- Cmosy 連載企画
- Google ドライブ(共有ドライブ)
Google ドライブのセキュリティアップデートの影響まとめ
こんにちは。クラウドエース編集部です。
先日、「 Google ドライブ内の一部ファイルを対象としたセキュリティアップデートがリリースされる」と、 Google からアナウンスがあったのをご存知でしょうか。おそらくですが、「なんとなく知っているけど詳細はわからない」方がほとんどなのではないでしょうか。と言いつつ・・・かく言う私も今回のセキュリティアップデートについては、あまり大きな影響はないのだろう、と初感で判断してしまい、キャッチアップに少し時間がかかってしまいました。しかし、よくよく内容を確認してみると、意外に影響範囲が大きな問題であることに気づきました。
というわけで、今回のコラムでは注意喚起の意味も込めて Google ドライブのセキュリティアップデートの影響について解説したいと思います。
どのような影響が発生するアップデートなのか
簡単に言うと、今回のアップデートは「ファイル共有のセキュリティをより強化するためのアップデート」です。具体的には Google ドライブの一部のファイルとフォルダのURLに対して「resourcekey」というパラメーターが付与されることになります。おそらく以下のようなURLフォーマットが想定されます。
https://drive.google.com/file/d/<ファイルID>/view?usp=sharing&resourcekey=xxxxxxxxxxxxxxxxxxxxxxx
影響を受けるユーザーの範囲
Google Workspace を利用している全ての企業、及び個人の Google アカウントを保持するユーザーに対して、今回のセキュリティアップデートは影響があります。
影響を受けるファイルの条件
Google Workspace Updates ブログを見ると、セキュリティアップデートの影響におけるディベロッパー向けの情報に以下のような記載が存在します。
Drive API の権限で type=domain または type=anyone が指定され、withLink=true(v2)または allowFileDiscovery=false(v3)に設定されたアイテムが影響を受けます。
この条件を逆算すれば、今回影響を受けるファイルの条件を特定することができます。まず、各パラメーターの意味はそれぞれ以下の通りです。
パラメーター | 設定値 | 意味 |
---|---|---|
type | domain | 「Google Workspace ドメイン」のメンバー全員がファイルを閲覧することができる。 |
anyone | 「リンクを知っている全員」がファイルを閲覧することができる。 | |
withLink | true | ユーザーは該当ファイルに対して Google ドライブ上でファイル検索を許可されていない。 ※type=anyoneの場合は、強制的にwithLink=trueもしくはallowFileDiscovery=falseが適用される。 |
allowFileDiscovery | false |
上記表の内容を参考に影響範囲を整理すると、以下2種類のファイル・フォルダに影響が発生することがわかります。
- 「リンクを知っている全員」に公開されているファイル・フォルダ
- 「Google Workspace ドメイン」のメンバー全員が閲覧することができ、且つリンク設定で Google ドライブ上でのファイル検索を許可されていないファイル・フォルダ
アップデート後に以前のリンクにアクセスした場合の挙動
前述した条件の共有リンクにこれまで一度もアクセスしていなかったユーザーが、2021/9/13(後述)のセキュリティアップデート適用後に、以前のリンクからアクセスを試みると、アクセス権限がない旨が表示される挙動になります。逆に言うと、ファイルを閲覧したことがある、もしくはファイルに対して権限を保持するユーザーは、リソースキーなしでアクセスすることができます。これは影響範囲を把握する上で非常に重要な情報です。
アップデートのスケジュール
Google 公式の情報を確認すると、セキュリティアップデートは以下スケジュールを想定しているようです。実際のアップデート適用期間は9/13以降になり、それまではユーザーのための準備期間になるようです。
フェーズ | 期間 | 利用者への影響 |
---|---|---|
1 | 2021/7/23より前 | 管理者が以下3つの選択肢からアップデートの適用方法を選択する(※1)。
|
