お問い合わせ
SECURITY NOTE — 040

Google Workspaceで非管理端末のアクセスを厳格に制御:デバイス証明書ベース認証の実践

PUBLISHED2026.04.27
READ12 分
CATEGORYSECURITY

Google Workspaceでは、Context-Aware Access (CAA)とデバイス証明書を組み合わせることで、非管理端末からのアクセスを厳格に制御できます。このアプローチは、BYOD(Bring Your Own Device)環境における情報漏洩リスクを最小限に抑えるための有効な手段です。

この記事を読んだほうが良い人

  • 100名規模の企業でGoogle Workspaceを運用している情シス・コーポレートIT担当者
  • BYOD環境や未登録の個人デバイスからのGoogle Workspaceアクセスにセキュリティ懸念を持つ方
  • デバイス証明書を用いた認証強化に興味があり、具体的な設定方法を知りたい方
  • Context-Aware Access (CAA) の活用を検討している方

Google Workspaceのセキュリティ課題:非管理端末からのアクセスリスク

近年、従業員が私物のスマートフォンやPCを業務に利用するBYODが広く普及しています。柔軟な働き方を実現する一方で、情シスにとっては非管理端末からのアクセスが新たなセキュリティリスクとなります。

  • 情報漏洩のリスク: 管理されていないデバイスは、セキュリティパッチの適用状況やマルウェア対策が不十分な場合が多く、悪意のある攻撃に対する脆弱性が高まります。もしこれらのデバイスから機密情報にアクセスされれば、情報漏洩に直結する可能性があります。
  • コンプライアンス違反: 業界規制や社内ポリシーによっては、特定の情報へのアクセスを管理されたデバイスに限定することが求められる場合があります。非管理端末からのアクセスを野放しにすることは、コンプライアンス違反のリスクを高めます。
  • 可視性の欠如: どのデバイスが、いつ、どこからGoogle Workspaceにアクセスしているのか、詳細なログが取れない、またはデバイスの状態が不明なため、インシデント発生時の調査が困難になります。

パスワード認証だけでは、認証情報が漏洩した場合に容易に不正アクセスを許してしまいます。多要素認証 (MFA) は有効ですが、デバイス自体の健全性を保証するものではありません。より強固なセキュリティを実現するためには、デバイスそのものの信頼性を検証する仕組みが必要です。

デバイス証明書ベース認証とは?その仕組みとメリット

デバイス証明書ベース認証は、ユーザー認証に加えて、アクセス元のデバイスが信頼できる正規のデバイスであるかを検証する認証方式です。

デバイス証明書の役割

デバイス証明書は、デバイスの身分証明書のようなものです。組織が発行した信頼できる認証局 (CA) によって署名されたデジタル証明書をデバイスにインストールし、アクセス時にその証明書を提示させることで、デバイスの信頼性を検証します。

認証フローの概要

デバイス証明書ベース認証の基本的な流れは以下の通りです。

  1. 証明書の配布: 組織の認証局 (CA) が発行したクライアント証明書を、アクセスを許可したいデバイスに配布・インストールします。
  2. アクセス要求: ユーザーがデバイスからGoogle Workspaceへのアクセスを試みます。
  3. 証明書の提示: デバイスは、インストールされているクライアント証明書をGoogle Workspaceに提示します。
  4. 証明書の検証: Google Workspaceは、提示されたクライアント証明書が、事前に登録された信頼できるCAによって発行されたものであるか、有効期限内であるかなどを検証します。
  5. アクセス可否の判断: 証明書が有効と判断されればアクセスを許可し、無効または提示されなければアクセスを拒否します。

セキュリティ強化の具体的なメリット

  • デバイスの信頼性検証: パスワードやMFAに加えて、デバイス自体の信頼性を確認できるため、セキュリティレベルが大幅に向上します。
  • 情報漏洩リスクの低減: 未登録または不正なデバイスからのアクセスをブロックすることで、情報漏洩のリスクを最小限に抑えます。
  • BYOD環境の安全性向上: 従業員の私物デバイスであっても、組織が発行した証明書をインストールさせることで、一定のセキュリティポリシーを適用しつつ利用を許可できます。
  • コンプライアンス要件への対応: 厳格なアクセス制御が求められる環境において、コンプライアンス要件を満たすための基盤となります。

Context-Aware Access (CAA) とデバイス証明書連携の基礎

Google Workspaceでデバイス証明書ベース認証を実現する主要な機能が、Context-Aware Access (CAA) です。CAAは、ユーザーのIDだけでなく、デバイスの状態、IPアドレス、地理位置情報などのコンテキスト(状況)に基づいてアクセスを許可するかどうかを判断する機能です。

CAAとは何か

CAAは、Google Workspaceのセキュリティポリシーを強化するための機能で、特定の条件下でのみリソースへのアクセスを許可する「アクセスレベル」を定義できます。例えば、「会社のネットワークからのみアクセス可能」「暗号化されたデバイスからのみアクセス可能」といったポリシーを設定できます。

