2023年に独立した直後、自分のGoogleアカウントを整理していて冷や汗をかいた。サードパーティ接続の一覧を開いたら、ECサイト、クラウドストレージ、タスク管理ツール、計18サービスが「Googleでログイン」だけで認証されていた。個別パスワードは未設定。つまり、Googleアカウントが止まった瞬間に18サービスへのアクセス手段がゼロになる状態だった。

結論から言う。「Googleでログイン」は便利だが、認証の単一障害点を自分で作っている。SIer時代の用語で言えば「SPF(Single Point of Failure)」そのものだ。2026年5月にはGoogleがGemini搭載の新モデレーションシステムでアカウント制限を強化した事例も報じられており、「自分のアカウントは大丈夫」という前提は崩れつつある。

ソーシャルログインの集中リスク

ソーシャルログイン(OAuth認証)は、Google・Apple・Microsoftなどのアカウントを使って外部サービスにログインする仕組みだ。ジョージ・ワシントン大学のBalashらが2022年にUSENIX Security で発表した調査によれば、対象者432人のうち89%がソーシャルログインを利用しており、86%がGoogle SSOを少なくとも1つのサービスで使っていた。

問題は「鍵が1本しかない」構造にある。

Googleアカウントが停止される原因は、利用規約違反だけではない。2年以上の未使用による自動削除ポリシー(Google公式ヘルプ、2023年5月発表)、不正アクセスによるロック、あるいは2026年5月に報告されたGeminiベースの自動モデレーションによる誤判定もある。原因が何であれ、ソーシャルログインだけに依存しているサービスには一切アクセスできなくなる。SIer時代にインフラの冗長設計で叩き込まれた原則がここでも効く。「認証手段が1つしかないサービスは、障害が起きたとき詰む」。

Google・Apple・Microsoftの連携先を確認する

まず現状の把握から始める。各プラットフォームの連携先確認ページは以下のとおりだ。

Googleアカウントの場合

  1. myaccount.google.com/connections にアクセスする
  2. 「Googleでログイン」のセクションに、ソーシャルログインで接続したサービスが一覧で表示される
  3. 各サービスをタップすると、付与している権限(メールアドレス、プロフィール情報、カレンダーへのアクセスなど)を確認できる

加えて「Google アカウントへのアクセス権がある」セクションも確認する。こちらはOAuth連携でGmailやGoogleドライブの読み取り権限を付与しているアプリの一覧だ。筆者が確認したとき、3年前に一度だけ使ったプロジェクト管理ツールにGoogleドライブの読み取り権限が残っていた。

Apple IDの場合

  1. iPhoneの場合: 設定 → 自分の名前(Apple Account) → 「サインインとセキュリティ」 → 「Appleでサインイン」
  2. Macの場合: システム設定 → Apple Account → サインインとセキュリティ → Appleでサインイン
  3. 連携済みのアプリ一覧が表示される。各アプリの「Appleでサインインの使用を停止」で連携解除が可能だ

Appleの「メールを非公開」機能を使っている場合、リレーアドレス(ランダム生成されたメールアドレス)経由で転送されている。連携を切ると、そのリレーアドレスへのメールも届かなくなる点は注意が必要である。

Microsoftアカウントの場合

  1. account.live.com/consent/Manage にアクセスする
  2. 「あなたがアクセスを許可したアプリとサービス」の一覧から、各サービスの権限を確認・削除できる

連携を整理するときの判断基準

連携先を一覧で眺めると「これ何に使ったんだっけ」というサービスが必ず出てくる。筆者の判断基準は3つだ。

1. 90日以上ログインしていないサービスは連携を切る。使っていないアプリに権限を渡し続ける意味はない。セキュリティ専門家の推奨でも90日ルールが一般的だ。

2. 現在使っているサービスは、個別パスワードを設定してからソーシャルログインを「予備」に格下げする。サービス側の設定画面で「パスワードを設定」「メールアドレスでもログイン可能にする」を探す。大半のWebサービスはソーシャルログインと並行してメール+パスワード認証を追加できる仕様になっている。

3. 決済情報が紐づいているサービスは最優先で対応する。ECサイト、サブスクリプション、クラウドストレージの有料プラン。これらはアクセスを失うと金銭的な実害が出る。SIer時代にバックアップテープを5年間取り続けていたが復元テストをしていなかったプロジェクトの話を思い出す。「使える状態を維持する」のと「存在するだけ」は根本的に違う。

依存度を下げる運用ルール

棚卸しは一度やれば終わりではない。放置すればまた同じ状態に戻る。

筆者が実践している運用は以下のとおりだ。

新規登録時のルール: ソーシャルログインで初回登録した直後に、そのサービスの設定画面でメールアドレス+パスワードを追加設定する。パスワードは1Passwordで個別生成している。所要時間は2分程度。これを習慣にしてから、Googleアカウントへの依存度は大幅に下がった。

半年に1回の棚卸し: Googleカレンダーに「ソーシャルログイン棚卸し」のリマインダーを6月と12月に入れている。独立直後にGoogleドライブの共有設定を棚卸ししたとき3件の公開リンクが放置されていた経験から、この半年サイクルが定着した。棚卸し自体は10分もかからない。

Googleの「セキュリティ診断」を併用する: myaccount.google.com/security-checkup では、端末、最近のアクティビティ、ログイン方法、サードパーティアクセスを横断的にチェックできる。連携先の棚卸しだけで満足せず、2段階認証の設定状況やリカバリ用電話番号の確認もここで済ませておくべきだ。

動かないと意味がない。この記事を読み終わったら、まずmyaccount.google.com/connectionsを開いて、自分が何個のサービスをGoogleアカウントに依存させているか数えてみてほしい。

FAQ

「Googleでログイン」を解除するとサービスのデータは消えるのか

消えない。ソーシャルログインの連携を解除しても、サービス側に保存されているデータ(投稿、購入履歴、ファイルなど)は維持される。ただし、個別パスワードを設定していない場合はログインできなくなるため、連携解除の前に必ずパスワードを設定しておく必要がある。

Apple「メールを非公開」で登録したサービスの連携を切るとどうなるか

Appleが生成したリレーアドレス(ランダムな@privaterelay.appleid.com)への転送が停止する。そのアドレスでしか登録していないサービスがある場合、パスワードリセットのメールも届かなくなる。連携解除の前に、サービス側で通常のメールアドレスに変更しておくのが安全だ。

ソーシャルログインを完全にやめるべきか

やめる必要はない。ソーシャルログイン自体はOAuth 2.0に基づく安全な仕組みであり、弱いパスワードを使い回すよりはるかに安全だ。重要なのは「ソーシャルログインしか認証手段がない」状態を避けること。個別パスワード+2段階認証を併設したうえで、ソーシャルログインを利便性のために残す運用が現実的だと判断する。

Googleアカウントが突然停止される可能性はあるのか

ある。Googleの利用規約違反(スパム、不正利用など)による停止に加え、2023年5月に発表された2年以上未使用アカウントの自動削除ポリシーも適用される。2026年5月にはGeminiベースのモデレーションシステムによるアカウント制限の強化も報じられている。リカバリ用の電話番号とメールアドレスを最新の状態に保つことが、停止時の復旧手段として最も確実だ。

参考文献