【2026年度版】Cloud Identityの始め方とGoogle Cloud組織作成
はじめに
クラウド事業本部コンサルティング部の渡邉です。
Google Cloudを企業や組織で本格的に利用する際、最初に必要になるのがGoogle Cloud組織の作成です。組織を作成することで、組織ポリシーによるガバナンス強化、IAMによる階層的な権限管理、Security Command Centerによるセキュリティ監視など、エンタープライズ向けの機能を活用することができます。組織なしでGoogle Cloudプロジェクトを作成して利用することも可能ですが、上記に記載した統制周りの機能が使えないため企業でGoogle Cloudを利用する場合は、組織の作成が必須になります。
Google Cloud組織を作成するためには、Google WorkspaceまたはCloud Identityが必要になります。既にGoogle Workspaceを利用している場合は、そのままGoogle Cloud組織を作成することができますが、Google Workspaceを利用していない場合はCloud Identityを利用することで、Google Cloud組織を作成することができます。
今回は、2026年1月現在のCloud Identity Freeの作成手順、およびGoogle Cloud組織を作成する手順を解説していきます。
Cloud Identityとは
まず、Cloud Identityは、Googleが提供するIdentity as a Service(IDaaS)です。ユーザーアカウントとグループを一元管理し、Google CloudやGoogle Workspaceなどのサービスへのアクセスを制御することができます。
Cloud Identityには以下の2つのエディションがあります。
| エディション | 料金 | 主な機能 |
|---|---|---|
| Cloud Identity Free | 無料 | ユーザー・グループ管理、2段階認証、シングルサインオン(SSO)、基本的なモバイルデバイス管理 |
| Cloud Identity Premium | 有料($7.20/ユーザー/月) | Free版の機能に加え、高度なモバイルデバイス管理、エンドポイント検証、セキュリティセンター、Context-Aware Access |
Google Cloud組織を作成するだけであれば、Cloud Identity Freeで十分です。
Cloud IdentityとGoogle Workspaceの選定基準
Google Cloud組織を作成する際、Cloud IdentityとGoogle Workspaceのどちらを選択すべきか迷う方も多いと思います。ここでは、両者の違いと選定基準を解説します。
基本的な違い
| 項目 | Cloud Identity | Google Workspace |
|---|---|---|
| 主な用途 | ID管理のみ | ID管理 + コラボレーションツール |
| Gmail(独自ドメインメール) | なし | あり |
| Google ドライブ(組織共有) | なし | あり |
| Google カレンダー(組織共有) | なし | あり |
| Google Meet(長時間・大人数) | なし | あり |
| 料金 | Free: 無料 / Premium: $7.20/月 | $6.00〜$18.00/ユーザー/月 |
Cloud Identityを選ぶべきケース
-
既存のメール・グループウェアを継続利用したい場合
- Microsoft 365(Outlook、Teams)を既に導入済み
- 他社のメールサービスを利用中
-
Google Cloudの組織機能だけが必要な場合
- 組織ポリシー、IAM階層管理、Security Command Centerを使いたい
- Gmail等のコラボレーションツールは不要
-
コストを最小限に抑えたい場合
- Cloud Identity Freeなら無料で組織を作成可能
-
外部委託先・パートナー用アカウントが必要な場合
- 社内システムへのアクセス用IDのみ必要
- メール等は不要
Google Workspaceを選ぶべきケース
-
独自ドメインのメールが必要な場合
user@example.com形式のメールを使いたい
-
Googleのコラボレーションツールを活用したい場合
- Gmail、Google ドライブ、Google Meetなどを業務利用
-
Google Workspaceの高度な機能が必要な場合
- Vault(データ保持・電子情報開示)
- 高度なセキュリティ機能
- 大容量ストレージ
前提条件
Cloud Identityを設定するには、以下の前提条件が必要です。
- 独自ドメインを所有していること(例:example.com)
- ドメインのDNS設定を変更できる権限があること
- 管理者として使用するメールアドレスがあること
Cloud Identity Freeの申し込み手順
1. Cloud Identityの申し込みページにアクセス
以下のURLからCloud Identity Freeの申し込みページにアクセスします。
上記ページ内の「Cloud Identity Free を申し込む」のリンクをクリックします。