CAAがデバイス証明書をどのように利用するか

CAAは、デバイス証明書をアクセスレベルの条件の一つとして利用できます。具体的には、管理コンソールに信頼できる認証局 (CA) の証明書をアップロードし、そのCAによって発行されたクライアント証明書をデバイスが提示した場合にのみアクセスを許可するポリシーを設定します。

これにより、「組織が認めたデバイス証明書を持つデバイスからのみGoogle Workspaceにアクセスできる」という厳格な制御が可能になります。たとえユーザーのIDとパスワードが漏洩しても、デバイス証明書を持たない不正なデバイスからはアクセスできないため、セキュリティが飛躍的に向上します。

Google Workspace MDMと連携したデバイス証明書認証の導入手順

デバイス証明書ベース認証を導入する際の具体的なステップを解説します。

1. 信頼できるCA証明書をGoogle Workspaceに登録

まず、クライアント証明書を発行する認証局 (CA) の公開証明書をGoogle Workspaceに登録します。これにより、Google WorkspaceはそのCAが発行したクライアント証明書を信頼するようになります。

  1. 信頼できるCA証明書を準備する: 組織内で運用しているCA(例: Active Directory Certificate Services、サードパーティCA)のルート証明書または中間証明書(PEM形式)を用意します。
  2. Google 管理コンソールにアップロード:
    • 管理コンソールにログインし、デバイス > モバイルとエンドポイント > 設定 > iOS の設定 へと進みます。
    • 「証明書」セクションで、証明書を追加 をクリックします。
    • 証明書ファイルを選択し、アップロードします。
    • この証明書が、デバイス証明書の検証に使用されます。

2. デバイスにクライアント証明書を配布・インストール

次に、Google Workspaceへのアクセスを許可したいデバイスに、信頼できるCAが発行したクライアント証明書をインストールします。

  • Google Workspace MDMでの配布(管理対象デバイス向け): Google Workspaceの高度なモバイル管理に登録されているAndroid、iOS、ChromeOSデバイスや、GCPW (Google Credential Provider for Windows) を利用しているWindowsデバイスの場合、管理コンソールからクライアント証明書をプッシュ配布できます。

    • デバイス > モバイルとエンドポイント > 設定 > Windows の設定 など、各OSの設定ページで証明書プロファイルを構成し、配布します。

  • 非管理端末への対応(課題と対策案): 非管理端末(BYODなど)の場合、Google Workspace MDMによる自動配布はできません。この場合、以下のいずれかの方法でクライアント証明書をデバイスにインストールさせる必要があります。

    • 手動インストール: ユーザーにクライアント証明書ファイル(例: .p12ファイル)を配布し、デバイスに手動でインストールする手順を案内します。この方法はユーザーの負担が大きく、ミスも発生しやすいため、詳細な手順書とサポート体制が必要です。
    • Webベースの証明書登録: 組織のCAが提供するWeb登録インターフェースなどを利用し、ユーザー自身がWebブラウザ経由で証明書を要求・インストールする方法です。
    • サードパーティMDM/UEMとの連携: 既にサードパーティ製のMDMやUEM (Unified Endpoint Management) ソリューションを導入している場合、それらのツールを利用して非管理端末へのクライアント証明書配布を自動化できる可能性があります。

クライアント証明書がインストールされた後、デバイスはGoogle Workspaceへのアクセス時にこの証明書を提示できるようになります。

3. Context-Aware Accessレベルの作成

クライアント証明書の状態をチェックするアクセスレベルを作成します。

  1. 管理コンソールにログイン: セキュリティ > アクセスとデータ管理 > Context-Aware Access へと進みます。
  2. アクセスレベルを作成:
    • アクセスレベルを作成 をクリックし、任意の名前(例: DeviceCertificateRequired)と説明を入力します。
    • 属性 セクションで、デバイス証明書 のチェックボックスをオンにします。
    • 「デバイス証明書」の項目で、証明書が存在する にチェックを入れます。
    • さらに、必要に応じて「証明書の発行元」を特定のCAに限定することもできます。
    • アクセスレベルを作成 をクリックして保存します。

4. アクセスレベルの適用

作成したアクセスレベルをGoogle Workspaceのアプリケーションに適用します。

  1. 管理コンソールにログイン: セキュリティ > アクセスとデータ管理 > Context-Aware Access へと進みます。
  2. アクセスレベルを割り当てる:
    • グループまたはアプリケーションにアクセスレベルを割り当てる をクリックします。
    • アプリケーション で、アクセス制御を適用したいGoogle Workspaceアプリケーション(例: Gmail, Google Drive, ドキュメント)を選択します。
    • 割り当てられたアクセスレベル で、先ほど作成したアクセスレベル(例: DeviceCertificateRequired)を選択します。
    • 保存 をクリックします。

