Google は 2025 年 4 月 23 日に、企業および教育機関の管理者向けに Chrome ブラウザの最新バージョンとなる Chrome 136 のリリースノートを公開しました。このアップデートには、セキュリティ強化、ユーザー体験の向上、管理機能の拡充など、多岐にわたる変更が含まれています。
本記事では、Chrome 136 で追加・変更された管理者向けの主なポイントをまとめて紹介します。
Chrome ブラウザの主なアップデート
Google レンズの結果表示変更 (iOS)
デバイスのカメラやウェブ上の画像検索から Google Lens を利用した際の検索結果が、画面下部からスライドするネイティブ UI パネルに表示されるようになりました。以前は新しいタブのウェブページで表示されていました。この動作は既存の LensCameraAssistedSearchEnabled ポリシーで制御可能です。
ユーザーの利便性は向上しますが、業務に関係ない利用が増えないか、ポリシーによる制御を検討しましょう。
悪意のある APK ダウンロードチェック (Android)
Chrome でダウンロードされた Android パッケージキット (APK) ファイルについて、安全性を確認するために Google へ情報が送信されるようになります。これはテレメトリのみの実験的な段階であり、現時点では警告表示やダウンロードブロックは行われません。このチェックは、Google セーフブラウジングの拡張保護機能に登録しているユーザーのみが対象です。SafeBrowsingProtectionLevel ポリシーで無効化できます。
将来的なモバイルマルウェア対策強化に向けた動きです。現時点での影響は少ないですが、拡張保護機能の利用状況を確認しておくと良いでしょう。
Chrome Tips のプロアクティブ通知 (iOS)
数日間 Chrome を使用していない iOS ユーザーに対して、役立つ機能 (Google レンズや拡張セーフブラウジングなど) を紹介する Chrome Tips がプロアクティブに通知されるようになります。これは Chrome 137 で利用可能になる ProvisionalNotificationsAllowed ポリシーでオフにできます。
ユーザーへの機能周知には役立ちますが、通知が不要な場合は次期バージョンでポリシー設定が必要です。
リモートデバッグ時のカスタムデータディレクトリ要求
セキュリティ強化のため、Windows、Linux、macOS において、TCP ポートまたはパイプ経由でのリモートデバッグを行う際に、デフォルトのデータディレクトリが使用できなくなりました。 --remote-debugging-pipe または --remote-debugging-port スイッチを使用する場合は、--user-data-dir スイッチでカスタムデータディレクトリを指定する必要があります。
開発部門やデバッグを行うユーザーがいる場合、手順の変更が必要です。情報窃取マルウェア対策として重要な変更点です。
訪問済みリンク履歴のパーティショニング
ユーザーの閲覧履歴漏洩を防ぐため、リンク要素 (<a>) が訪問済みとしてスタイル付けされるのは、現在のトップレベルサイトおよびフレームオリジンからクリックされた場合に限定されます。これにより、サイドチャネル攻撃による情報漏洩のリスクが低減されます。
これはプライバシー保護の強化であり、管理者側での対応は基本的に不要ですが、ユーザー体験に若干の変化がある可能性があります。
その他の変更
- CSS の
attr()関数のtype引数におけるstringキーワードがraw-stringに変更されました。 ProgressEventのloadedおよびtotal属性の型がunsigned long longからdoubleに変更されました。- いくつかの新しいポリシーが追加され (
OnSecurityEventEnterpriseConnector,WebAuthenticationRemoteDesktopAllowedOriginsなど)、一部のポリシー (ThirdPartyBlockingEnabled,ProfilePickerOnStartupAvailability) が削除されました。
新しいポリシーを確認し、必要に応じて設定を見直しましょう。削除されるポリシーに依存した運用がないか確認が必要です。
Chrome Enterprise Core のアップデート
管理対象デバイスでのリモートデスクトップクライアント向け WebAuthn サポート
新しい WebAuthenticationRemoteDesktopAllowedOrigins ポリシーにより、管理者は特定のオリジンからの WebAuthn リクエストを許可できるようになり、ユーザーはローカルのセキュリティキーやパスキーを使用してリモートホスト上のウェブサイトに安全にアクセスできます。
リモートデスクトップ環境での認証セキュリティと利便性が向上します。利用環境に合わせて許可オリジンの設定が必要です。
Chrome Enterprise Premium のアップデート
新しいレポートコネクタ (CrowdStrike Falcon Next-Gen SIEM)
