Google Driveを制限しつつ、BoxでGoogle形式のファイルとして開く

はじめに

こんにちわ、セキュリティチームのむろです。

今回はGoogle Driveの利用を制限しつつ、Box上でGoogle形式のファイルとして開く方法をご紹介します。

本ブログ内ではGoogleドキュメント、スプレッドシート、スライドの総称として「Google形式のファイル」と表現します。

前提

• Google Workspaceの管理者権限を持っていること

本ブログの内容は、2023年5月25日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。

Google Driveのサービスを無効にすると、困ること

Google Workspaceの環境でBoxを利用している場合に、クラウドストレージがGoogle DriveとBoxの2つ存在する状態になりますが、

• Boxへデータを集約していくことを理由にGoogle Driveを利用不可としたい

といった要件が上がることが想定されます。

しかし、Google Driveのサービスをオフにすると、以下の機能のBox上でGoogle形式のファイルが開くことができなくなってしまい、利便性が下がってしまう問題があります。

• Box for Google Workspaceについて

Boxから「Google形式のファイル」として開ける機能が利用できないのは悲しいです。

Google Driveのサービスを無効化した場合

実際にGoogle Driveのサービスをオフした場合は以下のようにGoogle形式のファイルがBoxから開けなくなります。

• Google Driveのサービスをオフにする

• Google Driveのサービスをオフにした状態でBoxからGoogle Sheets形式を選択して開く

• しかし、Google Docへのアクセス権がないと表示されて、開くことができません。

このように利便性が落ちることからBox導入後もGoogle Driveを閉塞しない選択を取るケースもあるかと思います。

Google Driveに対する制限方法を変えて対応する

先ほどの例ではGoogle Drive自体のサービスをオフにしましたが、制限方法を変えることでGoogle Driveの利用を制限しつつ、BoxでGoogle形式のファイルとして開ける状態を維持する事ができます。

具体的にはGoogle Driveに対して「ファイルの新規作成、アップロードを制限する」設定で対応します。

「ファイルの新規作成、アップロード」制限設定の手順

• Google Workspaceの管理画面から「Google Workspace」 > 「ドライブとドキュメント」 > 「ドライブとドキュメントの設定」 > 「機能とアプリケーション」を開く
• 「ユーザーがどのファイルも作成、アップロードできるようにする」のチェックを外して設定を保存する

「ファイルの新規作成、アップロード」制限後のGoogle Driveの状態

• 制限後はGoogle Driveに対してファイルの新規作成やアップロードが行えなくなります。
  • 既存ファイルの削除、ゴミ箱からの復元は可能な状態です。
  • 移動先の共有ドライブがファイルの新規作成が制限されていなければファイルの移動も可能です。

制限状態で外部から共有されたGoogle Driveのファイルはどうなるか？

自社がGoogle Driveの利用をやめたとしても、他社からGoogle Drive内のファイルの共有を受けることは引き続き起こり得ると思います。

「ファイルの新規作成、アップロード」が制限されている状態であっても以下のように外部から共有されたGoogle Driveのファイルを開けることを確認しています。

• 公開リンクで外部から共有されたファイル
• Googleアカウント指定で外部から共有されたファイル
• 外部のGoogle Driveに存在するGoogleフォームに投稿

上記以外の個別のユースケースにおいては事前に検証し、動作をご確認ください。

制限後のGoogle Drive上の既存ファイルについて

既にお気づきかもしれませんが、Google Driveへのアクセス自体の制限ではなく、あくまでもファイルの新規作成を制限する設定のため、既存のファイルは残ったままとなります。

Google Drive側に残ったファイルを削除したい場合などは以下の対応が必要です。

• 共有ドライブに対しては利用ユーザーをメンバーから外したり、管理者側でファイルの削除やデータ移行が可能です。
  • ファイルの新規作成が行えないものの、管理が煩雑となるので合わせて「共有ドライブの新規作成」も制限しておくと良いかと思います。
• 一方で各ユーザーのマイドライブは管理者権限で自由にアクセスできないため、各ユーザーに削除やデータ移行を行ってもらう必要があります。
  • 各ユーザーが対応したかどうかについては、例えばVaultで「-in:trash」演算子（ゴミ箱を対象から除外）を利用し、各ユーザーに残っているマイドライブ上のファイルを監査する方法が考えられます。

Vault で演算子を使用して検索を絞り込む – Google Vault ヘルプ

support.google.com

部分的にGoogle Driveを利用したい

自社内で一部のユーザーや共有ドライブを引き続き、利用したい場合もあるかと思います。

Google Driveの設定はGoogle Workspace内の「組織」単位で分けて設定が可能なため、制限を緩和した設定の「組織」を作成し、ユーザーや共有ドライブへの「組織」の紐付けを変更することで部分的にGoogle Driveへのファイルの新規作成が制限されずに継続利用が可能です。

また、マイドライブからの一時的なデータの移動先として特定の共有ドライブは制限を掛けないケースにも部分的な制限緩和は有効です。

おまけ：共有ドライブだけを有効にしたい

（Boxとは関係ありませんが）このように組織を分けて設定することでマイドライブは利用制限し、共有ドライブは許可するといった状態も可能です。

以下に例を記載します。

• 「組織：test-org1」には各ユーザーが所属している状態
  • 「組織：test-org1」に対してGoogle Driveのファイル新規作成の制限し、マイドライブの利用が制限された状態となる
  • 共有ドライブの作成した際に「組織：test-org2」で作成されるように設定

• 「組織：test-org2」へ既存の共有ドライブを所属させる
  • 「組織：test-org2」に対してGoogle Driveのファイルの新規作成の制限しない

おわりに

いかがだったでしょうか、他にも「Google Driveの利用自体は認めるが、外部への共有を制限する」といったアプローチなどもあるかと思います。

今回のブログが自社内のBox利用を推進させる手段の一つとしてご活用いただけると嬉しいです。