「IDとパスワード、できればMFAも。でも、それだけで本当に十分だろうか」——クラウドサービスへのアクセスを守るうえで、認証情報の正しさだけに頼るのは限界があります。正規のID・パスワードを使っていても、見知らぬ場所・見知らぬ端末からのアクセスであれば、それは漏えいの兆候かもしれません。
そこで重要になるのが**条件付きアクセス(Conditional Access)**です。「誰が」だけでなく「どこから」「どの端末で」「どんなリスク状況で」アクセスしているかを条件に、許可・ブロック・追加認証を切り替える仕組みです。
この記事では、条件付きアクセスの基本を整理し、Microsoft 365、Google Workspace、Okta など主要SaaS/IDaaSの対応状況を比較します。そして、多くの設計で鍵になる「場所(IP)」条件を実現するために、なぜ固定IPが必要になるのかを解説します。結論を先取りすると、「場所」条件はグローバルIPアドレスを基準に動くため、接続元IPを固定IPで統一することが前提になります。
条件付きアクセスとは
基本の考え方
条件付きアクセスとは、アクセス時の「条件(コンテキスト)」を評価し、その結果に応じてアクセスの可否や認証強度を動的に決める仕組みです。ゼロトラストの考え方における「ポリシーエンジン」に相当し、「信頼するが、常に検証する」を実装する中心的な機能と言えます。
代表的な制御の例は次の通りです。
リスクの高いユーザーが、管理外のデバイスから、海外のIPアドレス経由で、機密性の高いアプリケーションにアクセスしようとした場合に、多要素認証を要求する(あるいはブロックする)。
主な「条件」と「制御」
条件付きアクセスは「条件(IF)」と「制御(THEN)」の組み合わせで成り立ちます。
条件(IF)の例
- 場所(IP / 地域):接続元のグローバルIPアドレスや国
- デバイス:管理対象か、OS、コンプライアンス状態
- アプリケーション:どのSaaS・アプリへのアクセスか
- ユーザー/グループ:役職や所属
- リスクレベル:不審なサインインの兆候(IDaaSが算出)
制御(THEN)の例
- アクセスを許可
- アクセスをブロック
- MFA(多要素認証)を要求
- 管理対象デバイスのみ許可
- セッションを制限(ダウンロード禁止など)
「場所(IP)」条件の重要性
数ある条件の中でも、「場所(IP)」は最も導入しやすく効果が大きい条件の1つです。「会社の正規ネットワークからのアクセスのみ許可する」「正規ネットワーク外ではMFAを必須にする」といったシンプルかつ強力なポリシーが組めるからです。ただし後述の通り、ここに大きな前提条件があります。
主要SaaS/IDaaSの条件付きアクセス比較
主要なサービスがどのように条件付きアクセス(および「場所」条件)に対応しているかを整理します。プラン・名称・仕様は変更されることがあるため、導入前に必ず各サービスの公式情報をご確認ください。
| サービス | 機能名(例) | 場所(IP)条件 | デバイス条件 | リスクベース制御 | 備考 |
|---|---|---|---|---|---|
| Microsoft 365 / Entra ID | 条件付きアクセス | 対応(ネームドロケーション/信頼済みIP) | 対応(コンプライアンス・管理状態) | 対応(上位ライセンス) | 機能・対象は契約ライセンスにより異なる |
| Google Workspace | コンテキストアウェアアクセス/アクセスレベル | 対応(許可リストはグローバルIPを指定。動的IPは静的IP範囲の定義が必要) | 対応(エンドポイント検証) | 一部対応 | 上位エディションが必要な機能あり |
| Okta(IDaaS) | ネットワークゾーン/サインオンポリシー | 対応(IP許可リスト・ゾーン) | 対応(デバイス信頼) | 対応 | SSO配下のSaaS群を横断制御できる |
| 一般的な業務SaaS | IP制限/アクセス制限 | サービスにより対応(グローバルIPの許可リスト) | 限定的なことが多い | 限定的 | プランによりIP制限が上位限定の場合あり |
比較から見える共通点
サービスによって機能名や粒度は異なりますが、「場所」条件はいずれもグローバルIPアドレスを基準にしているという共通点があります。Google Workspaceの公式説明でも、許可リストに指定できるのはプロバイダから割り当てられるグローバルIPであり、プライベートIPは指定できない、動的IPの場合は静的IPの範囲をあらかじめ定義する必要がある、と明記されています。
つまり、条件付きアクセスの「場所」条件を活かすには、接続元を「特定の固定グローバルIP」として安定して提示できることが前提なのです。
なぜ「場所(IP)」条件の実現に固定IPが必要なのか
テレワーク・複数拠点でIP制御が形骸化する
オフィス勤務中心なら、オフィス回線の固定グローバルIPを許可リストに登録すれば「場所」条件は機能します。しかしテレワークや複数拠点が前提になると、
- 自宅は多くの場合、変動する動的IP。
- カフェ・出張先・モバイル回線は毎回IPが変わる。
- 拠点ごとに別々のIP、しかも回線によっては固定IPでない。
という状況になり、「許可するIP」を1つに定められません。結果として、IP制限・「場所」条件を緩めざるを得ず、せっかくの条件付きアクセスが形骸化します。
固定IPで全員の接続元を1つに統一する
