Cloud Identityの使い所

今日の企業活動は、自社の中で全ての活動が閉じることはまれで、様々な分野で外部委託や業務委託とコラボレーションして事業活動を行うことが日常的に発生すると思います。このようなとき、メール、カレンダー、Slack、共有ドライブのようなコラボレーションや、会社の管理する各種情報システムへのアクセスを提供する必要が出てきます。このとき、委託先のメールアドレスでアカウントを発行して必要なアクセスを提供する、というやり方もありますが、たとえば、社内で開発しているプロダクトの管理画面へのアクセスにIAPをかけて、アクセス権限の厳格な管理を行っていくケースを想定すると、会社が管理するIDPからアカウントを発行して、統一したポリシーで外部委託/業務委託のアカウント統制をはかる方がベターです。インシデントの発生時や委託契約の終了時には、IDP側でアカウントをサスペンドすることで、全てのシステムのアクセス権限を止めることができる点も、統合するメリットの一つです。

弊社ではGoogle WorkspaceをIDPとして、GCPの社内システムや社外のSaaS含め、アカウントを統合管理するアプローチを採用しています。しかし、委託先含め全員にアカウントを発行するとライセンスコストが...という課題が出てくると思うので、今回の記事は、Google Workspaceをメインで使っている組織向けに、このような外部委託/業務委託におけるCloud Identityの使い所を書いてみたいと思います。

Cloud Identityを活用しよう

皆さんもご存知の通り、Google Workspaceは、100ユーザとか200ユーザの規模ではライセンスの混在ができません^[1]。テナントがEnterprise Plusを契約していたら、たとえBusiness Starterのレベルで十分なユーザがいても、GmailやCalendarが必要な場合は、Enterprise Plusのフル機能をアサインするしかありません。
しかし、外部委託や業務委託にアカウントを発行する場合は、コストをなるべく最小限に抑えたいところ。高額なフルライセンスの機能をアサインするのはもったいないし、やりたくない。こういう場合に、単価の安いライセンスを混在しようとすると、中小規模の組織の場合、選択肢に入るのは次の3つのライセンスになると思います。

1. Cloud Identity Free (無償)
2. Cloud Identity Premium (有償)
3. Google Workspace Frontline (有償)

Cloud Identityは、Googleが提供しているIDaaSで、Cloud Identity FreeとCloud Identity Premiumの2種類のライセンスが存在します。GmailやCalendarといったGoogle Workspaceの主要な機能は一切使えないのですが、Google Driveについては、共有ドライブに書き込みはできないものの、15GBまで利用できるライセンスになっています。
https://support.google.com/cloudidentity/answer/7319251?hl=ja

Cloud Identity Freeは、その名の通り無償のライセンスで、Google Workspaceを利用しているユーザであれば、保有しているライセンス数に応じて、無料である程度のボリュームのライセンスが利用できます^[2]。

2番目のCloud Identity Premiumは、Cloud Identity Freeの全ての機能に加えて、デバイス管理面が強化されたライセンスになっています。一番の魅力は、Context Aware Accessを利用できる、という点です。
3番目のGoogle Workspace Frontlineは、GmailやCalendarなど主要な機能が全て使えるライセンスです。しかし、ストレージはわずか2GBに制限されています。これは、Google DriveやGmailなど、全て合わせて2GBであり、無償版のCloud Identity Free同様、共有ドライブには書き込みができません。今日2GBなど、あっという間に使い切ってしまうので、正直業務利用ではあまり選択肢にならないかもしれません。
以上から、我々が外部委託にアカウントを発行する場合は、現在次の4パターンで発行しています。

1. フルライセンスを付与 (Gmail、Google Calendarが必須でコストを許容)
2. Cloud Identity Premium + Exchange Online Plan 1 (メールとカレンダーが必要で、機密情報アクセスがあるケース)
3. Cloud Identity Premium (メール、カレンダー不要だけど、機密情報アクセスがあるケース)
4. Cloud Identity Free (メール、カレンダー不要、機密情報を含まない情報システムへのアクセスのみ必要)