非管理端末からのアクセスをブロックするポリシー例

この設定により、例えばGoogle Driveにアクセスしようとするデバイスが、登録されたCAによって発行された有効なクライアント証明書を提示できない場合、アクセスが自動的にブロックされます。

非管理端末からのアクセス制御:具体的なシナリオと設定例

シナリオ1: 登録済みデバイス証明書がないBYODからのアクセスを全面禁止

最もシンプルなケースで、BYODデバイスが組織が発行したデバイス証明書を持っていない場合、Google Workspaceへのアクセスを完全に禁止します。

  1. アクセスレベルの作成:
    • 名前: BlockUncertifiedBYOD
    • 条件: デバイス証明書存在しない
    • このアクセスレベルは、ブロックしたい場合に利用します。
  2. アクセスレベルの適用:
    • Google Driveなどの主要アプリケーションに対して、BlockUncertifiedBYOD アクセスレベルを適用します。
    • ただし、このアクセスレベルを直接「許可」として適用するのではなく、通常は「許可」のアクセスレベル(例: DeviceCertificateRequired)を作成し、それ以外のアクセスをブロックする形で運用します。
    • より厳密には、デフォルトでアクセスを許可しない設定にし、DeviceCertificateRequired のアクセスレベルを持つユーザー/グループ/アプリケーションのみアクセスを許可する形が推奨されます。

シナリオ2: 特定の部署のBYODにはアクセスを許可しつつ、証明書を必須とする

特定の部署の従業員(例: 営業部)にはBYOD利用を許可するが、そのデバイスには必ず組織が発行したデバイス証明書がインストールされていることを条件とするシナリオです。

  1. クライアント証明書の配布: 営業部のBYODユーザーに対して、組織のCAから発行されたクライアント証明書をインストールする手順を案内します(手動インストールまたはWeb登録)。
  2. アクセスレベルの作成:
    • 名前: SalesBYOD_CertifiedAccess
    • 条件: デバイス証明書存在する
    • このアクセスレベルは、営業部員が利用するアプリケーションに適用します。
  3. アクセスレベルの適用:
    • 営業部のユーザーが利用するGoogle DriveやGmailなどのアプリケーションに対し、SalesBYOD_CertifiedAccess のアクセスレベルを割り当てます。
    • さらに、このアクセスレベルを営業部のGoogleグループに紐付けることで、営業部員のみに適用される厳格なBYODポリシーを構築できます。

導入時の注意点と運用ノウハウ

デバイス証明書ベース認証は強力なセキュリティ機能ですが、導入と運用にはいくつかの注意点があります。

  • 証明書の有効期限管理: デバイス証明書には有効期限があります。期限切れ前に新しい証明書を配布・更新する仕組みを確立し、ユーザーへの周知を徹底することが重要です。期限切れはアクセス不能に直結するため、計画的な運用が求められます。
  • ユーザーへの周知と教育: ユーザーはデバイス証明書とは何か、なぜ必要なのか、どのようにインストールするのかを理解する必要があります。丁寧な説明と分かりやすい手順書を提供し、問い合わせ窓口を設けることで、スムーズな導入を促します。
  • テスト運用と段階的適用: 全ユーザーに一斉に適用する前に、まずは少数のテストユーザーや特定の部署で段階的に導入し、アクセスに問題がないか、想定通りの動作をするかを確認します。これにより、大規模なトラブルを未然に防ぎます。
  • 証明書失効時の対応: 従業員の退職やデバイスの紛失・盗難時には、速やかにそのデバイス証明書を失効させる必要があります。CA側での失効処理と、Google Workspace側のアクセスレベルへの影響を確認する運用フローを確立します。
  • トラブルシューティング: アクセスできないという問い合わせがあった場合、デバイス証明書が正しくインストールされているか、有効期限が切れていないか、アクセスレベルの条件と合致しているかなどを確認するためのチェックリストを用意しておくと便利です。

まとめ:よりセキュアなGoogle Workspace環境へ

Google WorkspaceのContext-Aware Access (CAA) とデバイス証明書を組み合わせた認証は、BYOD環境や非管理端末からのアクセスに対するセキュリティを大幅に強化する有効な手段です。デバイス証明書によってアクセス元のデバイスの信頼性を検証することで、情報漏洩リスクを低減し、よりセキュアなGoogle Workspace運用を実現します。

導入には、信頼できるCA証明書の登録、クライアント証明書の配布、そしてCAAポリシーの適切な設定が必要です。特に非管理端末へのクライアント証明書配布は、組織の状況に応じた計画とユーザーへの丁寧なサポートが成功の鍵となります。この強力な認証基盤を構築することで、企業は柔軟な働き方を維持しつつ、重要な情報を保護できます。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。