お問い合わせ
SECURITY NOTE — 091

GWS CAAでOSセキュリティ状態を条件にアクセス制御する方法

PUBLISHED2026.05.10
READ9 分
CATEGORYSECURITY

Google WorkspaceのContext-Aware Access (CAA) は、デバイスの状態を基にアクセスを制御する機能です。本記事では、OSのセキュリティ状態(Windows DefenderやOSバージョンなど)を条件に含めたより高度なアクセス制御について解説します。

この記事を読んだほうが良い人

  • Google WorkspaceのContext-Aware Access (CAA) を導入済み、または検討中の情シス担当者
  • ゼロトラストセキュリティの強化を目指している企業の情報システム部門
  • デバイス証明書やIPアドレス制限だけでなく、OSレベルのセキュリティ状態まで考慮したアクセス制御を設計したい人
  • Endpoint Verificationを活用して、より詳細なデバイス情報を取得・活用したいと考えている人

Google Workspaceのゼロトラスト実現にCAAが欠かせない理由

Google Workspaceにおけるゼロトラストセキュリティの実現において、Context-Aware Access (CAA) は非常に重要な役割を担います。従来の境界型セキュリティでは、社内ネットワークからのアクセスは安全とみなされがちでしたが、ゼロトラストでは「何も信頼しない」を原則とします。

CAAは、ユーザーがGoogle Workspaceのサービスにアクセスする際、デバイスのセキュリティ状態、IPアドレス、地域、時間帯など、さまざまなコンテキスト情報に基づいてアクセスを許可するかどうかを判断します。これにより、たとえ認証情報が漏洩しても、不正なデバイスからのアクセスを防ぐことが可能になります。

これまでCAAでは、デバイス証明書の有無やIPアドレスの範囲といった条件が主に利用されてきました。しかし、これらの条件だけでは、デバイス自体のセキュリティレベルが低い状態(例えば、アンチウイルスが無効になっている、OSが古いなど)でのアクセスを見逃してしまう可能性があります。そこで、OSのセキュリティ状態を条件に加えることで、より堅牢なアクセス制御を実現できます。

OSセキュリティ状態を条件にするCAAのメリット

デバイスのOSセキュリティ状態をアクセス条件に含めることで、以下のようなメリットが得られます。

  • よりきめ細やかな制御: デバイスが最新のOSアップデートを適用しているか、アンチウイルスソフトが稼働しているか、ファイアウォールが有効かといった詳細な状態をチェックできます。
  • 内部脅威対策の強化: BYOD (Bring Your Own Device) 環境やリモートワークが普及する中で、従業員の私用デバイスや自宅デバイスのセキュリティ状態を管理・統制することは困難です。OSセキュリティ状態を条件にすることで、最低限のセキュリティ要件を満たさないデバイスからのアクセスをブロックし、内部からの情報漏洩リスクを低減できます。
  • コンプライアンス要件への対応: 業界規制や社内ポリシーでデバイスのセキュリティ状態に関する要件がある場合、CAAでこれを強制することでコンプライアンス維持に貢献します。

Context-Aware AccessとEndpoint Verificationの連携

OSセキュリティ状態をCAAの条件として利用するためには、デバイスからその情報を収集する仕組みが必要です。ここで登場するのが、Googleが提供するEndpoint Verification (エンドポイントの確認) です。

Endpoint Verificationは、ユーザーのデバイスに導入するエージェント(拡張機能またはアプリ)です。このエージェントがデバイスのOSバージョン、セキュリティパッチの適用状況、ディスクの暗号化状態、アンチウイルスソフトウェアの稼働状況などを収集し、Google Workspaceに送信します。

CAAは、Endpoint Verificationから報告されたデバイス情報を基に、事前に設定されたアクセスレベルポリシーと照合し、アクセスを許可するかどうかをリアルタイムで判断します。これにより、デバイスの「信頼性」を動的に評価し、ゼロトラストの原則に基づいたアクセス制御が可能になります。

実践!OSセキュリティ状態に基づくアクセスレベル設定手順

ここでは、Google Workspace管理コンソールでOSセキュリティ状態を条件としたアクセスレベルを設定する具体的な手順を解説します。

前提条件

  • 対象Google Workspaceエディション: Context-Aware Accessの高度な機能(Endpoint Verificationと連携したデバイス属性ベースの条件設定、OSセキュリティ状態による制御を含む)は、主にGoogle Workspace Enterprise Plus、Enterprise Standard、Education Standard/Plus、Cloud Identity Premiumのエディションで利用可能です。ご契約エディションを確認してください。
  • Endpoint Verificationの展開: ユーザーのデバイスにEndpoint Verificationエージェント(Chrome拡張機能またはネイティブアプリ)がインストールされ、稼働している必要があります。Chrome OSデバイスは標準で対応しています。WindowsやmacOSデバイスには、管理者が配布ツールなどを用いて展開する必要があります。

