お問い合わせ
SECURITY NOTE — 048

Chrome Browser Cloud ManagementとGWS MDMを統合する:情シス向けデスクトップブラウザ一元管理ガイド

PUBLISHED2026.04.30
READ10 分
CATEGORYSECURITY

Google管理コンソールは、Windows・macOS・Linux にインストールされた Chrome ブラウザをクラウド経由で一元管理する Chrome Browser Cloud Management(CBCM)を提供しています。本記事では、GWS MDM との役割分担と CBCM の導入手順を情シス担当者向けに整理します。

この記事を読んだほうが良い人

  • 100名規模の企業でGoogle Workspaceを管理する情シス担当者
  • WindowsやMacにインストールされたChromeブラウザのセキュリティ設定や拡張機能を制御したい
  • 既存のMDM(モバイルデバイス管理)だけではChromeブラウザの細かい設定まで手が回らないと感じている
  • シャドーIT対策として、従業員のブラウザ利用状況を可視化・制御したい

デスクトップ版Chromeブラウザ管理の必要性

多くの企業で、従業員は業務にChromeブラウザを利用しています。しかし、GWS MDM(モバイルデバイス管理)を導入していても、デスクトップ版Chromeブラウザの細かな設定までは管理できていないケースが少なくありません。

GWS MDMだけではカバーできない範囲

Google Workspace MDMは、主にAndroidやiOSデバイス、ChromeOSデバイスの管理、またはWindowsやmacOSデバイスへのGCPW (Google Credential Provider for Windows) 導入によるデバイス認証・基本設定の適用を目的としています。これらはデバイスレベルの管理であり、デバイス上にインストールされた特定のアプリケーション(Chromeブラウザ)の内部設定までは直接制御できません。結果として、以下のような課題が発生しがちです。

  • セキュリティリスク: 危険な拡張機能のインストール、安全でないサイトへのアクセス、ダウンロード制限なし。CBCMのセーフブラウジング強制・ダウンロード制御・拡張機能ブロックリストで対応できる
  • シャドーIT: 業務と無関係な拡張機能やWebサービス利用による情報漏洩リスク。CBCMの拡張機能許可リスト運用により、業務承認外の拡張機能を一括排除できる
  • 設定のばらつき: 従業員ごとにブラウザ設定が異なり、サポート工数が増加。CBCMで組織部門(OU)単位のポリシーを一元適用することで、設定の統一が実現する

これらの課題を解決するためには、デバイス管理とは別に、ブラウザそのものを管理する仕組みが必要です。

Chrome Browser Cloud Management (CBCM) とは?

Chrome Browser Cloud Management (CBCM) は、Google管理コンソールを通じて、組織内のWindows、macOS、LinuxデバイスにインストールされたChromeブラウザを一元的に管理できる機能です。デバイスがActive Directoryドメインに参加しているか、Jamfで管理されているかに関わらず、インターネット経由でポリシーを適用できます。

GWS MDMとの違いと役割分担

  • GWS MDM: デバイス自体(OS、システム設定、認証など)の管理に焦点を当てます。例えば、デバイスのパスワードポリシー強制、画面ロック、ディスク暗号化、デバイス証明書の配布などです。GCPWを利用すればWindowsログイン時のGoogle認証も可能です。
  • CBCM: デスクトップ版Chromeブラウザの内部設定に特化します。ブラウザの拡張機能、セキュリティ設定、プライバシー設定、アップデートポリシーなどを制御します。

両者は異なるレイヤーを管理するため、相互に補完し合う関係にあります。GWS MDMでデバイスの基本的なセキュリティを確保しつつ、CBCMでブラウザの利用状況をきめ細かく制御することで、より強固なエンドポイントセキュリティを実現できます。

CBCMの主要機能と設定例

CBCMでは、Google管理コンソールから多岐にわたるChromeブラウザポリシーを設定できます。ここでは、特に情シス担当者が活用すべき主要機能と設定例を紹介します。

