「社員が全員リモートで働いていて、私物のパソコンやスマホから会社のGmailやドライブに入っています。IDとパスワードは配っていますが、正直、誰がどこから会社のデータにアクセスしているのか把握できていません。退職予定の社員が自宅から大量にファイルをダウンロードしていた、なんてことが起きないか不安です」——従業員30名ほどの会社で総務を兼任している方から、こんな相談を受けました。クラウドで仕事が完結する会社ほど、「正しいパスワードさえ通れば、どこからでも・どの端末からでも入れる」状態が当たり前になっていて、そこにリスクを感じている経営者・管理者は少なくありません。
パスワードと二段階認証は「本人かどうか」を確かめる仕組みですが、「その本人が、安全な状況からアクセスしているか」までは見ていません。ここを補うのが、Google Workspace の コンテキストアウェアアクセス(Context-Aware Access、条件付きアクセス) です。本記事では、この仕組みが何を守るのか、どのプランで使えるのか、そして下位プランの会社は何で代替できるのかを、発注者の視点で整理します。
パスワードが正しくても「状況」が危ければ止める
コンテキストアウェアアクセスは、ログインが成功したあとに「いま、どういう状況からアクセスしているか」を見て、アクセスを許可するか・制限するかを決める仕組みです。判断に使える「状況(コンテキスト)」には、たとえば次のようなものがあります。
- IPアドレス:会社のオフィスや許可した拠点のネットワークからか
- 端末のポリシー:画面ロックや暗号化が有効な、会社が管理している端末か
- 地理的な場所:国・地域の単位で、想定外の場所からのアクセスでないか
- OSの種類:許可したOS・バージョンからのアクセスか
これらの条件を「かつ(AND)」「または(OR)」で組み合わせて、「会社の管理端末で、かつ国内からのアクセスなら許可」「それ以外はドライブへのアクセスを禁止」といったルールを作れます。パスワードが盗まれて海外から不正ログインされても、条件に合わなければ止まる。ここが、本人確認だけでは埋められない穴をふさぐポイントです。退職者による持ち出しの検知については監査ログとアラートの記事も合わせて読むと、「防ぐ」と「気づく」の両輪が見えてきます。
「アクセスレベル」を作って、サービスに割り当てる
設定の流れ自体はシンプルで、大きく二段階です。まず、許可する条件をまとめた「アクセスレベル」を定義します。「社内IPアドレスの範囲」「日本国内」「管理対象の端末」といった条件の束に名前をつけるイメージです。次に、そのアクセスレベルを Gmail・ドライブ・カレンダーといったサービスや、特定の組織部門(OU)に割り当てます。
この二段階になっているおかげで、「経理部門だけは社内ネットワークからしかドライブに入れない」「営業は国内ならどこからでもGmailを見られる」というように、部署や業務の性質ごとに強さを変えられます。全社員に同じ強度をかけると現場から不満が噴き出しますが、リスクの高いデータを扱う部門にだけ厳しく設定すれば、業務の邪魔をせずに守りを固められます。
落とし穴は「自分を締め出す」設定
導入で最も多い事故が、管理者自身が条件に引っかかってログインできなくなるパターンです。「社内IPからのみ許可」を全社に一律で適用した結果、在宅勤務中の管理者が管理コンソールに入れなくなり、設定を戻すこともできない——これは実際に起こります。
回避策は決まっています。新しいルールは、まず一部の組織部門やテスト用アカウントに 「監視モード(適用せず記録だけ)」 で当てて、想定どおりに動くか・誰が締め出されるかを確認してから本適用に切り替える。管理者アカウント自体は条件の対象から外すか、緊急時に使える例外の経路を必ず残しておく。この手順を飛ばして本番にいきなり当てると、復旧に時間を取られます。管理コンソールの基本操作に不安があれば管理コンソール入門から押さえておくと、設定画面で迷いません。
使えないプランの会社は、何で代替するか
ここが発注者にとって一番大事な現実です。コンテキストアウェアアクセスは、すべてのプランで使えるわけではありません。利用できるのは Enterprise Standard / Enterprise Plus、Frontline、Education の各上位版、Cloud Identity Premium などで、多くの中小企業が契約している Business Starter / Standard / Plus では使えません。
| よくある要望 | Business プランでの現実的な代替策 |
|---|---|
| 私物端末からのアクセスを制限したい | エンドポイント管理で端末を登録・審査し、未承認端末を遮断する |
| 不正ログインを止めたい | 二段階認証(できればパスキー)を全社で必須化する |
| 特定の相手だけに絞りたい | 共有範囲・外部共有の制限、組織部門ごとの権限設計で対処する |
「条件付きアクセスがどうしても要るからEnterpriseへ」と即断する前に、まず自社が守りたいのは何か——不正ログインなのか、私物端末なのか、持ち出しなのか——を切り分けることをおすすめします。守りたい対象によっては、二段階認証の必須化やエンドポイント管理、共有設定の見直しといった、いまのプランでできる対策で十分カバーできる場合が多いからです。プラン全体のコストを見直すならライセンス費用の最適化の観点も一緒に検討すると、過剰な契約変更を避けられます。
まず「誰が・どこから・何に」入っているかを知ることから
弊社が相談を受けたある会社では、いきなり条件付きアクセスの話に入らず、先に監査ログで「実際に誰が・どの端末・どの地域から会社のデータに入っているか」を1週間分だけ棚卸ししました。すると、想定していた「海外からの不審アクセス」はほぼ無く、実際のリスクは「退職予定者が私物PCに大量のファイルを保存できる状態」にあると分かりました。そこでプランを上げずに、まずエンドポイント管理での私物端末の切り分けと、重要フォルダの共有権限の絞り込みから着手し、費用をかけずにリスクの大きい部分を先につぶしています。
会社のデータへのアクセスを「状況」で絞る仕組みは強力ですが、プランの制約と設定の落とし穴があり、やみくもに導入すると業務が止まったり、過剰なコストを払うことになります。「私物端末や在宅からのアクセスをどう制御すべきか」「うちのプランで何ができて、何にはアップグレードが要るのか」「まず何から手をつければいいのか」——そうしたお悩みがあれば、グリームハブのIT・Google Workspace 無料相談からお気軽にお問い合わせください。自社の実態に合わせて、過不足のないアクセス制御の設計をご一緒します。