テレワークやBYODが一般に普及しつつある昨今、企業が管理すべきセキュリティ領域は、オフィスや自宅といったさまざまな環境で従業員が利用するパソコン・モバイル端末(エンドポイント)へと広がりを見せています。セキュリティ上の脅威を防ぐには、このような多様な端末をいかに統制し一元管理できるかが重要な鍵を握っています。
今回紹介するGoogle Workspace搭載のエンドポイント管理は、端末情報の一元管理や可視化、リモートワイプなど、さまざまな機能が統合されたセキュリティツールです。GmailやGoogleドライブといったGoogleアプリとの親和性が高く、ログイン時のなりすましや不正アクセスといったセキュリティリスクの抑制につながります。本記事では、Google Workspaceのエンドポイント管理機能の特徴や仕組み、メリットなどを詳しく解説します。具体的なできることも9つのポイントに分けて紹介しているので、ぜひ参考にしてください。
Google Workspaceのエンドポイント管理機能の概要・仕組み
まずは、Google Workspaceの基礎知識や、そのなかに含まれているエンドポイント管理機能の概要を解説します。
Google Workspaceの基礎知識
Google Workspaceとは、GmailやGoogleドライブ、Google Meetなど、さまざまなGoogle製コミュニケーションアプリが統合されたグループウェアです。
それぞれのアプリが有料版にアップグレードされ機能が拡張する(Gmailの独自ドメインやGoogle Meetの録画など)ほか、Googleドライブのストレージ容量も組織単位で管理できるようになります。また、組織全体のアカウントや権限情報などを一括設定できる「管理コンソール」や、機密情報を独自に保持・アーカイブできる「Google Vault」など、セキュリティ・ガバナンス強化につながる豊富な機能を活用できる点も特徴です。
このような点から、Google Workspaceを導入すれば、情報漏洩や不正利用のリスクを軽減して安全性を確保しつつ、社内コミュニケーションの円滑化や属人化の抑制といったメリットが生まれます。組織向けの機能やサポートも充実しているため、従業員が個々でGoogleアプリを使用する場合に比べ、業務の効率性やチームの統制力も高められるでしょう。
Google Workspaceのエンドポイント管理機能の概要
エンドポイントとは、ネットワークで情報をやり取りする際の「終点(エンドポイント)」にあたる、従業員が実際に使用するパソコンやスマートフォン、タブレットなどの端末を指します。Google Workspaceでは、このような各ユーザーが使用する端末を管理コンソール上で一元管理できます。
Google Workspaceを活用すれば、各種Googleアプリを使ってクラウド上でコミュニケーションを取れるため、さまざまな場所から多様な端末でアクセスするケースも珍しくありません。しかし、そのなかにはOSが更新されていない、あるいはセキュリティパッチ未適用の端末が含まれていることもあり、セキュリティ上の脅威が高まる恐れもあります。
その点、エンドポイント管理機能では、ユーザー一人ひとりの使用端末のアクセスログや操作履歴を一目で把握できるほか、コンテキストアウェアアクセスやリモートワイプといった仕組みも備わっています。そのため、なりすましや不正アクセス、シャドーIT、端末紛失など、テレワークやBYODの際に生じやすいセキュリティリスクの抑制が可能です。
Google Workspaceのエンドポイント管理機能によってできること9選
Google Workspaceのエンドポイント管理機能を活用すると、主に次のようなことが可能になります。
- デバイスインベントリ
- デバイスレポート
- 監査ログ
- MDM(モバイル端末管理)
- コンテキストアウェアアクセス
- アクセス制御
- リモートワイプ
- SSO(シングルサインオン)
- モバイルアプリ配布
それぞれの特徴や仕組みについて詳しく解説します。
デバイスインベントリ
デバイスインベントリは、Google Workspaceに登録されている端末をリスト形式で表示できる機能です。パソコン・モバイル端末にかかわらず、端末の機種やOSのバージョン、最後に同期した日時、データにアクセスしたユーザー名などの情報が一覧で表示されます。
Google Workspaceに対する簡易的なアクセス状況を一目で把握できるだけでなく、このリストから同期無効化やリモートワイプなどの操作をワンクリックで実行できる点も特徴です。また、機種名やユーザー名などの条件を指定して端末を検索したり、デバイスインベントリをリスト形式でCSVファイルとしてダウンロードしたりと、さまざまな形で活用できます。
デバイスレポート