2 | 2021/7/26~2021/8/25 | 影響を受けるユーザーに対し、アップデートが適用されることと、ユーザーが所有または管理するアイテムのうち影響を受けるすべてのアイテムが通知されます。管理者が許可する場合、ユーザーはそうしたアイテムからアップデートを削除することもできます。 |
3 | 2021/9/13以降 | Google ドライブでアップデートが適用され、9月末までに全てにアップデートが完了します。 |
※1 管理コンソールの [アプリ] > [Google Workspace] > [ドライブとドキュメント] > [共有設定] > [ファイルのセキュリティ アップデート] からセキュリティ アップデートの適用方法を選択することができます。
独自のシステムで Google ドライブAPIを利用している場合の影響
独自システムの中で「 Google ドライブAPIによって参照したファイルの共有リンク(※2)」をデータベース上で管理している場合、システムのユーザーはセキュリティアップデート適用後に何かしらの影響を受ける可能性があります。具体的には、データベース上で保管されている共有リンクをユーザーに踏ませる仕様になっているケースです。その場合、権限不足エラーの画面が表示される危険性があります。
※2 「影響を受けるファイルの条件は?」で説明した条件のファイルリンクを指します。
システムに対してどのような改修を行う必要があるか
Google ドライブAPIで操作可能なFilesリソースの仕様を確認すると、「resourcekey」が新たに追加されていることがわかります。しかし、 Google がWebで提供するAPIエクスプローラーでFiles APIを実行しても「resourcekey」をレスポンスパラメーターで確認することができません(2021/07/27現在、いつ頃APIが最新化されるのかは確認が取れていない状況です)。
APIのアップデートに伴い、クライアントライブラリのアップデート(resourcekeyに対応したバージョン)も場合によっては必要になるかもしれません。(そんなことはないと思いますが) Google から公式なアナウンスがない場合、resourcekeyの参照によって問題を解決するのはスケジュール的に厳しいかもしれません。その場合は、ファイルURLを直接ドライブAPIで参照する仕様に変更にすることで、システムへの影響を抑えることができるかもしれません(※3)。
※3 Files APIではファイルの共有リンクを取得することができ、アップデート以降にこのリンクフォーマットに対してresourcekeyが付与されることが担保できれば、この仕様変更で影響を抑えることができます。本仕様については現在 Google に確認中で、続報があれば本記事をアップデートする予定です。
基本的に今回のアップデートは適用した方がメリットが多い
今回の Google Workspace のセキュリティアップデートは、利用者に多少の手間を発生させるかもしれませんが、今後のファイル運用がより安全に行えるようになると考えれば、非常に効果的なアップデートになると思います。既存のファイルに対してアクセスに制限がかかると言うのは、逆に言えば不要なアクセスを防ぐことができると言うことになります。その上で、今後は新しいより安全なURLでファイル運用ができるため、 Google Workspace を導入する企業にとってメリットしかありません。
因みに、手間の話で言うと今回この記事を書くにあたって、久しぶりに Google Workspace の管理コンソールに触れたのですが、 Google Workspace の高機能性に大きな衝撃を受けました。 機能が多いと言うメリットがある反面、この管理コンソールを使いこなすのは非常に多くの知見が要求されることを実感しました。グループ会社の吉積情報株式会社は、 Google Workspace のセキュリティ設定をレビューするサービスを提供しています。今回のセキュリティアップデートを機会に改めて、自社のセキュリティ設定を見直してみるのも良いかもしれません。
Google ドライブ関連セミナーを定期開催 !
グループ会社の吉積情報株式会社では Google ドライブ 関連セミナー(オンライン)を定期開催しています! Google ドライブの最適な運用方法や安全に利活用するための拡張機能等を徹底解説します! Google ドライブに関することでお悩みがある方はぜひご参加ください。 Google 公認の技術資格を保持する登壇者が皆様のご質問にお答えします。
※セミナーへの申し込みは、バナークリック後のサイトで行うことができます。
吉積情報株式会社
TEL:03-6280-5940
メール:sales@yoshidumi.co.jp
資料ダウンロード:https://www.yoshidumi.co.jp/document/
この記事を共有する