Chrome Enterprise のレポートコネクタとして、新たに CrowdStrike Falcon Next-Gen SIEM が追加されました。管理者は管理コンソールでこれを設定し、Chrome のイベントデータを CrowdStrike に転送して、セキュリティ監視と分析を強化できます。
SIEM 連携の選択肢が増えました。CrowdStrike を利用している場合は連携を検討する価値があります。
【スクリーンショットプレースホルダー: CrowdStrike Falcon Next-Gen SIEM 設定画面】
URL フィルタリング機能 (Android)
WebProtect の URL フィルタリング機能が Android に拡張されました。管理者は EnterpriseRealTimeUrlCheckMode ポリシーを使用して、管理対象の Android デバイスで URL のブロック、警告、監査ルールを適用できます。
デスクトップと同様の URL フィルタリングが Android でも可能になり、モバイルデバイスのセキュリティポリシー適用が強化されます。Premium ライセンスが必要です。
【スクリーンショットプレースホルダー: Android での URL ブロック/警告画面】
今後の主な変更予定
Private Network Access (PNA 1.0) ポリシーの削除
InsecurePrivateNetworkRequestsAllowedForUrls と InsecurePrivateNetworkRequestsAllowed は Chrome 135 で、PrivateNetworkAccessRestrictionsEnabled は Chrome 137 で削除される予定です。PNA 2.0 への移行が進められています。
PNA 1.0 関連ポリシーを設定している場合は、影響と PNA 2.0 への対応を確認する必要があります。
--load-extension コマンドラインスイッチの削除
Chrome 137 以降、セキュリティと安定性向上のため、公式の Chrome ブランドビルドではこのフラグを使用した拡張機能の読み込みが非推奨となります。
開発目的などでこのフラグを利用している場合、代替手段(拡張機能管理画面 (chrome://extensions/) からの読み込みなど)への移行が必要です。Chromium や Chrome for Testing では引き続き利用可能です。
SwiftShader フォールバックの削除
Chrome 137 以降、WebGL が SwiftShader (ソフトウェアレンダラ) に自動的にフォールバックする機能が削除されます。macOS/Linux では無効化、Windows では WARP に置き換えられます。
GPU 非搭載環境での WebGL 利用に影響が出る可能性があります。代替手段の確認が必要です。開発者は --enable-unsafe-swiftshader フラグで有効化できますが、セキュリティリスクが伴います。
Manifest V3 への移行
2024 年 6 月から Manifest V2 拡張機能が段階的に無効化されます。ExtensionManifestV2Availability ポリシーにより 2025 年 6 月まで V2 を有効にできますが、その後ポリシーは削除されます。
V2 拡張機能の利用状況を確認し、V3 への移行計画を立てる必要があります。猶予期間はありますが、早めの対応が推奨されます。管理コンソールの「アプリと拡張機能の使用状況」でバージョンを確認できます。これは特に重要な変更点です。
macOS 11 サポート終了
Chrome 138 が macOS 11 をサポートする最後のバージョンとなり、Chrome 139 以降は macOS 12 以上が必要になります。
macOS 11 を利用しているユーザーには OS のアップデートを促す必要があります。未対応 OS では Chrome のアップデートが停止し、セキュリティリスクが高まります。
SafeBrowsing API v4 から v5 への移行
Chrome 145 で、Safe Browsing の API 呼び出しが v4 から v5 に移行されます。
ネットワークフィルタリング等で Safe Browsing (https://www.google.com/search?q=safebrowsing.googleapis.com) への通信を URL パス (/v4/* など) で厳密に許可している場合、/v5/* またはドメイン全体への許可に見直さないと、セーフブラウジング機能が動作しなくなる可能性があります。
Android での Bluetooth 経由 Web Serial
Chrome 137 で、Web ページや Web アプリが Android デバイス上の Bluetooth シリアルポート (RFCOMM) に接続できるようになります。
特定のハードウェア連携(計測器、POS 端末など)で Bluetooth シリアル通信を利用する Web アプリがある場合、この機能が活用できます。既存の Serial 関連ポリシー (DefaultSerialGuardSetting など) が適用されます。
Isolated Web Apps (IWA)
Web Bundle を使用してパッケージ化・署名された新しい形式の Web アプリです。当初は管理ポリシー経由でのみインストール可能で、ChromeOS 向けに提供され、Chrome 140 で Windows 対応予定です。