拡張機能の制御

シャドーITの温床となりやすい拡張機能は、CBCMで厳しく制御すべき項目です。

  • 強制インストール: 業務に必要な特定の拡張機能(例: パスワードマネージャー、スクリーンショットツール)をユーザーの操作なしに強制的にインストールできます。
    • 設定項目例: アプリと拡張機能 > アプリと拡張機能のリスト > [アプリの追加] > 拡張機能IDと更新URLを入力
    • ポリシー例: Force install に設定
  • ブロックリスト: 業務に不要またはセキュリティリスクのある拡張機能のインストールを禁止します。
    • 設定項目例: アプリと拡張機能 > アプリと拡張機能のリスト > [アプリの追加] > 拡張機能IDと更新URLを入力
    • ポリシー例: Block に設定
  • 許可リスト: 特定の拡張機能のみを許可し、それ以外のすべての拡張機能をブロックする運用も可能です。

セキュリティとプライバシー設定

情報漏洩やマルウェア感染のリスクを低減するための重要な設定です。

  • セーフブラウジングの強制: 悪意のあるサイトやフィッシングサイトからユーザーを保護します。
    • 設定項目例: セキュリティ > セーフブラウジング
    • ポリシー例: セーフブラウジングを常に有効にする
  • ダウンロードの制御: 特定のファイルタイプや危険なファイルのダウンロードをブロックします。
    • 設定項目例: コンテンツ > ダウンロード
    • ポリシー例: 危険なファイルの種類をブロックするダウンロードをブロックするファイルの種類
  • シークレットモードの禁止: ユーザーが履歴を残さずにブラウジングすることを禁止し、監査可能性を高めます。
    • 設定項目例: セキュリティ > シークレットモード
    • ポリシー例: シークレットモードを許可しない
  • 閲覧履歴の自動削除: ブラウザを閉じる際に閲覧履歴やキャッシュを自動で削除し、情報漏洩リスクを低減します。

ブラウザ更新と設定同期

常に最新のセキュリティパッチが適用された状態を保ち、業務環境を安定させます。

  • 自動更新の強制: Chromeブラウザを常に最新バージョンに保ちます。
    • 設定項目例: 更新設定 > Chromeブラウザの自動更新
    • ポリシー例: 自動更新を許可する
  • データ同期の制御: 組織外のGoogleアカウントへのブックマークや履歴の同期を禁止します。
    • 設定項目例: 同期 > 同期可能なデータタイプ
    • ポリシー例: すべてのデータタイプを同期しない または特定データのみ許可

CBCMの導入手順

CBCMの導入は、主に「管理トークンの生成」「管理対象デバイスへのトークン配布」「ポリシーの適用と確認」の3ステップで進めます。

1. 管理トークンの生成

まず、Google管理コンソールで組織固有の登録トークンを生成します。

  1. Google管理コンソールにログインします。
  2. メニューアイコン > デバイス > Chrome > 管理ブラウザ に移動します。
  3. 「登録トークン」セクションで、新しいトークンを生成します。このトークンは組織に紐づく一意の識別子です。

2. 管理対象デバイスへのトークン配布

生成した登録トークンを、管理したい各デバイスのChromeブラウザに適用します。配布方法はデバイスのOSや既存の管理ツールによって異なります。

  • Windowsの場合:
    • GPO (グループポリシーオブジェクト): Active Directory環境では、GPOを使って登録トークンをレジストリに書き込むのが一般的です。Chrome EnterpriseのGPOテンプレートを利用し、CloudManagementEnrollmentToken ポリシーを設定します。
    • 手動/スクリプト: レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome の下に CloudManagementEnrollmentToken という文字列値を作成し、トークンを値として設定します。
  • macOSの場合:
    • JamfなどのMDM: プロファイル設定を通じて、com.google.Chrome ドメインの CloudManagementEnrollmentToken キーにトークンを配布します。
    • 手動/スクリプト: bash defaults write /Library/Preferences/com.google.Chrome CloudManagementEnrollmentToken -string "YOUR_TOKEN"
  • Linuxの場合:
    • /etc/opt/chrome/policies/managed/ ディレクトリにJSONファイルを作成し、CloudManagementEnrollmentToken を設定します。