2. ビジネス情報の入力
申し込みフォームが表示されるので、以下の情報を入力していきます。
ビジネス名
- 会社名や組織名を入力します
従業員数
- 組織の規模を選択します(1人〜300人以上まで選択可能)
国/地域
- 「日本」を選択します
入力が完了したら、【次へ】をクリックします。
3. 連絡先情報の入力
管理者の連絡先情報を入力します。
姓・名
- 管理者の氏名を入力します
現在のメールアドレス
- 既存のメールアドレスを入力します(確認やリカバリーに使用されます)
入力が完了したら、【次へ】をクリックします。
4. ドメインの設定
Cloud Identityで使用するドメインを設定します。
ドメイン名
- 所有している独自ドメインを入力します(例:example.com)
入力が完了したら、【次へ】をクリックします。
5. 管理者アカウントの作成
Cloud Identityの管理者アカウントを作成します。このアカウントがGoogle Cloud組織の最初の管理者となります。
ユーザー名
- 管理者のユーザー名を入力します(例:admin)
- 最終的に
admin@example.comのようなメールアドレス形式になります
パスワード
- 強力なパスワードを設定します
- 大文字、小文字、数字、記号を組み合わせることを推奨します
入力が完了したら、【同意して続行】をクリックします。
6. ドメインの所有権の確認
Cloud Identityを有効化するには、ドメインの所有権を確認する必要があります。
ドメインの所有権を確認する方法として、以下の4つから選択できます。
| 確認方法 | 概要 | 推奨度 |
|---|---|---|
| TXTレコード | DNSにTXTレコードを追加 | 推奨 |
| CNAMEレコード | DNSにCNAMEレコードを追加 | 推奨 |
| HTMLファイル | Webサーバーにファイルを配置 | - |
| メタタグ | Webサイトにメタタグを追加 | - |
今回は最も一般的なTXTレコードによる確認方法を解説します。
7. TXTレコードの追加
表示されるTXTレコードの値をコピーし、ドメインのDNSにTXTレコードとして追加します。
設定例
ホスト名: @(または空欄)
レコードタイプ: TXT
値: google-site-verification=xxxxxxxxxxxxxxxxxxxxxxxxx
TTL: 3600(または既定値)
TXTレコードの追加後、【確認】をクリックします。
8. ドメインの確認を実行
ドメインの確認を実行中です。
確認が成功すると、【ドメインの所有権が確認されました】というメッセージが表示されます。
その後、【ユーザとエイリアスを追加する】をクリックするとGoogle管理コンソールに遷移します。
9. Google管理コンソールにログイン
Google管理コンソールに遷移すると作成した管理者アカウントで、Google管理コンソールにログインします。
これでCloud Identity Freeのアカウント作成は完了です。
Google管理コンソールはこちらからアクセス可能です。
Google Cloud組織の確認
ドメインの所有権の確認が完了すると、Google Cloud組織が自動的に作成されます。
1. Google Cloudコンソールにアクセス
作成した管理者アカウントでGoogle Cloudコンソールにアクセスします。
その際に、利用規約に同意して【同意して続行】をクリックしてください。クリック後に組織の作成が開始されます。
2. 組織の確認
組織の作成完了後、リロードして画面上部のプロジェクトセレクターをクリックし、組織が表示されることを確認します。
ドメイン名(例:example.com)が組織名として表示されていれば、Google Cloud組織の作成は完了です。
3. 組織管理者ロールの確認
Cloud Identityの特権管理者(スーパー管理者)には、Google Cloud組織の組織管理者(roles/resourcemanager.organizationAdmin)ロールが自動的に付与されます。
また、組織作成時にドメイン内のすべてのユーザーには、以下のロールが自動的に付与されています。
- プロジェクト作成者(
roles/resourcemanager.projectCreator) - 請求先アカウント作成者(
roles/billing.creator)
これらのロールにより、ユーザーは組織配下でプロジェクトの作成や請求先アカウントの作成を行うことができます。
組織作成後に行うべき設定
Google Cloud組織を作成した後、セキュリティとガバナンスを強化するために以下の設定を行うことを推奨します。
1. 組織ポリシーの確認
2024年5月3日以降に作成されたすべての組織には、Google Cloudセキュリティベースラインの組織ポリシー制約が自動的に適用されます。これは【デフォルトでセキュアな組織】と呼ばれ、セキュリティのベストプラクティスに基づいた制約が最初から有効になっています。
自動適用される組織ポリシー制約
| 制約名 | 制約ID | 目的 |
|---|---|---|
| サービスアカウントキー作成の無効化 | iam.managed.disableServiceAccountKeyCreation |
