Google Workspace アップデート
- 2024年9月30日から: Google アカウントおよび Google Sync にアクセスするためにパスワードのみを使用するサードパーティ製アプリは、今後サポートされなくなります。
- 変更点: Google Workspace は、ユーザーの Google のユーザー名とパスワードを共有する必要があるサードパーティ製アプリまたはデバイスのログイン方法を、今後サポートしません。
- セキュリティリスク: 従来の方式である Less Secure Apps (LSA) は、Google アカウントの認証情報をサードパーティ製アプリやデバイスと共有する必要があるため、セキュリティリスクを高めます。
- より安全な方法: 「Google でログイン」オプションを使用する必要があります。これは OAuth 認証方式を用いて、他のアプリとメールを同期するための、より安全でセキュアな方法です。
LSA アクセス終了スケジュール
- 2024年6月15日から: 管理コンソールから LSA 設定が削除され、変更できなくなります。有効化されているユーザーは接続できますが、無効化されているユーザーは LSA にアクセスできなくなります。
- 2024年9月30日から: すべての Google Workspace アカウントで LSA アクセスが終了します。CalDAV、CardDAV、IMAP、POP、および Google Sync は、パスワードのみでログインする場合は動作せず、OAuth の使用が必要になります。
Google Sync サービス終了
- 2024年6月15日から: 新規ユーザーは Google Sync を通じて Google Workspace に接続できなくなります。
- 2024年9月30日: 既存の Google Sync ユーザーは Google Workspace に接続できなくなります。
管理者およびエンドユーザー向けガイダンス
- 管理者: エンドユーザーが Google Workspace アカウントでこれらの種類のアプリを引き続き利用できるよう、OAuth というより安全なアクセス方式へ移行する必要があります。
- モバイルデバイス管理 (MDM) への影響: MDM ベンダーを使用して IMAP、CalDAV、CardDAV、POP、または Exchange ActiveSync (Google Sync) のプロファイルを構成している組織では、サービスが段階的に終了されます。
- スキャナーおよびその他のデバイス: SMTP または LSA を使用してメールを送信するスキャナーやその他のデバイスは、OAuth を使用するよう構成するか、代替手段を利用するか、またはデバイスで使用するアプリ パスワードを設定する必要があります。
エンドユーザー向けガイダンス
- メールアプリケーション: Outlook 2016 より前のバージョンを使用している場合は、Microsoft 365 に移行するか、OAuth アクセスをサポートする Windows または Mac 向け Outlook に切り替える必要があります。
- カレンダーアプリケーション: パスワードベースの CalDAV を使用するアプリを利用している場合は、OAuth をサポートする方法に切り替える必要があります。
- 連絡先アプリケーション: iOS または macOS で CardDAV を通じて連絡先を同期し、パスワードのみでログインしている場合は、アカウントを削除して再追加する必要があります。
開発者向けガイダンス
- 開発者: Google Workspace アカウントとの互換性を維持するため、アプリを更新して接続方式として OAuth 2.0 を使用する必要があります。
提供対象
- この変更は、すべての Google Workspace の顧客に影響します。
GN⁺の見解
- このアップデートは、Google Workspace ユーザーのセキュリティを強化するための重要な措置です。パスワードのみを使用する安全性の低いアプリ (LSA) の代わりに OAuth を使用してアカウントの安全性を高めることは、現代のサイバーセキュリティ環境において不可欠です。
- 管理者とエンドユーザーの両方に影響があり、とくにメール、カレンダー、連絡先アプリを利用しているユーザーは、新しい認証方式への移行が必要です。
- この記事は、Google Workspace ユーザーと管理者が今後のセキュリティアップデートに備え、必要な対応を取るための有用な情報を提供します。
1件のコメント
Hacker Newsの意見
ユーザーは Gmail とやり取りするスクリプトを持っているため、「安全性の低いアプリ」サポート終了の知らせに驚いたが、アプリ パスワードは引き続き動作しそうだと知って安心している。OAuth のみの対応になると多くの自動化が止まることを懸念している。OAuth の複雑さに不満を示しつつ、OAuth の仕組みを明確に説明した Perl モジュールのドキュメントを高く評価している。
OAuth を使えない場合でも、ユーザーは独自のプロキシを使うことで、IMAP または POP/SMTP クライアントが OAuth 2.0 をサポートしていなくても「モダンな」メールプロバイダーで利用できるようにできる。クライアント側は OAuth を理解している必要がない。
IMAP、SMTP、POP は Google アカウントへのかなり広いアクセスを許す一方で、2 段階認証やボット対策の検証を行えないため、クレデンシャルスタッフィング攻撃に弱い。Google はこうした攻撃からユーザーを守るためにこの種のアクセスをデフォルトで無効化しており、今回の措置は残りのユーザー向けのものだと前向きに評価している。
今回の変更には、ユーザーを Google 純正のメールアプリへ移行させようという意図があると指摘している。Gmail アプリや、まもなく廃止される Google Sync がなければリアルタイムのメール通知を受け取れない。Google Workspace に料金を払っているにもかかわらず不便だと感じている。デスクトップでは Mimestream がまだ動作しているが、Google がこれも塞ごうとするのではないかと懸念している。
Android での Oauth2 と Google の最も厄介な点は、端末全体を Google アカウントと連携させない限り、メールクライアントやカレンダーに Google アカウントでログインできないことだという。さらに、その Google アカウントに端末上のポリシー権限も与えることになる。ユーザーはこれを完全には無視できず、Android では Google が WebView 内での oauth2 利用を簡単に制限できると指摘している。
アプリ パスワードは 16 桁のパスワードで、2 段階認証が有効なアカウントでのみ使用できる。「安全性の低いアプリ」は OAuth 対応アプリと同等のセキュリティ水準を、Google が長年宣伝できてきたサーバー側メカニズムを使うことで実現していると指摘している。Google がセキュリティ問題を自社のアジェンダ推進に都合よく解釈していることに批判的な見方を示している。
App-Specific Passwords は引き続き動作するようで、OAuth をサポートしないアプリを使っている場合は、OAuth 対応アプリへ移行するか、アプリ パスワードを生成してアクセスする必要があると説明している。
今回の変更は Workspace アカウントにのみ適用され、通常の Gmail アカウントには数年前にすでに適用されていたと説明している。
約 10 年前、Google アカウントのディレクトリとの統合を通じて、社内ネットワークに個々の Google アカウントで認証できるシステムを構築したという。現代の基準では安全性は低めだが、VPN を通さずに即座に社内ネットワークへ接続でき、全員の時間を節約できた点を前向きに評価している。
Microsoft の OAuth 移行対応では苦労し、問題はプロセスが非常に不透明なことだったという。トークンを送ってもサーバーは「ダメ」と答えるだけで、なぜ動かないのかの説明がなく、原因究明に何日も費やした。Google のメールサーバーはこれより良いのだろうかと疑問を呈している。