Looker、Google Cloud coreのpublic/hybrid接続でIP allowlistsをサポート

Google Cloud は Looker release notes の 2026年6月8日更新で、public または hybrid connections を持つ Looker Google Cloud core instances が IP allowlists をサポートしたと案内しました。管理者が許可したIP範囲からのアクセスに制限し、セキュリティを強化するための更新です。

要点

• Looker Google Cloud core の public / hybrid connections で IP allowlists がサポートされた
• 管理者は、許可されたIP範囲からのアクセスだけを認める運用を取りやすくなる
• BI環境へのアクセス経路をネットワーク面でも制御したい組織に関係する
• VPN、オフィスIP、ゼロトラスト環境、外部パートナー接続の設計と合わせて確認したい
• 設定前には、管理者自身が締め出されないようテストと例外手順が必要

今回の更新で変わること

Looker はBIや分析基盤として、多くの業務ユーザーがアクセスする入り口になります。ダッシュボード、Explore、LookML、管理画面には、経営指標、顧客情報、売上、利用状況、社内運用データなどが含まれることがあります。そのため、認証や権限だけでなく、どこからアクセスできるかを制御することも重要です。

今回の更新では、Looker Google Cloud core instances のうち、public または hybrid connections を持つ環境で IP allowlists が利用できるようになりました。これにより、特定のオフィス、VPN、セキュアアクセス基盤、運用拠点、パートナー環境など、許可したIPレンジからのアクセスだけを認める構成を取りやすくなります。

対象になりそうなユーザー・チーム

• Looker Google Cloud core を運用しているBI管理者
• 社内外のLookerアクセス経路を統制したいセキュリティ・ネットワークチーム
• 外部委託先、パートナー、リモートワーク環境からのBIアクセスを管理する組織
• Lookerを規制産業や機密データ分析に使っているデータガバナンス担当者

セキュリティ運用で効くポイント

IP allowlists は、認証情報が漏えいした場合や、意図しない場所からのアクセスを抑制したい場合に役立ちます。SSO、多要素認証、Looker内の権限管理と組み合わせることで、防御層を増やせます。

ただし、IP制限は万能ではありません。クラウドプロキシ、VPN、リモートワーク、動的IP、ゼロトラスト製品、外部パートナーの接続元が変わる環境では、許可リストが古くなると正当なユーザーがアクセスできなくなる可能性があります。設定変更前には、管理者アクセス、緊急時の解除手順、監査ログ、通知先を確認する必要があります。

押さえておきたいポイント

IP allowlists は、誰がどのデータを見られるかを決めるLooker権限の代替ではありません。ユーザー権限、ロール、グループ、モデル・Explore・コンテンツ権限、行レベル制御、接続先DWHの権限と合わせて設計する必要があります。

また、許可IPだけに頼ると、社内ネットワークに入ったユーザーを過信する設計になりがちです。重要なBI環境では、SSO、多要素認証、最小権限、監査ログ、アラートと組み合わせるのが安全です。

今すぐ対応が必要か

Looker Google Cloud core を public または hybrid connections で使っている組織は、IP allowlists を適用すべき環境か確認するとよいです。まずは管理者・検証用ユーザーで接続元を確認し、アクセス不能時の復旧手順を用意してから本番適用するのが安全です。

結局、この更新をどう見るべきか

Looker の IP allowlists 対応は、BI環境へのアクセスをネットワーク面からも統制しやすくする更新です。機密性の高いダッシュボードや管理画面を扱う組織では、SSOや権限管理と合わせて導入を検討したいセキュリティ機能です。