お問い合わせ
SECURITY NOTE — 093

GWS CAAとEDR連携:デバイス信頼評価の設計判断

PUBLISHED2026.05.22
READ8 分
CATEGORYSECURITY

GWS CAA (Context-Aware Access) と外部EDR (Endpoint Detection and Response) の連携は、デバイスのセキュリティ状態に基づいたアクセス制御を高度化するための重要な取り組みです。組織のセキュリティポリシーを強化し、ゼロトラスト環境の実現に貢献します。

この記事を読んだほうが良い人

  • Google Workspace の CAA (Context-Aware Access) を既に導入している、または導入を検討している情シス担当者
  • CrowdStrikeやSentinelOneなどのEDR/XDRソリューションを社内に導入している、または導入を検討している情シス担当者
  • GWS CAAの標準的なデバイス条件だけでは不十分と感じ、EDRのリスクシグナルをアクセス制御に活用したいと考えている方
  • ゼロトラスト環境におけるデバイスの信頼評価をより精密に行うための設計方針を求めている方

GWS CAAとEDR連携の必要性

Google Workspace の CAA は、デバイスの状態、ユーザーの場所、IPアドレスなど、様々なコンテキストに基づいてアクセスを制御できる強力なツールです。中でもデバイスのセキュリティ状態を条件にする機能は、ゼロトラスト実現の重要な柱となります。

しかし、CAAが標準で提供するデバイス条件(ディスク暗号化、スクリーンロック、OSバージョンなど)だけでは、最新の脅威に対する動的なリスク評価や、より詳細なコンプライアンス状態を捉えきれない場合があります。

ここで注目されるのが、EDRとの連携です。EDRはエンドポイントの脅威検出、脆弱性管理、リアルタイムのセキュリティ状態監視に特化しており、デバイスごとのリスクスコアや脅威レベルを詳細に評価できます。このEDRが提供する豊富なセキュリティシグナルをCAAのアクセス制御に組み込むことで、より高度で柔軟なデバイス信頼評価に基づくアクセス制御が可能になります。

CAA標準デバイス条件とEDR連携の違い

評価項目 GWS CAA 標準デバイス条件 外部EDR連携
検出対象 OSビルトインのセキュリティ設定 OS設定に加え、マルウェア検出、脆弱性、不審な挙動、設定不備など
評価深度 静的な設定状態の確認 動的なリスクスコア、リアルタイムの脅威レベル評価
情報源 Google Endpoint Management(Google Workspace のデバイス管理機能の総称) EDRベンダーのプラットフォーム
対応範囲 基本的なセキュリティ要件 高度な脅威インテリジェンスに基づく広範なリスク要素
ユースケース 基本的なコンプライアンス維持 高リスクデバイスの隔離、異常検知時のアクセス制限
導入難易度 中〜高(EDR側の設定、連携システムの構築が必要)

EDRシグナルをCAAに統合する設計判断フロー

EDRの情報をGWS CAAに連携する方法は、EDRベンダーの提供するAPIや連携オプションによって異なりますが、一般的な設計判断の軸は共通しています。

1. 連携方式の選定

  • EDRベンダー提供の直接連携機能: EDRベンダーがGoogle Workspace (またはGoogle Cloud) との公式連携機能を提供している場合、最も推奨されるアプローチです。APIキーやOAuth認証を通じて、EDRのリスクスコアやコンプライアンス状態をCAAのカスタム属性として取り込む仕組みが用意されていることがあります。
  • 中間システムを介した連携: 直接連携機能がない場合、EDRのAPIから情報を取得し、Google Cloud Functions や Google Apps Script (GAS) などのスクリプト、またはセキュリティ情報イベント管理 (SIEM) やSOAR (Security Orchestration, Automation and Response) ツールを介して、Google Directory API のカスタムスキーマにデバイス情報を書き込む方法が考えられます。
    • カスタム属性の利用: Google Directory API を利用して、デバイスのカスタム属性にEDRのリスクスコアやコンプライアンスフラグを連携します。例えば、「edr_risk_score」や「edr_compliant」といった属性を定義し、EDRからの情報を定期的に更新します。CAAポリシーでは、このカスタム属性値を条件として利用します。

2. 連携するEDRシグナルの選定

すべてのEDRシグナルを連携する必要はありません。CAAのアクセス制御ポリシーに最も影響を与える、かつ安定して取得できるシグナルを選定します。

  • リスクスコア: EDRが算出するデバイスの総合的なリスクスコア。例えば、スコアが一定値を超えたデバイスからのアクセスを制限します。
  • コンプライアンスステータス: EDRが判定するデバイスのコンプライアンス状態(例: パッチ適用状況、セキュリティ設定の遵守状況)。
  • 脅威検知フラグ: アクティブなマルウェア感染や不審な挙動が検知された場合に立てられるフラグ。
  • 脆弱性情報: デバイスに存在する既知の脆弱性の有無や深刻度。