トークンが正常に適用されると、そのデバイス上のChromeブラウザはGoogle管理コンソールに登録され、「管理ブラウザ」リストに表示されます。

3. ポリシーの適用と確認

管理コンソールに登録されたブラウザに対して、組織部門 (OU) ごとにポリシーを設定します。

  1. Google管理コンソールの メニューアイコン > デバイス > Chrome > 設定 > ユーザーとブラウザ に移動します。
  2. 左側の組織部門リストから、ポリシーを適用したいOUを選択します。
  3. 設定したいポリシー項目(例: アプリと拡張機能セキュリティ)を探し、設定を構成します。
  4. 設定を保存すると、対象のOUに属する管理ブラウザにポリシーが適用されます。
  5. 監査ログでの確認: レポート > 監査ログ > Chromeブラウザログ で、ブラウザの登録状況やポリシー適用状況を確認できます。また、各ブラウザの chrome://policy ページにアクセスして、適用されているポリシーをユーザー側から確認することも可能です。

CBCMと既存MDMの連携戦略

CBCMは単独で運用するだけでなく、既存のMDMソリューションと連携させることで、より包括的な管理体制を築けます。

  • GWS MDM (GCPW) との組み合わせ: デバイスのOSレベルでの管理(GCPWによるWindowsログインとデバイス証明書管理など)はGWS MDMで行い、Chromeブラウザのアプリケーションレベルの管理はCBCMで行います。これにより、デバイス認証からブラウザ利用まで一貫したセキュリティポリシーを適用できます。

  • 他社MDM (Jamf/Workspace ONEなど) との連携: Jamf (macOS) やWorkspace ONE (Windows/macOS) などの他社MDMを導入している場合、これらのMDMツールを使ってCBCMの登録トークンをデバイスに配布するのが最も効率的な連携方法です。MDMのポリシー配布機能を利用することで、多数のデバイスに対して一括でトークンを適用し、その後のブラウザポリシーはGoogle管理コンソールで一元的に管理できます。

このように、CBCMは既存のMDM戦略を補完し、デスクトップブラウザという重要なエンドポイントに対する管理の盲点をなくすための強力なツールとなります。

CBCMの制約と運用上の注意点

CBCMは強力な管理ツールですが、いくつかの制約を把握した上で導入計画を立てる必要があります。

管理対象はChromeブラウザのみ

CBCMが管理できるのはChromeブラウザだけです。Edge・Firefox・Safariなど他のブラウザには適用できません。BYOD環境で従業員が他のブラウザを併用している場合、CBCMのポリシーは効力を持たず、OSレベルでの別途制限が必要になります。

オフライン時のポリシー配信遅延

CBCMのポリシーはクラウド経由で配信されます。デバイスが長期間オフライン状態になると、ポリシーの更新が遅延します。緊急のポリシー変更が必要な場合は、オフライン端末への個別対応手順を事前に決めておいてください。

登録トークンの管理

登録トークンは組織の管理権限に直結します。トークンが外部に漏れると、意図しないブラウザが組織の管理下に登録されるリスクがあります。トークンはMDMのシークレット管理機能か専用のパスワードマネージャーで管理し、定期的なローテーションも検討してください。

よくある失敗: OU設計の後付け

CBCMのポリシーはGoogle管理コンソールのOU(組織部門)に紐づきます。GWS MDMの運用で既にOU設計が固まっている場合、CBCMのポリシー粒度に合わせてOUを切り出す必要が生じるケースがあります。例えば「営業部はシークレットモード禁止、開発部は例外」という方針を後から実現しようとすると、OU構造の組み替えが発生します。CBCM導入前に部門別の管理方針を整理し、OU設計に反映しておくことで、後からの組み替えコストを減らせます。

まとめ

Chrome Browser Cloud Management (CBCM) は、Google Workspaceを導入している企業がデスクトップ版Chromeブラウザを効率的かつセキュアに管理するための機能です。GWS MDMがカバーしきれないブラウザレイヤーの制御を可能にし、シャドーIT対策・セキュリティリスクの低減・設定の統一に貢献します。

ただし、管理対象はChromeブラウザのみであり、他ブラウザは対象外です。また、OU設計の後付けは運用コストを高めるため、導入前の設計整理が重要です。登録トークンの管理体制も忘れずに整備してください。

まず着手するなら、Google管理コンソールで登録トークンを1つ生成し、テスト端末で chrome://policy の反映を確認するところから始めるのが現実的です。既存のMDMを活用してトークンを配布できれば、大規模展開もスムーズに進みます。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。