ここで固定IP VPNが効きます。ロリポップ!固定IPアクセスのような固定IP VPNを使うと、社員がどこからアクセスしても、SaaS側から見た接続元IPは常に同じ固定グローバルIPになります。
これにより、
- 各SaaS/IDaaSの「場所」条件・IP許可リストに固定IPを1つ登録するだけで完了。
- 自宅でも出先でも、VPN経由なら「正規ネットワークからのアクセス」とみなせる。
- 固定IP以外(=VPN未経由)からのアクセスにはMFAを必須にしたり、ブロックしたりできる。
「場所」条件を勤務地に縛られず、現実的に運用できるようになります。
固定IPは複数SaaSを横断する共通基準になる
条件付きアクセスはサービスごとに設定が必要ですが、「許可する接続元IP」という基準は固定IP1つに統一できます。Microsoft 365にも、Google Workspaceにも、各業務SaaSにも、同じ固定IPを登録すればよいため、ポリシー設計とメンテナンスがシンプルになります。これは複数SaaSを使う組織にとって大きな運用上のメリットです。
条件付きアクセス導入の進め方
ステップ1:守りたいSaaSと条件を洗い出す
すべてに完璧なポリシーを敷くのではなく、機密データや権限を扱う重要なSaaSから優先します。「場所」「デバイス」「リスク」のどの条件を使うかを決めます。
ステップ2:接続元を固定IPに統一する
固定IP VPNを導入し、社員の接続元を1つの固定グローバルIPに統一します。これが「場所」条件の土台です。
ステップ3:各SaaSの許可リスト/ネームドロケーションに固定IPを登録
Microsoft 365、Google Workspace、Oktaなど、使っているサービスの「場所」条件に固定IPを登録します。
ステップ4:ポリシーを段階的に厳格化
最初は「固定IP外はMFA必須」程度から始め、運用が安定したら「固定IP外はブロック」へと段階的に強化していくと、現場の混乱を避けられます。
よくある質問(FAQ)
Q. 条件付きアクセスとIP制限は何が違いますか?
IP制限は「接続元IPで許可・遮断する」シンプルな制御で、条件付きアクセスの「場所」条件に相当します。条件付きアクセスはそれに加えて、デバイス・ユーザー・リスクなど複数の条件を組み合わせ、MFA要求やセッション制限など多様な制御ができる、より広い枠組みです。
Q. 「場所」条件を使うのに、なぜ固定IPが必要なのですか?
「場所」条件はグローバルIPアドレスを基準に判定するためです。テレワークや複数拠点では接続元IPがバラバラになり、許可するIPを定められません。固定IP VPNで接続元を統一すれば、勤務地に関係なく「場所」条件を運用できます。
Q. 上位プランでないと条件付きアクセスが使えないと言われました。
サービスによっては、条件付きアクセスやIP制限が上位ライセンス限定のことがあります。一方、IP制限(許可リスト)自体は比較的多くのSaaSが標準で備えています。まずは使っているSaaSの対応状況とプラン要件を確認し、IP制限から着手するのが現実的です。
Q. 複数のSaaSがあると設定が大変では?
設定自体は各SaaSで行う必要がありますが、「許可する接続元IP」は固定IP1つに統一できるため、登録する値は共通です。IDaaS(Okta等)でSSOを束ねていれば、配下のSaaS群をまとめて制御しやすくなります。
まとめ
- 条件付きアクセスは、場所・デバイス・リスクなどの条件でアクセスを動的に制御する仕組み。ゼロトラストのポリシーエンジンにあたる。
- Microsoft 365・Google Workspace・Oktaなど主要サービスが対応するが、「場所」条件はいずれもグローバルIPを基準にしている。
- テレワーク・複数拠点では接続元IPがバラバラになり「場所」条件が形骸化する。固定IPで接続元を統一すれば、勤務地に縛られず運用できる。
- 固定IPは複数SaaSを横断する共通の許可基準になり、ポリシー設計と運用をシンプルにする。
ロリポップ!固定IPアクセスでできること
ロリポップ!固定IPアクセスは、WireGuardを採用したVPNサービスです。どこからアクセスしても、お客様専有の同じ固定グローバルIPに接続元を統一できます。
- この固定IPを各SaaS/IDaaSの**「場所」条件・IP許可リスト**に登録するだけで、条件付きアクセスの「場所(IP)」制御を勤務地に縛られず実現できます。
- 申込当日から利用可能。工事や専門知識は不要です。
- 1つの固定IPに複数ライセンスを紐づけ、複数人・複数端末で共有できます(1ライセンスの同時接続は1台)。ライセンスは1単位で増減可能です。
- 料金はライトプランが月額490円(税込539円)から。スタンダードは10ライセンス〜で月額4,500円(税込4,950円)から。最大2ヶ月無料でお試しいただけます。
申し込み: https://vpn.lolipop.jp/signup / 導入のご相談: https://vpn.lolipop.jp/consultation
関連記事(内部リンク)
- IPアドレス制限とは? 仕組みとメリットをわかりやすく解説
- 多要素認証(MFA)とは? 二段階認証との違いと導入すべき理由
- IDaaSとは? クラウドID管理による利便性の向上とセキュリティ強化を解説
- MFA疲れを防ぐ「信頼できるネットワーク」設計:固定IPで社内からのMFAを最適化
- SaaS / IDaaSと固定IPで実現するゼロトラスト的アクセス制御の第一歩