3. CAAポリシーの設計

連携したEDRシグナルをどのようにCAAポリシーに落とし込むかが重要です。

  • 段階的なアクセス制御:
    • 通常アクセス: EDRリスクスコアが低く、コンプライアンスに準拠しているデバイスからのアクセスを許可します。
    • 制限付きアクセス: EDRリスクスコアが中程度、または一部コンプライアンス違反があるデバイスからのアクセスは、特定のアプリケーションのみに限定したり、特定のIPアドレス範囲からのみ許可したりします。
    • アクセスブロック: EDRリスクスコアが非常に高い、またはアクティブな脅威が検知されたデバイスからのアクセスを全面的にブロックし、隔離措置を講じます。
  • カスタム属性の条件設定: 管理コンソールのセキュリティ設定(セキュリティ > アクセスとデータ制御 > コンテキストアウェア アクセス > アクセスレベル)で、カスタム属性を条件に含めるポリシーを作成します。例えば、「device.custom_attributes['edr_risk_score'] <= 50」のような条件を設定します。

4. 運用と監視の設計

連携システムの安定稼働と、ポリシーの効果的な運用には継続的な監視が不可欠です。

  • 自動更新の頻度: EDRシグナルをカスタム属性に同期する頻度を決定します。リアルタイム性が求められる場合は高頻度、そうでない場合は日次更新など、業務への影響とセキュリティ要件のバランスを考慮します。
  • エラーハンドリング: 連携システムでエラーが発生した場合の通知メカニズムと、手動での対応手順を定めます。
  • ポリシー評価のテスト: 新しいポリシーを導入する前に、少数のユーザーやグループでテストし、予期せぬアクセスブロックが発生しないかを確認します。
  • 監査ログの活用: Google Workspace の監査と調査機能やEDRのログを定期的に確認し、アクセス制御が意図通りに機能しているか、または不審なアクティビティがないかを監視します。

導入前チェックリスト:GWS CAAとEDR連携をスムーズに進めるために

GWS CAAとEDRの連携を始める前に、以下の点を確認し、準備を進めることでスムーズな導入が期待できます。

EDR側の確認事項

  • [ ] API提供の有無とドキュメント: EDRベンダーがAPIを提供しているか、またそのAPIの利用規約やドキュメントが公開されているかを確認します。
  • [ ] 取得可能なシグナル: どのセキュリティシグナル(リスクスコア、コンプライアンスステータス、脅威検知フラグなど)がAPIを通じて取得可能かを確認します。
  • [ ] 認証・認可方式: APIアクセスのための認証(APIキー、OAuthなど)と認可(最小権限の付与)の方式を理解します。
  • [ ] レートリミット: APIの呼び出し回数に制限がある場合、その制限値と対応策(リトライロジックなど)を検討します。
  • [ ] デバイス識別子: Google Workspace のデバイス情報とEDRのデバイス情報を紐付けるための共通の識別子(例: ホスト名、シリアル番号)が存在するか確認します。

Google Workspace側の確認事項

  • [ ] CAAの有効化: Google Workspace で Context-Aware Access が有効になっていることを確認します。
  • [ ] Directory APIの利用: EDRシグナルをカスタム属性として書き込むために、Admin SDK Directory API の利用権限があることを確認します。
  • [ ] カスタムスキーマの設計: デバイスに紐付けるカスタム属性(例: edr_risk_score, edr_compliant)のスキーマを設計します。
  • [ ] サービスアカウントの準備: Directory API を呼び出すためのサービスアカウントと、適切な権限(例: https://www.googleapis.com/auth/admin.directory.device.chromeoshttps://www.googleapis.com/auth/admin.directory.device.mobile のスコープ)を付与します。
  • [ ] テスト環境の準備: 本番環境に影響を与えないよう、テスト用の組織部門やユーザー、デバイスを用意します。

まとめ

GWS CAAと外部EDRの連携は、デバイスのセキュリティ状態をより詳細かつ動的に評価し、ゼロトラストの原則に基づいた強固なアクセス制御を実現する上で非常に有効な手段です。単にGWS CAAの標準機能を使うだけでなく、EDRの持つ高度な脅威インテリジェンスを統合することで、組織のセキュリティ体制は格段に向上します。

この連携は、EDRベンダーとの協業、適切なシグナルの選定、そして慎重なポリシー設計が成功の鍵となります。まずは自社のEDRが提供するAPIや連携オプションを確認し、どのような情報が取得できるかを把握することから始めてみましょう。そして、段階的にテスト導入を進め、運用体制を確立していくことが重要です。EDRとGWS CAAの統合設計に課題を感じる場合は、DRASENASのゼロトラスト設計支援にご相談ください。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。