デバイスレポートでは、デバイスインベントリでは確認できない端末のより詳細な情報を表示します。過去7日・30日間にアクティブだった管理対象端末の数やユーザー数、Android・iOS別のアクティブ端末数、バージョン別のChromeデバイス数などの情報が代表的です。
また、Google Workspaceの一部エディションでは、モバイル端末の詳細レポートも参照できます。詳細レポートでは、Google Workspaceに登録されているモバイル端末のIDやシリアル番号、所有権、OS種別、IMEI、Wi-Fi MACアドレスなど、端末の仕様に関する具体的な情報を取得可能です。
監査ログ
監査ログは、Google Workspace内のアクセスログや操作ログといったアクティビティを確認できる機能です。特定のイベントが発生した際の日時や端末の種別・所有者、リソースID、シリアル番号、Googleアカウント名など、ログの出力や検索によって、「誰が・いつ・何を・どのように行ったか」といった詳細な行動履歴を追跡できます。なりすましや不正アクセスなどのリスクを即座に検知し、速やかに対策を実施できるメリットがあります。
MDM(モバイル端末管理)
Google Workspaceのエンドポイント管理では、組織内で使用中のパソコンも管理対象に含まれますが、なかでも特にスマートフォンやタブレットなどモバイル端末の機能が充実しています。エンドポイント管理内のMDM(Mobile Device Management/モバイル端末管理)に、スマートフォン・タブレット管理向けの機能が集約されています。
MDMには、基本管理機能と詳細管理機能の2種類があり、Google Workspaceのエディションによって利用可能範囲が異なります。詳細管理機能を利用するには、Business Plus以上のエディションへの契約が必要です。
| 機能の名称 | 概要 | 基本管理 | 詳細管理 |
| エージェントレス型管理 | モバイル端末へのソフトウェアのインストール不要で、パスコード設定の必須化やアカウントのリモートワイプなどを適用できる | ○ | - |
| デバイスインベントリ | モバイル端末の基本情報をリスト形式で表示 | ○ | ○ |
| モバイルレポート | モバイル端末の詳細な情報をレポート形式で表示 | ○ | ○ |
| 監査ログ※ | Google Workspaceにおけるモバイル端末のアクティビティを可視化 | ○ | ○ |
| 基本的なパスコード適用 | パスワードでのログインの必須化・無効化を切り替え | ○ | ○ |
| 標準型・強化型のパスコード適用 | 複雑で強固なパスワードを使ったログインの必須化・無効化を切り替え | - | ○ |
|
不正使用からの保護 |
2段階認証の有効化・無効化 | ○ | ○ |
| アカウントのリモートワイプ | モバイル端末を紛失した場合、その端末内のアカウントに関するデータを消去できる | ○ | ○ |
| 端末のリモートワイプ | モバイル端末を紛失した場合、その端末内のあらゆるデータを消去できる | - | ○ |
| 端末管理ルール※ | 管理タスク自動化のルールを設定 | ○ | ○ |
| セキュリティポリシー | 管理者承認済みのモバイル端末のみ利用可や、カメラの利用許可などのポリシーを設定 | - | ○ |
| 端末のブロック | ブロック(非同期状態化)の有効化・無効化 | ○ | ○ |
| 端末の承認 | モバイル端末からGoogle Workspaceへのアクセス時、管理者の承認を求めるか否かを設定 | - | ○ |
| Androidアプリの管理 | Android端末でインストールできるアプリの管理 | ○ | ○ |
| iOSアプリの管理 | iOS端末でインストールできるアプリの管理 | - | ○ |
| Android端末の一括登録 | Android端末におけるゼロタッチ登録の設定 | - | ○ |
| iOS端末の一括登録※ | iOS端末におけるゼロタッチ登録の設定 | - | ○ |
| Androidの仕事用プロファイル | 従業員個人が所有するAndroid端末の仕事用プロファイルを作成・管理 | - | ○ |
※エディションによる利用制限あり
コンテキストアウェアアクセス
コンテキストアウェアアクセスとは、ユーザーや端末のリアルタイムな状況(コンテキスト)を読み取って、Google Workspaceへのアクセス権を動的かつ柔軟に変更できる機能です。ユーザー属性や端末の情報、アクセス場所、時間帯など、複数の条件を組み合わせて独自のアクセス制御の環境を構築できます。
例えば、「営業部門のマネージャー(ユーザー属性)が、Windows 11のパソコン(端末の情報)からログインした場合のみ、アクセスを許可する」といった設定が可能です。「AND(かつ)」や「OR(または)」を使って自由に条件を設定できるため、きめ細かなアクセス制御が実現します。
