結論。Google Workspaceを導入している50名規模の組織で、社員が「Googleでログイン」経由で勝手にOAuth連携しているアプリの数は、IT管理者の認識より確実に多い。

筆者がコンサル先のスタートアップ(従業員50名)でGoogle Workspaceの管理コンソールを開いたとき、IT部門が把握していないOAuth連携済みアプリが40本以上出てきた。無料のタスク管理ツール、名刺管理サービス、個人利用のデザインツール。中にはGoogleドライブのファイルを読み取れる権限を持ったアプリもあった。確認と制限にかかった時間は初回で約30分、それ以降の月次チェックは10分で終わる。

「Googleでログイン」を押すだけでOAuth連携が成立する

社員がWebサービスに登録するとき、「Googleでログイン」ボタンを使うケースは多い。パスワードを新しく作る手間がなく、クリック1回で済む。便利だ。

ただし、このボタンを押した瞬間にOAuth連携が成立し、そのアプリにGoogleアカウント上のデータへのアクセス権限が付与される。デフォルト設定のGoogle Workspaceでは管理者の承認は不要で、社員は悪意なく、便利だから使っているだけ。結果として管理者が知らないアプリが積み上がる。

SaaS Career Lab(カノープス社)のレポートによれば、企業のIT部門が把握していないクラウドサービス(いわゆるシャドーIT)は、把握済みサービスの数倍に上ることもある。Assured社の2024年調査では大手企業の52.3%がクラウドサービスを100本以上利用しており、1社あたりの平均は207サービスだ。50名規模でも40〜60本のOAuth連携が存在するのは標準的なラインと読める。

リスクは3点ある。1つ目は、アプリがGmailやGoogleドライブのデータを読み取れる権限を持っている可能性。2つ目は、退職者のアカウントを削除してもOAuth連携先にデータが残り続けること。3つ目は、無料SaaSの利用規約変更でデータの取り扱い方針が突然変わるケースだ。

管理コンソールでOAuth連携アプリを一覧チェックする

確認に特別なツールは不要だ。Google Workspaceの標準機能で完結する。

  1. admin.google.com に管理者アカウントでログイン
  2. 左メニューから「セキュリティ」→「アクセスとデータ管理」→「APIの制御」を選択
  3. 「サードパーティのアプリのアクセスを管理」をクリック
  4. 「設定済みのアプリ」タブでOAuth連携アプリの一覧が表示される

各アプリをクリックすると、付与されているOAuthスコープ(どのGoogleサービスのデータにアクセスできるか)が確認できる。優先してチェックすべきは以下だ。

  • Gmail・Googleドライブ・Googleカレンダーへのアクセス権限を持つアプリ
  • 最終使用日が6ヶ月以上前のアプリ(使っていないのに権限だけ残っている)
  • IT部門が名前を聞いても用途がわからないアプリ

筆者のコンサル先では、この洗い出し作業に初回30分かかった。2回目以降は差分チェックだけなので10分で済む。作業時間を時給換算すると、IT管理者の時給3,000円で初回1,500円、月次500円。年間のコストは7,500円程度だ。CASBに200万円払う前に、まずここから始めるのが合理的な判断になる。

不要なアプリをブロックし新規連携を制限する設定

洗い出しの次は制限だ。

個別アプリのブロック

管理コンソールの「APIの制御」画面で対象アプリを選択し、アクセスを「ブロック」に設定する。ブロックするとそのアプリはGoogleデータにアクセスできなくなる。ただしアプリ側にすでに保存されたデータまでは削除されない。この点はGoogle Workspace管理者ヘルプにも明記されている。

新規OAuth連携のデフォルト制限

同じ画面の「設定」タブで、未確認のアプリに対するデフォルトの信頼レベルを「制限付き」に変更できる。この設定を入れると、管理者が事前に「信頼済み」として登録したアプリ以外は、制限付きのGoogleサービス(Gmail、ドライブ等)にアクセスできなくなる。

50名規模で筆者が推奨する運用フローは以下の4ステップだ。

  1. 業務で必要なアプリ(Slack、Zoom、Notion等)を「信頼済み」に登録する(初回1時間程度)
  2. 未確認アプリのデフォルトを「制限付き」に設定
  3. 社員が新しいアプリを使いたい場合はSlack等で申請し、管理者が承認する運用に切り替える
  4. 月1回、管理コンソールで新規連携アプリの差分を確認する(10分)

初期設定に1時間、月次運用に10分。年間の管理コストは時給3,000円で計算して約9,000円。この投資で、OAuth経由の情報漏洩リスクをほぼゼロにできると判断する。

CASB製品を入れるべき規模の損益分岐

シャドーIT対策の専用ツールとしてCASB(Cloud Access Security Broker)製品がある。Netskope、Zscaler、Microsoft Defender for Cloud Appsなどが代表格だ。全SaaSの通信を可視化・制御できる強力なソリューションだが、コストが重い。

対策初期コスト月額目安(50名)対応範囲
Google Workspace管理コンソール(標準機能)0円0円(既存ライセンス内)OAuth連携の確認・制限
Google Workspace Business Plus0円差額 約500円/人詳細ログ・DLP・Vault
CASB製品(Netskope等)50〜100万円15〜30万円全SaaSの可視化・制御

CASB製品の年間コストは最低でも200万円超になる。ROIで見ると、IT管理者がSaaS棚卸しに月8時間以上費やしている組織(年96時間×時給3,000円=約29万円)でなければ、ツール導入の投資回収は難しい。規模別に判断するなら、CASB導入の損益分岐はおおむね200名以上の組織だ。

50名規模の結論は明快で、管理コンソールの標準機能とGoogleスプレッドシートでの台帳管理で十分に対応できる。CASB製品の価格は2026年6月時点の概算であり、ベンダーのプラン改定があれば損益分岐の数字は変わる点は留意してほしい。

FAQ

Google Workspaceの無料版(旧G Suite無償版)でもOAuth連携を確認できる?

管理コンソールの「APIの制御」は有料プラン(Business Starter以上)の機能だ。無料版を使い続けている場合、2026年6月時点ではこの画面にアクセスできない。有料プランへの移行が前提になる。

すでにOAuth連携しているアプリをブロックしたら、アプリ側のデータは消える?

消えない。ブロックするとアプリからGoogleデータへの「今後のアクセス」が遮断されるが、アプリ側にすでにコピー・保存されたデータはそのまま残る。必要であれば、アプリ側で個別にアカウント削除やデータ削除を依頼する必要がある。

OAuth連携アプリの棚卸しはどのくらいの頻度でやるべき?

月1回で十分だ。筆者のコンサル先では、毎月第1営業日にIT担当者が管理コンソールを開き、前月との差分を確認する運用を定着させた。所要時間は10分程度。四半期ごとにまとめてやる方法もあるが、その場合は新規連携が溜まって確認に30分以上かかることがある。

Microsoft 365でも同じようにOAuth連携アプリを確認できる?

できる。Microsoft Entra管理センター(旧Azure AD)の「エンタープライズアプリケーション」→「同意とアクセス許可」から確認可能だ。操作の考え方はGoogle Workspaceと同じで、アプリごとに付与された権限を確認し、不要なものを取り消す流れになる。

参考文献