮する場合、業務時間外のアクセスを制限することも可能です。

外部委託先との協業における応用

外部のベンダーやコンサルタントとの協業では、セキュリティリスクが特に懸念されます。彼らには必要な情報へのアクセスを許可しつつも、過剰なアクセスや不要な期間のアクセスは避けたいものです。

時間ベースアクセスレベルは、外部委託先との協業においても効果を発揮します。 - 契約期間中のアクセスのみを許可: 契約期間に合わせてアクセスレベルを設定し、契約終了と同時にアクセスを自動遮断します。 - 特定の作業時間帯のみアクセスを許可: 例えば、外部のデータ入力業者が日本の営業時間中のみデータにアクセスする必要がある場合、その時間帯に限定してアクセスを許可できます。 - 特定の曜日に限定したアクセス: 週に数日だけ来社する外部メンバーに対し、その曜日のみ社内Wi-Fi経由でのアクセスを許可するといった運用も可能です。

これにより、外部委託先に対するきめ細やかなアクセス管理が可能になり、情報漏洩リスクを大幅に低減しつつ、情シスの運用負荷も軽減できます。

時間ベースアクセスレベルの設定手順

Google Workspaceで時間ベースアクセスレベルを設定する基本的な流れは以下の通りです。設定はGoogle Cloudコンソール内のAccess Context Managerで行います。

1. アクセスレベルの作成準備

まず、Google Cloudコンソールにアクセスし、Access Context Managerサービスを開きます。 ここで新しいアクセスレベルを作成します。アクセスレベルには、その目的がわかるような名前(例: ProjectX_Access_2024Q2)を付けます。

2. 時間条件の定義

新しいアクセスレベルの作成画面で、「条件を追加」を選択し、「日時」の条件を追加します。 - 日付範囲: 特定の開始日と終了日を設定します。これはプロジェクトの期間に合わせるのが一般的です。 - 曜日: アクセスを許可する曜日を選択します(例: 月曜日から金曜日)。 - 時間帯: アクセスを許可する時間帯をUTCで設定します。例えば、日本時間の午前9時から午後5時までの場合は、UTCで午前0時から午前8時までと設定します。

これらの条件はAND条件で結合されるため、すべてを満たす場合にのみアクセスが許可されます。

3. アクセスレベルの適用

作成した時間ベースアクセスレベルを、保護したいGoogle Workspaceアプリケーション(Google ドキュメント、Google ドライブ、Google Chatなど)に適用します。 Google Workspace管理コンソールで、「セキュリティ」>「アクセスとデータ管理」>「コンテキストアウェア アクセス」>「Google Workspace アプリのアクセス制御」に進みます。 ここで、対象のアプリケーションを選択し、先ほど作成したアクセスレベルを割り当てます。これにより、そのアプリケーションへのアクセスが時間ベースの条件で制御されるようになります。

運用上の注意点とベストプラクティス

時間ベースアクセスレベルは強力なツールですが、効果的に運用するためにはいくつかの注意点があります。

ポリシーの可視化と定期的なレビュー

設定したアクセスレベルは、時間の経過とともに陳腐化する可能性があります。プロジェクトの延長や契約内容の変更があった場合、アクセスレベルも更新する必要があります。 定期的にアクセスレベルの設定内容を確認し、現状と乖離がないかレビューする体制を構築することが重要です。また、誰がどのリソースに、どのような条件でアクセスできるのかを文書化し、可視化することも運用負荷軽減につながります。

複数のアクセスレベルの組み合わせ

時間ベースアクセスレベルは、他のコンテキスト情報と組み合わせてさらに強固なセキュリティポリシーを構築できます。例えば、「特定の期間中、かつ社内ネットワークから、かつコンプライアンスに準拠したデバイスからのみアクセス可能」といった多要素での制御が可能です。 これにより、セキュリティレベルをさらに高められます。

ユーザーへの事前周知

アクセスが時間によって制限されることをユーザーが認識していないと、業務に支障をきたす可能性があります。特に外部委託先に対しては、アクセス可能な期間、曜日、時間帯を明確に伝え、必要に応じてタイムゾーンの調整方法なども案内することが望ましいです。 これにより、不要な問い合わせやトラブルを未然に防ぎ、スムーズな協業を促進します。

まとめ: 情シスの運用負荷軽減とセキュリティ強化の両立

Google WorkspaceのContext-Aware Access (CAA) における『時間ベースアクセスレベル』は、期間限定のプロジェクトや外部委託先との協業において、情シス担当者の運用負荷を軽減しつつ、情報漏洩リスクを大幅に低減できる有効な機能です。アクセス権の自動付与・解除により、手作業によるミスや抜け漏れを防ぎ、よりセキュアな環境を構築できます。

この機能を活用することで、動的かつ柔軟なアクセス制御を実現し、現代の多様な働き方に合わせたセキュリティ体制を確立することが可能です。ぜひ、貴社のGoogle Workspace環境での導入を検討し、セキュリティと業務効率の両面で改善を図ってください。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。