アクセス制御
先ほど紹介したコンテキストアウェアアクセスは、一部のエディションのみに解放されている高度なセキュリティ機能です。ただし、この機能を利用しない場合でも、Google Workspaceにはあわせて一般的なアクセス制御機能も搭載されています。
例えば、管理コンソールで一つひとつの端末を承認設定しておけば、未承認の端末からのアクセスを自動でブロックできます。そのほか、ログイン時のパスワード入力を必須化したり、サードパーティアプリからのアクセスを制限したりと、さまざまな設定が可能です。
リモートワイプ
リモートワイプとは、紛失や盗難に遭った端末内のデータを遠隔から消去する機能です。工場出荷前の状態に戻すことも可能なので、第三者によるデータの改ざんや削除、情報漏洩といったセキュリティリスクを防げます。
Google Workspaceでは、端末内のアカウントに関するデータを消去できる「アカウントのリモートワイプ」と、端末内のあらゆるデータを消去できる「端末のリモートワイプ」の2種類の機能が用意されています。このうち端末のリモートワイプでは、仕事用プロファイルが未設定の場合、個人データやインストール済みのアプリも削除されてしまうので注意が必要です。
SSO(シングルサインオン)
SSO(シングルサインオン)とは、Google Workspaceのアカウントを使って別のシステムやアプリケーションにログインできる機能です。Google Workspaceでは、SAML (Security Assertion Markup Language)のプロトコルを用いたフェデレーション方式と呼ばれる認証方式を採用しています。
SSOの仕組みにより、別のシステムやアプリケーションへのログイン時、Google WorkspaceのログインIDやパスワードをそのまま使用できるため、別途ログイン情報を作成・管理する必要がありません。結果としてアカウント管理の円滑化や効率化につながります。
モバイルアプリ配布
Google Workspaceでは、管理コンソールのアプリリストにモバイルアプリを追加することで、ほかのユーザーがインストールできるため、モバイルアプリ配布機能として効果的です。
Androidアプリだけでなく、iOSアプリや限定公開アプリなども自由にリストへ追加できます。インストール可能なユーザーやグループ、アプリ実行時の権限、アクセス制御といった細かい設定を行えるため、安全性を損なうことなくスムーズなモバイルアプリの配布が可能です。
Google Workspaceのエンドポイント管理機能を活用する3つのメリット
Google Workspaceのエンドポイント管理機能を活用すると、セキュリティ対応の迅速化やコスト・工数の抑制など、さまざまなメリットが期待できます。具体的なメリットを3つのポイントに分け、以下で詳しく解説します。
潜在的な脅威に素早く対処できる
Google Workspaceのエンドポイント管理機能の大きな特徴は、業務で使用する端末のさまざまな情報を可視化できる点です。
Google Workspaceの管理コンソールには、デバイスインベントリやデバイスレポート、監査ログなどの機能が用意されており、端末の種類からOS、アクティブ数、操作履歴まで、あらゆるデータが可視化されます。このような情報を定期的に監視することで、不審なアクティビティや不明な属性情報を即座に発見し、できるだけ早いタイミングで対策を講じられます。
一つのプラットフォームでエンドポイント管理が完結する
Google Workspaceには、エンドポイント管理に関する幅広い種類の機能が搭載されています。特にBusiness PlusやEnterpriseといった上位エディションには、高度なエンドポイント管理機能やエンタープライズ向けエンドポイント管理機能が含まれています。
このように一つのプラットフォームでエンドポイント管理が完結することから、UEM(統合エンドポイント管理)やMDM、EDRなど、別のアプリケーションを導入する必要がありません。導入時の手間を抑えたり、追加費用を減らして運用コストの最適化を図れたりするのは、Google Workspaceのエンドポイント管理機能を活用する大きなメリットです。
テレワークやBYODといった新たな制度を取り入れやすい
従業員の個人端末を業務で使用する際、セキュリティリスクや管理コストが障壁となって、テレワークやBYODといった新たな制度導入に踏み切れないケースも少なくありません。しかし、Google Workspaceのエンドポイント管理機能活用すれば、このような問題を解消できる可能性が生まれます。
例えば、個人用のスマートフォンやタブレットでも、企業のセキュリティポリシーを柔軟に反映できるほか、不審なアクティビティもリアルタイムで検知可能です。GmailやGoogleドライブといった各種アプリに即したアクセス制御も可能なので、社内コミュニケーションを阻害することなく安全性を高められます。そのため、テレワーク・BYODの環境下でも対応しやすく、新制度導入の障壁を気にせずに済みます。