管理コンソールでの設定ステップ

1. Endpoint Verificationの有効化

まず、管理コンソールでEndpoint Verificationを有効にします。

  1. Google Workspace管理コンソールに管理者アカウントでログインします。
  2. 「デバイス」>「モバイルとエンドポイント」>「設定」>「Endpoint Verification」に移動します。
  3. 「Endpoint Verification」の設定を開き、「組織でEndpoint Verificationを有効にする」にチェックを入れます。
  4. 必要に応じて、「承認されていないデバイスのブロック」を有効にすることで、Endpoint Verificationがインストールされていないデバイスからのアクセスを制御できます。ただし、この設定を有効にすると、エージェント未展開のデバイスはGoogle Workspaceへのアクセスが即時に遮断されます。本番環境で有効化する前に、全対象デバイスへのエージェント展開が完了していることを必ず確認してください。

2. アクセスレベルの作成

次に、OSセキュリティ状態を条件とするアクセスレベルを作成します。

  1. 管理コンソールで「セキュリティ」>「Context-Aware Access」>「アクセスレベル」に移動します。
  2. 「アクセスレベルを作成」をクリックします。
  3. アクセスレベルの名前(例: Secure_OS_Devices)と説明を入力します。
  4. 「条件を追加」をクリックします。

3. 条件の追加(OSタイプ、OSバージョン、セキュリティ状態)

ここで、具体的なOSのセキュリティ状態を設定します。

  1. OSタイプとバージョン:

    • 「デバイスのプラットフォーム」を選択し、「オペレーティングシステム」で「Windows」または「macOS」を選択します。
    • 特定のOSバージョンを条件にする場合は、「OSバージョン」で「最小バージョン」や「正規表現」を使って指定します。例えば、Windows 10 22H2以降のみを許可する場合などです。

  2. デバイスのセキュリティ状態:

    • 「デバイスのセキュリティ状態」を選択します。ここで、WindowsとmacOSで利用できる条件が異なります。
OS別条件一覧表
OS セキュリティ状態条件と説明
Windows - Windows Defender Antivirusが有効: Windows Defenderのリアルタイム保護が有効であること
- Windowsファイアウォールが有効: Windowsファイアウォールが有効であること
- デバイスが暗号化されている: ドライブがBitLockerなどで暗号化されていること
- OSビルド番号: 特定のOSビルド番号以上であること(例: 19045
macOS - Gatekeeperが有効: macOSのGatekeeper機能が有効であること
- ファイアウォールが有効: macOSのファイアウォールが有効であること
- デバイスが暗号化されている: FileVaultなどでドライブが暗号化されていること
- OSバージョン: 特定のOSバージョン以上であること(例: 13.0
- スクリーンロックが有効(パスワード保護): スクリーンロックにパスワード保護が設定されていること

これらの条件を組み合わせて、例えば「Windows 10 22H2以降で、Windows Defenderとファイアウォールが有効、かつディスクが暗号化されているデバイス」といったアクセスレベルを作成できます。

4. アクセスレベルの適用

作成したアクセスレベルを、Google Workspaceのアプリケーションや特定のユーザーグループに適用します。

  1. 管理コンソールで「セキュリティ」>「Context-Aware Access」>「アプリケーションにアクセスレベルを割り当て」に移動します。
  2. アクセスレベルを適用したいアプリケーション(例: Gmail, Google Drive)を選択します。
  3. 「アクセスレベルを割り当て」をクリックし、作成したアクセスレベルを選択します。
  4. 必要に応じて、特定のユーザーグループや組織部門にのみ適用することも可能です。

注意事項と制約

  • 対象エディション: 前述の通り、高度なCAA機能は一部のGoogle Workspaceエディションに限定されます。
  • Endpoint Verificationエージェントの展開と管理: Endpoint Verificationエージェントが未インストールのデバイスに対してCAAポリシーを適用すると、そのデバイスからのアクセスは即時に遮断されます。特に「承認されていないデバイスのブロック」を有効にした状態でポリシーを本番展開した場合、エージェントが未導入のデバイスを持つユーザー全員がGoogle Workspaceにアクセスできなくなるリスクがあります。Windows/macOSデバイスへのエージェント配布が完了してからポリシーを適用し、必ずテストグループで段階的に進めてください。
  • ポリシー適用までの時間: アクセスレベルの設定変更がすべてのユーザーに反映されるまでには、最大数時間から24時間程度かかる場合があります。変更直後に全員へ即時反映されるわけではないため、確認はしばらく時間をおいて行ってください。
  • ユーザーへの影響: 厳格なポリシーを適用する前に、必ずテストユーザーやテストグループで動作確認を行い、業務への影響を最小限に抑えてください。アクセスがブロックされた場合のエラーメッセージとヘルプデスク対応フローも事前に整備しておくことを推奨します。

まとめ:一歩進んだゼロトラストセキュリティへ

Google WorkspaceのContext-Aware Access (CAA) は、OSのセキュリティ状態を条件に加えることで、より高度で実践的なゼロトラストセキュリティを実現します。デバイス証明書やIPアドレス制限だけではカバーしきれなかったリスクに対し、Windows Defenderの稼働状況やOSバージョンといったOSレベルの詳細な状態を条件にすることで、セキュリティポスチャを大幅に向上させることが可能です。

Endpoint Verificationとの連携は不可欠ですが、一度設定してしまえば、ユーザーが利用するデバイスの安全性を継続的に評価し、Google Workspaceへのアクセスを動的に制御できるようになります。まずはテストグループへの段階的な適用から始め、影響範囲を確認しながら本番展開へと移行していくアプローチが、現場での混乱を最小化します。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。