Gmailの保護強化（COOP）

博士～！最近、Google WorkspaceのGemini（AI）がすごすぎます！会議の議事録は自動で要約してくれるし、スプレッドシートの分析もあっという間。本当に仕事が楽になりました！

うむ、ミマワリ君。AIによる利便性の向上は素晴らしいことじゃ。じゃが、光が強くなれば、そのぶん影も濃くなるもの。利便性とセキュリティは、常に表裏一体なんじゃよ。

えっ、影…ですか？たしかに、AIが何でもできるようになると、悪いことに使う人もいそうでちょっと怖いですけど…。

その通り！まさに今、Google Workspaceの管理者が「知らなかった」では済まされない、重要なセキュリティアップデートが2つも適用されておるんじゃ。今日はその「警告」とも言える2つのアップデートについて、じっくり解説しよう。

博士、まず一つ目の「COOP」って何ですか？コープ…？あの、スーパーマーケットのことですか？

はっはっは、それも食料品を守る大事な仕組みじゃが、ITのCOOPは別物じゃ。「Cross-Origin-Opener-Policy」の略で、日本語に訳すと「クロスオリジンオープナーポリシー」じゃな。

うわー…名前からして難しそう…。僕たちに関係ある話なんですか？

大ありじゃ！これは、君が毎日使っているGmailを「覗き見」から守るための、非常に重要なセキュリティ強化なんじゃ。

想像してみたまえ。ミマワリ君がブラウザで「A」というタブでGmailを開いて仕事をしている。

次に、調べ物で「B」というタブで怪しい情報サイトを開いてしまった。そのサイトのリンクをポチッとクリックすると、「C」という新しいタブ（ポップアップウィンドウ）が開いた。

この時、もしCOOPという仕組みがなかったら…。悪意ある「C」のタブが、親である「B」のタブを経由して、なんの関係もない「A」のタブ（Gmail）に命令を送り、「お前のメール一覧の情報をこっちに送れ！」とすることが技術的に可能じゃった。これが「XS-Search」と呼ばれる攻撃手法の一つじゃ。

ひえぇぇ！怖い！ただサイトを見ただけで、Gmailの中身が盗まれちゃう可能性があるってことですか！？

その通り。例えるなら、カフェで大事な手帳（Gmail）を開いていたら、隣の席の怪しい人（Bのタブ）が連れてきた仲間（Cのタブ）に、君の手帳を横から覗き見させるようなもんじゃ。

そこで「COOP」の登場じゃ！

COOPは、ブラウザのルールとして「そのタブは、どこの出身（オリジン）ですか？」を厳格にチェックする仕組みじゃ。Gmail（https://www.google.com/search?q=google.com）は「https://www.google.com/search?q=%E7%A7%81%E3%81%AFgoogle.com出身です」と宣言する。

そして、Googleは今回、「https://www.google.com/search?q=google.com出身じゃないヤツ（＝クロスオリジン）が開いたタブ（C）からは、絶対にGmail（A）に干渉させない！」という設定（COOP）を、GmailやドライブなどのWorkspaceサービス全体で強力に適用したんじゃ。

これにより、さっきのカフェの例で言えば、君の席（Gmail）の周りに「関係者以外、覗き見厳禁」という頑丈な仕切りが立ったようなもの。これで、怪しいサイト（BやC）からGmailが覗き見される脅威が、根本から断ち切られたわけじゃ。

おおー！それは安心！Googleさん、ありがとう！…ってことは、僕たちユーザーは特に何もしなくていいってことですよね？

ミマワリ君のような一般ユーザーは、そうじゃ。むしろ、何もしなくてもセキュリティが上がったんじゃから、喜ばしいことじゃ。

【警告】じゃが、問題は「管理者」なんじゃ。

このCOOP強化によって、もし会社が「古い自社開発のWebシステム」や「特殊な連携ツール」を使っていて、それがGmailやドライブと連携していた場合、その「仕切り」のせいで「関係者なのに弾かれてしまう」＝システムが正常に動かなくなる可能性がゼロではない。

「最近、あのボタンが反応しないな」と思っていたら、原因がこのCOOP強化だった…ということがあり得る。だからこそ、管理者（や情報システム部門）は、自社で利用中のシステムがこの新しいセキュリティポリシー（COOP）の影響を受けていないか、今すぐ確認する必要があるんじゃ。これぞ「知らなかった」では済まされない、管理者の責任じゃよ。

