「うちは2段階認証を全員に必須にしているので、セキュリティは大丈夫だと思っています」——中小企業のIT担当者からよく聞く言葉です。たしかに2段階認証は強力で、入れていない会社よりはるかに安全です。けれど一つ抜けている問いがあります。「正しいIDとパスワードと2段階認証を持っている人なら、どこからでも・どんな端末でも入っていいのか」という問いです。
退職直前の社員が私物のPCから、あるいは出張先の共用端末から、海外のネットワーク経由で会社のドライブに入る。認証情報さえ揃っていれば、現状これは全部「正常なログイン」として通ります。2段階認証は「本人かどうか」は確かめますが、「どこから・どの端末で」までは見ていない。この穴を埋めるのがコンテキストアウェアアクセスという考え方です。ただし、この機能は誰でも使えるわけではない、という現実とセットで理解する必要があります。
コンテキストアウェアアクセスは「状況」で入口を絞る
コンテキストアウェアアクセスは、ログインを許すかどうかを「誰か(認証)」だけでなく「どんな状況か(文脈)」で判断する仕組みです。具体的には、次のような条件でアクセスの可否を細かく決められます。
- 会社が許可したIPアドレスの範囲からのアクセスか
- 端末が暗号化されている/パスワードロックがかかっている/会社が管理している端末か
- アクセス元の国・地域はどこか
たとえば「Gmail は社内ネットワークか、会社が管理する暗号化済みの端末からしか開けない」「経理が使う特定のアプリは日本国内からのみ」といったルールを、アプリ単位・部門単位で引けます。認証を通っていても、条件に合わない状況なら入口で止まる。退職者の私物PCや、素性のわからない海外端末からのアクセスを、ルールとして弾けるようになるわけです。
注意点として、コンテキストアウェアアクセスは「対象に指定したGoogleサービスへのアクセス」を制御するもので、指定していないサービスや外部サービスまで一律に守るわけではありません。何を対象に含めるかの設計が、そのまま守備範囲になります。
ここで多くの中小企業がつまずく — プランの壁
ここまで読んで「うちもやりたい」と思った方に、先に厳しい事実をお伝えします。コンテキストアウェアアクセスは、Business Standard や Business Plus では使えません。利用できるのは Enterprise Standard / Plus、Frontline、Education の上位プラン、Enterprise Essentials Plus、Cloud Identity Premium といった上位エディションに限られます。中小企業の多くが契約している Business 系プランには、この機能は含まれていないのです。
これは見落とされがちで、「Google Workspace を使っているのだから設定できるはず」と思って管理コンソールを探しても、メニュー自体が出てこない。受託の現場でも、ここで「じゃあ無理ですね」と話が止まってしまうことがよくあります。でも、止める前に整理すべきことがあります。
| プラン帯 | コンテキストアウェアアクセス | 現実的に取れる対策 |
|---|---|---|
| Business Standard / Plus | 使えない | 2段階認証の必須化、退職者の即時停止、共有範囲の制御 |
| Enterprise / Frontline / Education 上位 | 使える | IP・端末・地域での条件付きアクセス設計 |
Businessプランのまま、どこまで締められるか
「上位プランに上げないと何もできない」と考えるのは早計です。Business プランのままでも、入口の守りはかなり固められます。
第一に、2段階認証の必須化です。任意のオンにとどめず、組織全体で強制する。さらにセキュリティキーやパスキーを使えば、フィッシングで認証情報を抜かれても突破されにくくなります。この延長線上の話は パスキーへの移行を扱った記事 で具体的に触れています。
第二に、退職・異動が起きたときの即時停止を仕組みにすることです。コンテキストアウェアアクセスで「退職者の私物端末を弾く」のと、退職した瞬間にアカウントを停止して入口ごと閉じるのは、目的の多くが重なります。停止が即日できる体制なら、私物端末うんぬん以前にアクセス自体が成立しません。退職処理の設計は 退職者アカウントのオフボーディングを扱った記事 にまとめました。
第三に、外部共有の範囲を絞ることです。アクセスする「人」を制御しきれないなら、アクセスされる「データ」の共有設定を締める。組織外への共有を既定で制限し、共有ドライブの権限を必要最小限にしておけば、仮に不正なログインが成立しても被害の面積を小さくできます。
「プランを上げるべきか」を判断する軸
では、コンテキストアウェアアクセスのために Enterprise へ上げるべきか。ここは費用と守りたいものの天秤で、一律の正解はありません。受託で相談を受けたときは、次の順で考えます。
扱っているデータの機微さが高く(個人情報・顧客の機密・規制対象など)、かつアクセス元を限定したい明確な理由があるなら、上位プランの端末・IP制御は投資に見合います。逆に、守りたいものの中心が「退職者と紛失端末」程度なら、Business プランのままで2段階認証の必須化と即時停止を固める方が、費用対効果はずっと高い。プランを上げる前に、まず「今のプランでやり切っているか」を点検するのが順序です。
弊社が支援した二十名規模の会社では、最初は「コンテキストアウェアアクセスを入れたい」という相談でした。しかし利用実態を聞くと、社外からのアクセスは限られ、本当の不安は退職者と私物端末でした。そこでプラン変更は保留し、2段階認証の必須化・退職者の即時停止・外部共有の既定オフを先に固めたところ、当初の不安はほぼ解消しました。上位プランは「それでも足りない部分が出たら」の選択肢として残してあります。
まず確かめてほしいこと
自社が今どのプランで、2段階認証が「任意」なのか「必須」なのかを管理コンソールで確認してください。多くの会社は、上位機能を検討する前に、足元の必須化と退職時の即時停止という基本がまだ詰め切れていません。そこが固まって初めて、コンテキストアウェアアクセスのためにプランを上げる議論が意味を持ちます。
出典: Protect your business with Context-Aware Access(Google Workspace ヘルプ) / About Context-Aware Access(Google Workspace ヘルプ)
