Google が提供するグループウェア Google Workspace(旧 G Suite) をご存知でしょうか。Google Workspace とは Gmail や Google ドライブ 等の Google サービスをエンタープライズ向けに拡張、パッケージングしたサービス群の総称になります。これらのサービスは無料で利用できるため、普段から利用している方も多いのではないでしょうか。そして、詳しく説明せずとも Google Workspace は Google Apps 時代も含めれば長い歴史を持つサービスですので、 Webで検索すれば数多くのコンテンツを見つけることができ簡単に詳細を学ぶことができます。
ですので、本コラムでは 「他では知ることができない Google Workspace の優れた魅力」をテーマにGoogle Workspace の関連記事を公開していきます。このコラムをキッカケに Google Workspace の新たな魅力に気づくことができれば幸いです。
Google Workspace と GCP の違いは?
Google Workspace と Google Cloud Platform (以下 GCP ) は大枠で捉えれば、同じ Google クラウドのサービスになります。しかし、両者は同じクラウドでも提供されるクラウドサービスのレイヤーが異なります。 例えば、 Google Workspace が Google ドライブ 、Google カレンダー 、GMail 等の「Webサービス」を提供するのに対して、 GCP はサーバやストレージのような「インフラ」を提供します。Google Workspace はいわゆるSaaS(Software as a Service)に分類され、 一方 GCP はIaaS(Infrastructure as a Service)やPaaS(Platform as a Service)に該当します。そのため、一見両者は全く異なる関連性のないサービスに見えるかもしれませんが、連携することでお互いのメリットをさらに強めることができます。本章以降では GCP と Google Workspace の親和性について詳しく説明します。
Google Workspace は GCP の利便性を向上させる
Google Workspace と GCP は同じ Google クラウドのサービスであるため、非常に親和性の高い仕様になっており、両サービスはお互いを補完し合うことができる特性をそれぞれ持っています。例えば、2つのサービスを活用することで以下のようにセキュリティを高めることができます。
アカウントの一元管理
GCP で構築されたシステムにおいてユーザを Google Workspace アカウントによって管理することができます。ユーザはGoogle認証によってシステムに接続することができ、システム用に新たにアカウントを管理する必要はありません。アカウント管理を全て Google Workspace に寄せることで管理者の運用負荷を軽減することができます。加えて、ユーザ認証を Google Workspace に寄せることができるため、 Google Workspace と連携するSSO(シングルサインオン)のサービスもアドオンすることが可能です。これにより、アクセスする端末やIPアドレスの制限を行うことができます。
IAMのユーザ管理
IAMとは Cloud Identity and Access Management の略で、誰がどのリソースに対して、どのようなアクセス権限(役割)を持つかを定義することができる GCP のサービスです。情報セキュリティにおいて完全性と機密性の保持は絶対条件です。ただ、リソースへのアクセス権限を人間が管理する以上、ヒューマンエラーが発生する可能性があります。そこで、 Google Workspace を利用すればリソースへのアクセスユーザを Google グループによって管理することができます。ユーザ管理をGoogle グループに寄せることができるため、同一ドメインのユーザのみ権限を付与させる等のアクセス制御も可能です。
ファイルストレージとしての Google ドライブ
Google Workspace と GCP の違いについて「Google Workspace はWebサービスを提供し、GCP はインフラやAPIを提供する」と説明しましたが、Google Workspace のサービスは(全てではないですが)APIも公開しています。 例えば、Google ドライブAPIを利用すれば、GCP で構築されたシステムから Google ドライブ にファイルを転送することが可能です。このとき、GCP から Google ドライブへのファイル転送には料金は発生しません。その理由は同じ Google サービス間の転送には課金が発生しないからです。また、Google ドライブ をストレージとして活用することで、結果 Google Workspace のセキュリティによってファイルを管理することができます。さらに Google Workspace はBusiness以上の契約の場合、ストレージ容量が無制限になるため、容量について心配する必要もなくなります。GCP で Google Cloud Storage を利用する場合、従量課金でストレージ料金が発生しますが、 Google ドライブは定額を払えば無制限でストレージを利用することができます。これは Google ドライブを利用する上で一番大きなメリットかもしれません。また、Google ドライブ に転送されたファイルをセキュアに運用するサービスとしてクラウドエースでは 「Cmosy」というサービスを提供しています。Cmosyを利用すれば、Google Workspace のセキュリティポリシーを保持した状態でセキュアにファイルを社外に共有することが可能です。GCP / Google Workspace にCmosyをアドオンすることでよりセキュアなファイル共有を実現することができます。ファイル共有のセキュリティについてご興味がある場合は是非ご参考ください。
GCP は Google Workspace の機能補完をおこなう
GCP を利用すれば Google Workspace の機能をさらに拡張させることができます。具体的には Google ドライブやカレンダーといったアプリケーションのデータに自社のアプリケーションからアクセスすることができるようになります。設定も非常に簡易です。GCP の管理コンソール上で発行したサービスアカウント(クライアントID)をAPIスコープ(どのリソースにどの権限でアクセスするかを定義するためのスコープ)と一緒に Google Workspace の管理画面に登録するだけです。
監査ログの保管
Google Workspace の監査ログ( Google ドライブやカレンダー等々)には有効期限があります。GCP を利用すれば、API経由で BigQuery といったデータベースにログを永続化することができます。BigQuery にログをインポートすれば、SQLによってユーザの行動を詳細に解析することができます。また、データポータルを利用すればログを可視化することも可能です。もちろん、Google Workspace の管理画面上でもログの検索・閲覧は可能ですが、GCP を利用することでさらに詳細な解析を行なうことができます。
ログの監視とアラート
監査ログを GCP 上で管理することができれば、独自のアラート機能を実装することも可能です。例えば、特定のフォーマット、タイトルのファイルが Google ドライブからダウンロードされた場合に管理者に通知を行なうようなことも可能です。これにより Google Workspace のセキュリティをさらに高めることができます。まさに GCP は Google Workspace では満たせない要件を開発によって補うことができるプラットフォームと言えます。
まとめ
このように、GCP と Google Workspace は非常に親和性の高いサービスと言えます。Google Workspace によって GCP のセキュリティを向上させることもできますし、逆に Google Workspace で足りない要件を GCP によって満たすこともできます。2つのサービスを組み合わせて利用することでよりセキュアなシステム構築や運用が可能になります。自社のセキュリティをさらに高めるために是非 Google Workspace のご利用を検討してみては如何でしょうか。