Cloud Identity FreeとPremiumの使い分けは、機密情報アクセスの保護に対して、Context Aware Accessを効かせる必要があるかないかで分けています。

Context Aware Access

Context Aware Accessを使うと、たとえば、次のようなルールを設定できます。

• 会社資産のみアクセスを許す (個人所有端末は全てブロック)
• 特定のIPアドレスからの接続のみ許可する (VPN必須、外部委託のデータセンターからのアクセスのみ許可、といった使い道)
• 特定のOSバージョンのみ接続を許可 (モバイルはブロックするけど、Win/Macは特定バージョン以上でOKとする)

ルールの適用は、Gmail、Calendar、Drive & Docs、といったGoogleのサービス単位でON/Offできるほか、Single Sign Onのために構成しているSAML Appなどにも適用できます。たとえば、SalesforceをSAML SSOで構成しているときに、外部委託は、VPN経由でなければSalesforceに接続できない、といったルールの強制を、Google側のContext Aware Accessを利用することで実装できます。
もし、ユーザが、ルールに違反するアクセスを行った場合、以下のようにGoogle WorkspaceやSAML Appのアクセスをブロックできます。

実際のルールは、デバイスやIPアドレス、Geographic locationなどを組み合わせて柔軟に記述ができます^[3]。たとえば、以下の例は、アクセス元のIPが日本、かつ、会社資産として登録されたデバイスで、OSがMacである場合に許可、といったルールになります。

画面にも注意事項として表示されているように、Device関連のポリシーを利用する場合には、Google Endpoint VerificationがChromeに入っていることが条件となり、Chrome利用が必須になります。さらに、会社資産に限定する機能を使うには、Mobile Managementの設定もAdvancedにしていないといけないので注意してください^[4]。

Google Endpoint Verificationをいちいち個別インストールしてもらうのは、あまりかしこくないやり方なので、ログインしたら自動でブラウザのProfileに展開されるように、配布を自動化してしまいましょう。
設定する場所は、Adminコンソールから、Devices > Chrome > Apps & extensions > Users & Browsersにいって、自動配布したいOUを選択します。こんな感じで、Google Endpoint VerificationをForce Installにすると、ログイン後自動で展開されます。便利。
他にも、業務委託が全員使うChrome拡張があったら、同じように設定すれば、自動配布できます。

会社資産のみアクセスを許可する

これは、Google Workspaceにアセットとしてデバイスのシリアル番号を登録することで実現できます。Company owned inventoryという項目があり、会社資産のデバイスのシリアル番号リストをCSVでインポートすることができます。機器の購入や廃棄のタイミングできちんと管理すれば、誰がどの資産を保有して使っているか、asset inventoryの管理ができるので便利です。

Context Aware Accessでは、接続元が会社資産として登録されているシリアル番号かをチェックします。そのため、前述の通り、デバイスの詳細がチェックできる、Advanced Mobile Managementが有効化されている必要があります。

特定のIPアドレスからのみ接続を許可する

Context Aware Accessでは、IPアドレスレンジが設定できます。つまり、次のようなケースで有効に活用することができます。

• データセンターのような高セキュリティエリアで個人情報を取り扱うような業務を外部に委託しているケースでは、センターのIPアドレスからのみ、google workspaceの環境にアクセスを許可したい
• 外部委託はVPN接続を必須とするべく、VPNゲートウェイのIPアドレスからのみアクセスを許可したい
• 業務委託は、弊社オフィス内部にいるときだけアクセスを許可したいので、オフィスのIPアドレスからのアクセスのみ許可したい

外部委託/業務委託を社員と混在させる場合に気をつける点

OUをきっちり分ける

Google Workspaceの機能のOn/Offや、様々なポリシーの適用はOU単位やグループで適用させるケースがほとんどです。よって、外部委託や業務委託は、OUをきっちり分けて運用しましょう。

Directoryの見える範囲を制限する

Google Workspaceのデフォルトでは、Directory検索の公開範囲がテナント内の全ユーザになっています。外部委託に対して、社員の氏名やアドレスを公開したくない、という場合、Directoryの閲覧を制限させると良いでしょう。

https://support.google.com/a/answer/9401094?hl=ja

一部の社員や同じOUの中のユーザは、Directory検索できるようにしたい、という場合は、Users in a custom directoryを選んで、Groupを使って、閲覧できるメンバーの範囲を制限できます。