セキュリティが重要なアプリケーションを、サーバー侵害のリスクを低減しつつ配布・実行する新しい選択肢です。今後の動向に注目です。
Windows での UI Automation アクセシビリティフレームワークプロバイダー
Chrome 126 から段階的に、Windows の UI Automation フレームワークを直接サポートします。これにより、スクリーンリーダー (ナレーター) や拡大鏡などのアクセシビリティツールとの連携が改善されます。
アクセシビリティツール利用者のユーザー体験が向上します。互換性問題が発生した場合、Chrome 146 までは UiAutomationProviderEnabled ポリシーで一時的に無効化できます。サードパーティ製ツールとの互換性確認が必要になる場合があります。
その他の技術的な変更予定
- 支払い WebAuthn 認証情報作成時のエラータイプ変更 (Chrome 137): 特定条件下でのエラータイプが
SecurityErrorからNotAllowedErrorに修正されます。 - Blob URL パーティショニング (Chrome 137): Blob URL へのアクセスがストレージキー(トップレベルサイトなど)でパーティション化されます。
PartitionedBlobURLUsageポリシーで一時的に無効化可能です。 - Happy Eyeballs V3 (Chrome 138): ネットワーク接続の遅延を削減するための内部的な接続アルゴリズムの改善です。
HappyEyeballsV3Enabledポリシーで制御可能です。 - Storage Access API の Strict Same Origin ポリシー (Chrome 138): API の動作がより厳密な Same Origin ポリシーに従うようになります。
- Web App Manifest の update_token (Chrome 138/139): Web アプリの更新プロセスをより予測可能にするためのフィールド追加とアルゴリズム更新です。
- 非 file:// URL ホストでのスペース禁止 (Chrome 141): URL 仕様に準拠するため、
file://スキーム以外の URL ホスト名でスペースが許可されなくなります。
IP アドレスのログ記録とレポート
Chrome 137 で、セキュリティ監視とインシデント対応のため、ローカルおよびリモート IP アドレスを収集・レポートする機能が追加される予定です。Security Investigation Tool (SIT) やレポートコネクタ経由で SIEM に送信可能です。
インシデント発生時の追跡に必要な情報が増えます。プライバシーへの影響を考慮し、必要に応じて設定を確認しましょう。
非アクティブなプロファイルの削除
Chrome 138 (2025 年 6 月) から、管理コンソールで定義された期間以上非アクティブな管理対象プロファイルが自動的に削除されるようになります。デフォルトは 90 日です。
管理対象プロファイルの棚卸しに繋がりますが、意図せず削除されないよう、非アクティブ期間の設定値(デフォルト 90 日、最小 28 日、最大 730 日)を組織に合わせて検討しましょう。ポリシー値を下げると既存プロファイルが対象になる可能性があります。
複数 ID サポート (iOS)
Chrome 138 で、iOS における複数アカウント(特に管理対象アカウント)のサポートが導入され、仕事用と個人用でプロファイルが分離されます。
iOS での業務利用におけるデータ分離が強化されます。既存のポリシー (ProfileSeparationDataMigrationSettings, BrowserSignin など) で管理可能です。
Google Agentspace の推奨事項 (オムニボックス)
Chrome 139 で、管理者が Google Agentspace からの企業内検索結果(人物、ファイルなど)をアドレスバーに表示できるようになる予定です。
社内情報へのアクセス性が向上します。キーワードによるトリガーも可能です。EnterpriseSearchAggregatorSettings ポリシーでの設定が必要です。
URL フィルタリング機能 (iOS) : Chrome Enterprise Premium
Chrome 137 で、WebProtect の URL フィルタリング機能が iOS に拡張される予定です。
Android に続き iOS でも URL フィルタリングが可能になります。BYOD デバイス管理などでの活用が期待されます。Premium ライセンスが必要です。
まとめ
以上が、Chrome Enterprise および Chrome Education リリースノートにおける Chrome 136 のリリース概要となります。
記事執筆時点(2025 年 4 月 30 日)では、英語でのみ Chrome 136 のリリースノートが公開され、日本語はまだ更新されていません(見出しは 136 ですが、内容は 135 のままでした)。一方、ChromeOS に関しては英語・日本語とも ChromeOS 135 のリリース概要のみとなっています。こちらも更新され次第、変更内容の紹介をまとめます。
詳細については、公式のリリースノートをご参照ください。
