Google は 2026 年 5 月 28 日(現地時間)、Windows 版 Chrome ブラウザにおけるセッション Cookie の保護機能「Device Bound Session Credentials (DBSC)」を、Google Workspace ユーザーおよび個人 Google アカウントのユーザーに向けて正式に一般展開すると発表しました。
DBSC は 2026 年 4 月に Chrome 146 で一般公開されており、今回の発表は Workspace 向け展開の開始を改めて告知するものです。展開はすでに 2026 年 5 月 25 日(現地時間)から段階的に始まっており、最大 60 日以内に完了する見込みです。
DBSC とは
DBSC は、ログイン後のセッション Cookie をユーザーが認証したデバイスに暗号的に紐付けるセキュリティ機能です。
セッション Cookie とは、ウェブサイトがユーザーのログイン状態を記憶するために使用する小さなファイルで、マルウェアによって盗み出されるとパスワードや二段階認証を設定していてもアカウントを乗っ取られる危険性があります。
デバイスへの紐付けで盗んだ Cookie を無効化
DBSC では、Windows の TPM (Trusted Platform Module) を利用してデバイス固有の鍵ペアを生成し、セッションをそのデバイスに結びつけます。
仮にマルウェアが Cookie を抜き出した場合でも、元のデバイスに紐付いた秘密鍵がなければセッションは機能しないため、別の端末での悪用を防ぎます。
サイト側が訪問者ごとに異なる鍵を使う設計になっているため、複数サービス間での追跡には使われない仕組みです。また、デバイスのシリアル番号などの個人情報は外部に送出されません。
Workspace 管理者は操作不要
Workspace 向けの展開では、管理コンソールで設定変更をする必要はなく、デフォルトで有効になります。管理者側で無効化するオプションも存在しません。
なお、コンテキストアウェアアクセス (CAA) と組み合わせることで、デバイスの状態など、より詳細なアカウント属性を加味した保護も設定できます。DBSC のバインドイベントは、セキュリティ調査ツールの監査ログで確認できます。
個人アカウントも対象
今回の展開対象は Google Workspace 全プランの利用者、Workspace Individual プランユーザー、個人 Google アカウントのユーザーです。
エンドユーザー側に切り替えるための設定項目はなく、Windows 上の Chrome ブラウザを使用していれば自動的に適用されます。
macOS への対応は今後のアップデートで予定されています。
