Google Workspace を導入するかどうかの検討において、データの活用・サードパーティアプリとの連携・連携から生じるリスクのコントロールが、十分できるかが課題になります。ここでは Google APIのアクセス制御について、詳しく説明します。
Google Workspace とは
Google Workspace とは、Google の一連のアプリを、パッケージとして提供するクラウドサービスです。Gmail や、Google Chat、Google Meet、Google ドライブ・ドキュメント・スプレッドシート・カレンダーなどの一連のアプリを月額一定の料金で提供しています。
Google Workspace を導入すると、カレンダーや Gmail などの情報共有だけでなく、スプレッドシートやドキュメントといったファイル作成及び共有が可能です。共同作業により、多人数でのドキュメント作成や共有することも可能なので、生産性向上の効果があります。
オンライン会議システム(Google Meet)・チャット(Google Chat)によるコミュニケーションを、一括でメールの画面で管理でき、アプリの連携が他の同様のクラウドソリューションよりも進んでいます。
ところで、Google Workspace を構成しているアプリのデータについては、ドキュメント・スプレッドシート・メールデータなどをサードパーティアプリにAPIを通じて連携することができます。
Google のアプリは、基本的にOpen APIといって仕様を公開しています。こうしたタイプのAPIは、連携してデータを利用するサードパーティアプリの開発のために使われます。そのため、CRM・SFA・MAツールなど、業務システムとの連携も多く行われています。
Google Workspace にアクセスできるAPI一覧
Google Workspace の各アプリには、それぞれ固有のAPIがあります。以下に掲げたとおりですが、これらの一連のAPI群(=Google Enterprise APIと呼ばれています。)
を利用することにより、サードパーティアプリは Google Workspace 上のデータにアクセスすることができます。
Google Enterprise API: Admin SDK API/Gmail/Google Drive/Google Calendar/Google Chat /Google Vault/Classroom/To Do/ Cloud Search/Apps Audit API/Apps Script API など
Google および Google Workspace のAPIは基本的にOpen APIであり、開発により自由に多くのサードパーティアプリによるデータ利用ができますが、一方、サードパーティアプリは、APIを通じて機密性の高いデータにアクセスできてしまう可能性もあります。このため、Google Workspace の利用においては、管理者がアクセス制御と認証の強化により、より安全にAPIを利用することが必要です。
どのように Google Workspace にアクセスさせるか・ブロックするかといったコントロール手段を次の項でご説明します。
Google Workspace にアクセス制御する方法
Google Workspace では、利用できるサードパーティアプリをどのようにアクセス制御するのか、管理者によるコントロールがカギになります。ここではアクセス制御についての特徴・仕組みについて具体的にご紹介します。
サードパーティ製アプリを確認
信頼できるサードパーティアプリには、Google が確認済みのアプリという意味を、OAth の仕組みを通じて表示されることとなっています(現行バージョンはOAth2.0)。
Google では「確認済みアプリとは、セキュリティとプライバシーの要件に準拠していることが Google によって確認されたアプリのことです。Google によって確認されていないサードパーティ製アプリには、制限が適用されることがあります。」としています。
引用元:Google Workspace 管理者ヘルプ「確認済みのサードパーティ製アプリとは」
そのため、Google 側で「確認済み」と表示されないアプリもサードパーティアプリの中にはあり、管理コンソールから管理者が識別し、ブロックすることができます。
サードパーティアプリが確認済みであるかどうかは、OAthの仕組みによるサードパーティアプリを識別の上、確認します。OAthとは、以下の特徴を持つ「認可情報の委譲」のための仕様です。
- 信頼関係が確立されたサービスの間において
- ユーザが承諾するかどうかによって
- 安全にユーザの権限をやり取りする
OAthの仕組みで行うことができるのは、次の2点です。
- 信頼されたサードパーティアプリによるAPIのアクセスを識別・コントロールすること
- 信頼できるユーザにのみAPIにアクセスさせること
最新仕様であるOAth2.0を出すことができるHTTPリクエストには「スコープ」と呼ばれる情報を含んでいます。スコープとは、サードパーティアプリがどんなサービスを提供するか、その定義と言い換えることができます。これと Google Enterprise API側のスコープの照合を行い、アクセスができるかどうかをチェックすることができます。