なるほど…。COOPは管理者さんの確認が大事なんですね。では、博士、もう一つの「警告」は何ですか？

うむ。それは、Googleドライブの「検索ログ」の強化じゃ。

検索ログ…？Google検索の履歴みたいなものですか？僕が「おいしいラーメン」って調べたのが会社にバレちゃうとか！？

違う、違う。インターネットの検索履歴ではない。ミマワリ君が会社の「Googleドライブの中」で、ファイルを探すために検索窓に入力したキーワード、その履歴のことじゃ。

今回のアップデートで、「いつ」「どの社員が」「どのIPアドレスから」「どんなキーワードで」社内のドライブを検索したか。

そして、その検索結果として「どのファイルがヒットしたか」まで、すべてが管理者のログ（記録）に残るようになったんじゃ。

えええええ！それって、サボってないか監視されてるみたいで、なんだか息苦しいです…。『昨日の会議の資料』って探したのも全部見られちゃうんですか？

ミマワリ君、落ち着きなさい。この機能の目的は「監視」ではない。「監査（Audit）」と「セキュリティの強化」のためじゃ。

考えてもみたまえ。情報漏洩は、ファイルが外部に持ち出された（ダウンロードされた、メールで送られた）時に初めて発覚する、と思っとらんか？

しかし、本当の脅威は、その「準備段階」にある。

例えば、近々退職する予定の社員Aさんがおったとしよう。

【これまでの課題（Before）】

Aさんが自分のPCからドライブで「顧客リスト_全社」や「人事評価_2025」「極秘_新製品情報」といった、自分の業務とは関係ない機密情報を検索して、閲覧していたとしても…。

そのファイルをダウンロードしたり、外部に共有したりしない限り、Aさんが「機密情報を探っていた」という“不審な行動”そのものを管理者が察知するのは困難じゃった。

【新しいログ機能（After）】

Aさんが「顧客リスト」と検索したログが残る。さらに「人事評価」と検索したログも残る。管理者は、このログを見ることで、「Aさんは、なぜ自分の担当外の情報を、こんなに頻繁に検索しているんだ？」と、情報漏洩が発生する“前”の「兆候」を掴むことができるんじゃ！

なるほど！悪いことをしようとする人の「下調べ」の段階で気づけるってことですね！それはすごい！

でも博士、社員が何百人もいたら、ログの量が膨大すぎて、結局誰もチェックしなくなりませんか…？

まさにそこが、今回の【警告】の核心じゃ！

ミマワリ君の言う通り、ログが「取れる」だけでは意味がない。ログを「活用」してこそ意味がある。

Google Workspaceの管理機能（管理コンソール）では、このログに対して「アラート（警告）」を設定できるんじゃ。

例えば、管理者は「もし、”機密”、”マル秘”、”顧客リスト”、”給与” というキーワードがドライブで検索されたら、即座に管理者にメールで通知する」というルールを設定できる。

これは、火災報知器と同じじゃ。普段は静かじゃが、煙（＝不審な検索）を感知したら、即座にベルを鳴らしてくれる。ミマワリ君の「昨日の会議の資料」という検索ではベルは鳴らんが、Aさんの「顧客リスト」という検索ではベルが鳴る。

これが「便利になった」と同時に「管理責任も増えている」ということの正体じゃ。Googleは「火災報知器（ログ機能）」を設置してくれた。しかし、どのキーワードでベルを鳴らすか、ベルが鳴った時に誰が駆けつけるかを決めるのは、会社（管理者）の責任なんじゃよ。

うーん、深い話ですね…。AIで便利になるのは嬉しいけど、その裏側では、僕たちを守るためにセキュリティが強化されていて、それを運用する管理者さんは、もっと大変になってるってことなんですね。

その通りじゃ！今日のまとめじゃ。

• 警告① COOP（Gmail保護強化）:

  一般ユーザーはより安全になった。しかし管理者は、この影響で自社の古いシステムが動かなくなっていないか、「確認する責任」がある。

• 警告② 検索ログ（ドライブ監査強化）:

  情報漏洩の「兆候」を掴めるようになった。しかし管理者は、どんなキーワードを監視し、アラートが鳴ったらどう対応するか、ルールを「設計・運用する責任」がある。

AI（Gemini）という強力なエンジンを手に入れた我々は、同時に、より高度な安全装置（COOP）と監視カメラ（検索ログ）も手に入れたんじゃ。

これらの新しいセキュリティ機能を「知らなかった」「設定していなかった」では、万が一事故が起きた時に、会社として大きな責任を問われかねん。ミマワリ君も、便利なAIの恩恵を受ける一員として、こうした裏側の仕組みや、管理者さんの努力にも目を向けておくことが大事なんじゃよ。

はいっ！ただ便利がるだけじゃなくて、セキュリティ意識を高く持つようにします！博士、今日もありがとうございました！