使わない機能をOFFに

Googleは様々なサービスがデフォルトONの状態で提供されます。外部委託や業務委託の業務に必要のないサービスは、無効化してしまいましょう。

Google Driveの共有設定を厳し目に。

Cloud Identityでは、Google Driveの利用は可能ですが、次の制約があります。

• 共有ドライブは、Viewer権限しか付与できない
• MyDriveに置いたファイルについては一切の監査ログが提供されない

よって、MyDrive周りで可能な範囲で制限をかけておく、というスタンスになります。
Adminコンソールで、Apps > Google Workspace > Drive and Docsに入り、Sharing Settingsから、共有関連の設定を変更します。主に切るべきオプションは、外部共有を可能にするオプションと、共有ドライブ関連のオプションです。(Cloud Identity Premiumのみの場合、共有ドライブは使えないので、あまり気にする必要はありません。)

また、外部委託や業務委託にPCを配布せず、相手の環境で作業を実施する場合は、Backup and SyncやDrive for Desktopなどのアプリ経由で大量にデータ取得されないよう、機能を切っておくと良いでしょう。(Features and ApplicationsからOffにできます)

Calendarの公開範囲にも目を配る

フルライセンスを業務委託/外部委託にもアサインする場合、直接業務に関わりがない正社員のカレンダーが丸見えにならないように、デフォルトのカレンダーの公開範囲に留意しましょう。カレンダー設定のデフォルトを、組織内ユーザに対してfree/busy readerで公開するのではなく、readerの権限(詳細を閲覧可能)で設定していると、業務委託/外部委託にも、カレンダーの内容が丸見えになります。
面接の予定で氏名が入っていたりすると、「あれ、あの人転職するんだ」みたいに業務委託/外部委託に情報が筒抜けになるケースもあるので注意。

まとめ

Google Workspaceを利用している組織では、Cloud Identityをうまく活用することで、コストをおさえながら、IDP統合のメリットを享受できます。
そして、Context Aware Accessは、会社のセキュリティポリシーをエンフォースする上で有用な機能であり、Cloud Identity Premiumを利用することで、業務委託や外部委託についても、フルライセンスを使用しなくても、安全に情報システムへのアクセスを提供することができるようになります。
このCloud Identity Premiumについては、Beyond Corp Enterpriseを組み合わせると、ゼロトラストをGoogle WS/GCP利用環境で実現できるようになるので、弊社では、VPN撲滅に向けた次の取り組みとして検討しています。

Beyond Corp Enterrpiseやってみたいぜ、という方、弊社に来て色々実験してみませんか？
Ubieでは新しいことに挑戦したい方々のご応募、お待ちしております。

• コーポレートアーキテクト: https://recruit.ubie.life/jd_dev/corp_arch
• コーポレートエンジニア: https://recruit.ubie.life/jd_dev/corp_eng
• コーポレートエンジニア (Security Adnin): https://recruit.ubie.life/jd_dev/corp_sec
• リスクマネージメント: https://recruit.ubie.life/jd_dev/corp_risk_mgmt

Meetyも開けているので、お気軽にコンタクトしてください。この記事の詳細聞きたい、というのでもかまいません。

脚注

1. サポートから聞いた話だと、ライセンスの混在はサポートされているようなのですが、ユーザ数がある程度のボリュームを超えないと認められない模様。このリンクのディスカッションによると300名を超えると混在ができそう。 ↩︎

2. Google Workspaceをベンダー経由で購入していて、Cloud Identity Freeのライセンスがついてない、という場合は、ベンダーにCloud Identity Freeの追加を相談のこと。簡単な申込書を書くだけで追加してもらえる。 ↩︎

3. 最近は、GUIだけでなくCELでルールを書けるらしい。 ↩︎

4. AdminコンソールからMobile ManagementをAdvancedに設定する必要あり (DefaultはBasic) ↩︎