サービスアカウントの永続キー作成を防止 |
| サービスアカウントキーアップロードの無効化 | iam.managed.disableServiceAccountKeyUpload |
外部で作成した公開鍵のアップロードを禁止 |
| デフォルトサービスアカウントへの自動ロール付与の無効化 | iam.automaticIamGrantsForDefaultServiceAccounts |
デフォルトサービスアカウントへの編集者ロール自動付与を防止 |
| ドメイン別のID制限 | iam.allowedPolicyMemberDomains |
組織外のユーザーへのリソース共有を制限 |
| ドメイン別の連絡先制限 | essentialcontacts.managed.allowedContactDomains |
重要な通知の受信者を組織内に制限 |
| プロトコル転送の制限 | compute.managed.restrictProtocolForwardingCreationForTypes |
内部IPアドレスの保護 |
| 均一なバケットレベルのアクセス | storage.uniformBucketLevelAccess |
Cloud Storageのアクセス制御を一貫性のある方式に統一 |
詳細については、以下の公式ドキュメントをご参照ください。
また、組織ポリシーに関しては、いくつかブログを書いているので確認してもらえると幸いです。
2. Security Command Center(SCC)の有効化
組織作成後は、Security Command Center を有効化することを強く推奨します。
Standard Tierは無料で利用でき、Google Cloud環境の脆弱性を自動的に検出することができます。
Security Command Centerの概要については、以下のブログで解説をしていますので参照頂けますと幸いです。
Standard Tierよりも、一段上のPremium Tierに関しては、以下のブログを参照頂けますと幸いです。
3. Cloud Audit Logsの設定
組織全体の監査ログを有効化し、誰がいつどのような操作を行ったかを記録することができます。
監査ログについての機能を提供するCloud Audit Logsについては、以下のブログ記事を参照頂けますと幸いです。
4. 階層構造の設計
組織配下にフォルダを作成し、プロジェクトを整理することで、効率的な権限管理が可能になります。
階層構造の設計については、その組織でどのようにGoogle Cloudを管理していくかによって方針が異なりますので、各社で十分検討をすることをお勧めいたします。
以下に記載している組織構造は一例です。
組織(example.com)
├── フォルダ(本番環境)
│ ├── プロジェクト(prod-app-a)
│ └── プロジェクト(prod-app-b)
├── フォルダ(開発環境)
│ ├── プロジェクト(dev-app-a)
│ └── プロジェクト(dev-app-b)
└── フォルダ(共通基盤)
└── プロジェクト(shared-services)
5. 2段階認証の強制
組織のセキュリティを強化するため、すべてのユーザーに2段階認証を強制することを推奨します。2段階認証を有効化することで、パスワードが漏洩した場合でも、不正アクセスを防ぐことができます。
設定はGoogle管理コンソール(admin.google.com)から行います。
- [セキュリティ] > [認証] > [2段階認証プロセス] を開く
- 「ユーザーが2段階認証プロセスを有効にできるようにする」をオンにする
- 必要に応じて「適用」を設定し、2段階認証を強制する
6. 特権管理者の複数設定
特権管理者(スーパー管理者)が1人だけの場合、そのアカウントにアクセスできなくなると組織全体の管理ができなくなるリスクがあります。
以下の理由から、最低2名以上の特権管理者を設定することを強く推奨します。
- 管理者の退職・異動時のリスク軽減
- アカウントロックアウト時の復旧手段の確保
- 緊急時の対応体制の確保
特権管理者の追加は、Google管理コンソールから行います。
- [ディレクトリ] > [ユーザー] を開く
- 特権管理者に設定したいユーザーを選択
- [管理者ロールと権限] > [ロールを割り当てる] をクリック
- 「特権管理者」ロールを割り当てる
最後に
今回は、2026年1月現在のCloud Identity Freeの作成手順、およびGoogle Cloud組織を作成する手順を解説しました。
Google Cloud組織を作成することで、組織ポリシーによるガバナンス強化、階層的なIAM管理、Security Command Centerによるセキュリティ監視など、エンタープライズに必要な機能を利用することができるようになります。
Cloud Identity Freeは無料で利用できるため、Google Workspaceを利用していない企業や組織でも、追加コストなくGoogle Cloud組織を作成することができます。Google Cloudを本格的に利用する際は、まず組織を作成し、適切なガバナンス体制を構築することをお勧めします。
この記事が誰かの助けになれば幸いです。
以上、クラウド事業本部コンサルティング部の渡邉でした!
