Google Workspace、アカウント乗っ取り対策を強化。パスキーの一般提供と新機能 DBSC を発表

2025年7月30日

当サイトは Google Adsense、Amazon アソシエイト等アフィリエイト広告を利用して収益を得ています.

Google は 2025 年 7 月 30 日、Google Workspace のアカウントセキュリティを強化するための 3 つの新しい取り組みを発表しました。

これらはフィッシングや認証情報の窃盗、特にセッショントークンを狙った攻撃の増加に対応するもので、パスキーの一般提供、サインイン後のセッションを保護する新機能、パートナーとの連携フレームワークが含まれます。

巧妙化するアカウント乗っ取りの脅威

近年、サイバー攻撃の手法は巧妙化しており、Google によれば、成功した不正侵入の 37% はフィッシングや認証情報の窃盗に起因しています。これは企業のセキュリティ担当者は大きな課題となっています。

さらに、ログイン状態を維持するためのセッションクッキーや認証トークンを盗み出す攻撃が急増しており、2024 年にはメール経由で配布される情報窃取型マルウェアが前年比で 84% 増加しました。この傾向は 2025 年に入っても続いています。

このような攻撃は、ユーザーがログインした後に認証情報を盗むため、多要素認証 (2FA) などの従来のセキュリティ対策を迂回してしまう可能性があり、新たな防御策が求められていました。

Google Workspace の新たな 3 つのセキュリティ強化策

この状況に対応するため、Google は以下の 3 つのセキュリティ強化策を発表しました。

パスキーの一般提供: 1,100 万以上の Google Workspace 顧客が利用可能に。
デバイスに紐付けられたセッション資格情報 (DBSC): サインイン後の保護を強化するため、オープンベータ版として提供開始。
共有シグナルフレームワーク (SSF) レシーバー: 年内に一部の顧客とパートナーを対象としたクローズドベータを開始予定。

より簡単で安全なサインインを実現する「パスキー」

パスキーは、パスワードを使わずにウェブサイトやアプリにサインインできる、より安全で便利な方法です。パスワードのように推測されたり、盗まれたり、忘れたりするリスクがなく、以下のようなメリットがあります。

フィッシング耐性: ユーザーが騙されて悪意のある攻撃者にパスキーを渡してしまうことがないため、フィッシングに強い。
使いやすさ: PIN や指紋、顔認証など、デバイスのロックを解除するのと同じくらい簡単にサインインできる。
強力なセキュリティ: パスワードのように使い回されることがなく、ウェブサイトやサービスごとに固有の認証情報が生成される。

Google によると、Workspace ユーザーがパスキーでサインインする場合、パスワードよりも 40% 高速であるとのことです。

また、管理者向けには、パスキーの登録状況を監査したり、利用を物理的なセキュリティキーに限定したりする機能も拡張されています。

サインイン後のセッションを保護する「DBSC」

サインイン後のアカウント保護をさらに強化するため、Google は新たに「デバイスに紐付けられたセッション資格情報 (Device Bound Session Credentials, DBSC)」を導入しました。この機能は現在、Windows 上の Chrome ブラウザ向けにオープンベータ版として提供されています。

DBSC は、ウェブサイトがユーザー情報を記憶するために使用する小さなファイルであるセッションクッキーを、ユーザーが認証に使用したデバイスに暗号学的に紐付けます。

これにより、万が一マルウェアなどによってセッションクッキーが盗まれたとしても、攻撃者が別のデバイスでそのクッキーを悪用してアカウントに不正アクセスすることが非常に困難になります。

この機能は、コンテキストアウェアアクセス (CAA) と組み合わせることで、さらに強力な保護を実現できるとしています。

リスク検知時にアカウントを保護する「SSF」

Google はさらに、セキュリティパートナーからのシグナルを受信するための「共有シグナルフレームワーク (Shared Signals Framework, SSF)」レシーバーの開発も進めています。

これは OpenID の標準規格で、プラットフォーム間でセキュリティに関する重要なシグナルをほぼリアルタイムで交換できるようにするものです。

これにより、パートナー企業が検知したリスク情報（例えば、デバイスがマルウェアに感染したなど）を Google Workspace が受け取り、セッションを強制的に終了させるなど、脅威に対して迅速かつ協調的な対応が可能になります。

この機能は、年内に一部の顧客とパートナーを対象としたクローズドベータ版として提供される予定です。

まとめ

認証トークンの窃盗が重大な脅威となる中、今回発表された DBSC は企業にとって重要なセキュリティ対策となります。

Google は、フィッシングや情報窃取型マルウェアによるアカウント乗っ取りを防ぐため、Workspace の管理者にパスキーと DBSC を速やかに有効にすることを推奨しています。

これらの新しい取り組みは、巧妙化するサイバー攻撃からユーザーのアカウントを保護し、より安全な作業環境を実現するための大きな一歩と言えます。

より詳しい内容については、Google Workspace 公式ブログをご覧ください。

出典: Google Workspace Blog

著者情報

Masahide Omura Technical Writer

HelenTech の運営をしている尾村真英です。これまでに 50台以上の Chromebook をレビューしており、主に小規模事業者を対象に Chromebook や Google Workspace の導入・活用支援も行っています。
現在は、Chrome Enterprise 公式ユーザーコミュニティのモデレーターとしても活動中で、Professional ChromeOS Administrator 資格を保有しています。