なお、OAthにはRestricted Scopeといって、APIを通じたアクセスを制限しているものがあります。制限する理由として、特に危険なデータの使い方を制限するためです。
OAth の仕組み上、もともと管理者権限で個々にアクセスを制限することが可能である点に加え、100人以上のユーザがいるサードパーティアプリにおいては、Google 側が確認済みアプリとせず、信頼されないアプリとして識別されることによりコントロールされています。
アプリへのアクセスを管理
現在、Google Workspace で利用できるサードパーティアプリは、基本的にOAth2.0といわれる認証プロトコルの仕様をクリアしたものに限定することができ、各APIへのアクセス制御・承認・ブロックなどのコントロールを行うことができます。そのコントロールは、管理者が管理コンソールから、次の手順に従ってサードパーティアプリのアクセスを管理します。
■サードパーティアプリのアクセス管理方法
手順1:Google管理コンソール(admin.google.com)(管理者アカウントでのログインが必要です。)→[セキュリティ] →[API の制御] に移動。
手順2:[アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] を選択。
手順3:アプリの以下の項目の表示を確認
- アプリ名
- 種類
- ID
- 確認済みのステータス
手順4:サービスのAPIを選択(サービスの選択とほぼ同義です)
手順5:アクセス 信頼できる・限定・ブロックから管理者が選択
一方、技術者から見て害はないと判断されデータアクセスも許容できる範囲、かつOAthの仕様にも準拠しているが、Googleが確認済みとしていないアプリもあります。そういう場合は、例外的に認証し、利用できるようにする設定もあります。これは、社内開発のアプリがこれにしばしば該当します。
▲ Googleが確認済みとしていないアプリでは「アプリのステータス」が「Google 未確認」と表示されます。
社内開発のアプリは、Internal Useであることを技術文書等に明記して、アクセス権限を特定のドメインネームのユーザに限定します。これにより、Google のアプリ確認対象の例外とすること、さらにAPI利用規約違反を回避することが可能であり必要な処置です。
こうした設定も、先ほどご紹介したOAth2.0の仕組みを使うものであり、特に管理者による、Google Workspaceのアクセス権管理・ドメイン認証管理機能を使って行うものです。
APIを利用したサードパーティアプリに関しても、管理者がより事細かく承認やブロックを管理できるなど、機能強化されています。
すべてのAPIアクセスをブロック
G Suite から Google Workspace へのリブランド時に、様々な機能によりセキュリティやアクセス権の承認、ID等の認証の仕組みが強化されています。これらの仕組みにより、すべてのAPIのアクセスをブロックする厳格な運用も可能です。
特に、Google Workspace は、現在リモートワークにも多用されており、社内外のデバイスから一気にアクセスが集中していることでしょう。このすべてのAPIのアクセスをブロックするような必要性も生じる場合があると考えられます。
すべてのAPIからのアクセスをブロックしたい場合には、Google管理コンソールにて以下の設定を行うことで対応することが可能です。
■すべてのAPIアクセスを管理者がブロックする手順
手順1:Google管理コンソール(admin.google.com)ログイン(管理者アカウントでのログインが必要です。)
手順2:[セキュリティ] →[API の制御] に移動。
手順3:[アプリのアクセス制御] で [サードパーティによるすべての API アクセスをブロックする] チェックボックスをオンにして、[保存] をクリック。
Google Workspace は、管理者の権限でアクセス制御ができると同時に、APIの仕様を通じてサードパーティアプリのアクセスの制御や認証によるセキュリティが備わっています。データ活用・安全な運用など技術的なサポートが十分にあります。
このように活用の見通しが立てやすいGoogle Workspaceの安全な運用のためには、Google Workspaceにより用意された技術的な手段を使い、ユーザ主導でどこまで万全なセキュリティ対策に活用できるかがポイントとなります。
社内のリソースで対応しにくい場合は、ソリューションの導入や外注なども活用を検討しましょう。
まとめ
Google Workspace は、多彩なアプリと利便性や実用性などが魅力的である一方、データへのサードパーティアプリからのアクセス制御が問題になります。セキュリティが強化された Google Workspace は、APIへのアクセスを制御する管理コンソールを使い、安全なサードパーティアプリのみを連携させ、全面的にアクセスさせないなどの手段をとることができます。
- カテゴリ:
- Google Workspace
- キーワード:
- Google Workspace