Google Workspaceのエンドポイント管理機能の種類・料金
Google Workspaceのエンドポイント管理機能は、次の3つの種類に分類されます。
- 基本のエンドポイント管理機能
- 高度なエンドポイント管理機能
- エンタープライズ向けエンドポイント管理機能
それぞれ搭載されている細かい機能が異なり、より上位エディションになるほどできることが増える仕組みです。種類ごとの特徴や利用料金などを解説します。
基本のエンドポイント管理機能
基本のエンドポイント管理機能は、Google Workspaceに標準搭載されており、ほとんどすべてのエディションで利用できます。
| 分類 | 機能 |
| セキュリティ設定 | ・モバイル端末の基本的なパスコード適用 ・Windows用Google認証情報プロバイダ |
| 端末管理 | ・MDMの基本管理機能 ・パソコンの基本管理機能 ・エンドポイントの確認 ・パソコン版Googleドライブのアクセス制御 ・パソコンのリモートログアウト |
| アプリ管理 | ・一般公開と限定公開のAndroidアプリの配布 |
| 端末の詳細 | ・デバイスインベントリ(パソコン) ・デバイスレポート |
【利用可能なエディション】
- Business Starter:月額800円/ユーザー
- Business Standard:月額1,600円/ユーザー
- Business Plus:月額2,500円/ユーザー
- Enterprise:要問い合わせ
高度なエンドポイント管理機能
高度なエンドポイント管理機能では、基本のエンドポイント管理機能に加え、次のような機能も拡張されます。
| 分類 | 機能 |
| セキュリティ設定 | ・標準型・強化型のパスコード適用 ・モバイル端末のセキュリティポリシー ・モバイル端末のネットワーク管理 ・Android端末の仕事用プロファイル |
| 端末管理 | ・MDMの詳細管理機能 ・Windows端末の管理機能 |
| アプリ管理 | ・一般公開のiOSアプリの配布 ・限定公開のAndroidウェブアプリの配布 |
| 端末の詳細 | ・モバイル端末の詳細レポート |
【利用可能なエディション】
- Business Plus:月額2,500円/ユーザー
- Enterprise:要問い合わせ
エンタープライズ向けエンドポイント管理機能
エンタープライズ向けエンドポイント管理機能では、基本のエンドポイント管理機能と高度なエンドポイント管理機能に加え、次のような機能も拡張されます。
| 分類 | 機能 |
| セキュリティ設定 | ・iOS端末のデータ保護 ・モバイル端末の証明書 ・コンテキストアウェアアクセス |
| 端末管理 | ・iOS端末の一括登録 ・管理ルール ・BeyondCorpパートナーとの連携 |
| アプリ管理 | ・限定公開のiOSアプリの配布 |
| 端末の詳細 | ・デバイスインベントリ(モバイル端末) ・監査ログ ・使われていない会社所有端末に関するレポート |
【利用可能なエディション】
- Enterprise:要問い合わせ
エンドポイント管理機能を活用してGoogleアプリの安全性を高めよう
Google Workspaceに搭載されているエンドポイント管理機能を活用することで、GmailやGoogleドライブといったGoogleアプリを利用する際の安全性を向上できます。具体的には、Google Workspaceにアクセスする端末の情報やアクティビティを可視化できるほか、企業のセキュリティポリシーをすべての端末に一括で反映可能です。リモートワイプやSSOといった高度な機能も搭載されており、エンドポイント管理のほとんどの手続きがワンストップで完結します。
ただし、エディションによって利用可能な機能が異なる点には注意が必要です。そのため、目的や利用範囲を明確にしたうえで最適なエディションを選択しましょう。また、すでにGoogle Workspaceを導入済みの場合は、この機会に契約中のエディションを見直してみてはいかがでしょうか。
電算システムでは、導入支援や移行計画策定サポート、環境構築支援など、Google Workspaceの導入・運用に関するさまざまな支援サービスを提供しています。Googleの認定パートナー(代理店)として、3,000社以上の支援実績を誇ります。
Google Workspaceを導入するにあたり、どの代理店に依頼すべきか悩んでいる企業担当者の方も多いのではないでしょうか。以下の資料で代理店の役割や代理店選びのポイント、価格比較などを解説しているので、ぜひ参考にしてみてください。
- カテゴリ:
- Google Workspace
- キーワード:
- Google エンドポイント管理
