Google Cloud APIキーのアプリケーション制限の設定手順

2025.08.15

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、gcloud CLI、Terraformなど)まで、分かりやすく解説します。

この記事では、GCP APIキーにおけるアプリケーション制限の設定手順について、リスクと対策を解説します。

ポリシーの説明

Google Cloud Platform(GCP)のAPIキーは、デフォルトではどこからでも使用可能な状態で作成されます。アプリケーション制限(Application Restrictions)を設定することで、APIキーを使用できる環境を特定のWebサイト(HTTPリファラー)、IPアドレス、モバイルアプリケーション(Android/iOS)に限定できます。これにより、APIキーが漏洩した場合でも、承認されていない環境からの不正使用を防ぐことができます。アプリケーション制限は、API利用制限と組み合わせることで、多層防御を実現する重要なセキュリティ機能です。

修復方法

コンソールでの修復手順

Google Cloud コンソールを使用して、APIキーにアプリケーション制限を設定します。

Webアプリケーション用(HTTPリファラー制限)

  1. Google Cloud Console にアクセス
  2. APIキーの設定画面へ移動
    • 「APIとサービス」→「認証情報」を選択
    • 制限を設定したいAPIキーの名前をクリックします
  3. アプリケーション制限を設定
    • 「アプリケーションの制限」セクションで最適なものを選択する
  4. 最適なものを選んでください。
    1. ウェブサイトの制限の場合
      • 「ウェブサイトの制限」で「項目を追加」をクリック
      • 許可するドメインを入力(例:https://example.com/*
      • 複数のドメインがある場合は、追加で入力
      • ワイルドカードの使用例:
        • https://example.com/* – example.comの全ページ
        • https://*.example.com/* – すべてのサブドメイン
        • https://example.com/app/* – 特定のパス以下のみ
    2. アプリケーション制限の選択
      • 「アプリケーションの制限」セクションで「IPアドレス(ウェブサーバー、cronジョブなど)」を選択
  5. 設定を保存
    • 「保存」ボタンをクリックして適用

まとめ

この記事では、GCP APIキーにおけるアプリケーション制限の設定手順について、リスクと対策を解説しました。

重要なポイント:

  • アプリケーション制限は、APIキーが漏洩した場合の被害を最小限に抑える重要なセキュリティ機能
  • HTTPリファラー、IPアドレス、モバイルアプリなど、用途に応じた適切な制限を設定
  • 必ずAPI利用制限と組み合わせて設定し、多層防御を実現
  • 定期的な監査とローテーションでセキュリティを維持

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

参考情報

Google Cloud公式ドキュメント

この記事をシェアする

クラウドセキュリティ対策実践集一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

見積もりを希望する
資料ダウンロード

料金プランを詳しく見る