【ITニュース解説】Part-61: Understanding Cloud VPC – Private Google Access in GCP Cloud
2025年09月16日に「Dev.to」が公開したITニュース「Part-61: Understanding Cloud VPC – Private Google Access in GCP Cloud」について初心者にもわかりやすく解説しています。
ITニュース概要
GCPのPrivate Google Accessは、外部IPを持たない仮想マシン(VM)が内部IPだけでGoogleサービスへ安全にアクセスできる機能だ。サブネットごとに設定し、外部への露出を減らしつつGoogle APIと連携できる。
ITニュース解説
クラウドコンピューティングの世界では、仮想マシン(VM)と呼ばれるコンピューターの仮想的な実行環境がよく利用される。これらのVMは、インターネット上に構築されたデータセンターで稼働し、さまざまなアプリケーションやサービスを提供している。Google Cloud Platform(GCP)もその一つで、VMをはじめとする多くのサービスを提供し、企業や開発者がシステムを構築する基盤となっている。システムエンジニアを目指す上で、このようなクラウド環境の仕組みを理解することは非常に重要である。
今回解説する「Private Google Access(プライベート Google アクセス、略称PGA)」は、GCPを利用する上でセキュリティとプライバシーを確保しながら、クラウドの利便性を高めるための重要な機能である。通常、インターネット上のサービスにアクセスするには、VMが「外部IPアドレス」という、インターネット上で一意に識別できる住所を持つ必要がある。この外部IPアドレスは、VMがインターネットから直接アクセスされる可能性があることを意味し、セキュリティ上のリスクとなる場合がある。悪意のある攻撃者は、外部IPアドレスを持つVMを狙い、不正アクセスを試みることがあるため、外部IPアドレスをできる限り持たせない設計が推奨される。
しかし、外部IPアドレスを持たないVMは、インターネット上のサービスだけでなく、Googleが提供する様々なAPIやサービス(例えば、データを保存するCloud Storage、サーバーレスでアプリケーションを実行するCloud Run、メッセージングサービスのPub/Subなど)にも直接アクセスすることができないという問題がある。ここでPrivate Google Accessが活躍する。この機能は、外部IPアドレスを持たないVMインスタンスが、インターネットを介さずに、内部のネットワークアドレス(内部IPアドレス)だけでGoogle APIやサービスに安全にアクセスできるようにするものだ。これにより、VMは外部に公開されることなく、必要なGoogleサービスを利用できるため、セキュリティレベルを高く保ちつつ、クラウドの恩恵を最大限に受けることが可能となる。
Private Google Accessの最も大きな特徴は、この設定が「サブネット」というネットワークの単位ごとに行われる点にある。サブネットとは、VPC(Virtual Private Cloud)と呼ばれる仮想ネットワークをさらに細かく分割した領域で、特定のIPアドレス範囲を持つ。PGAは、このサブネットごとに機能を有効(ON)にするか無効(OFF)にするかを選択できるため、きめ細やかなネットワーク設計が可能となる。特定のサブネット内のVMだけがプライベートなアクセスを許可され、別のサブネットのVMは許可されない、といった制御ができるわけだ。
また、PGAは外部IPアドレスを持たないVMにのみ影響を与える。もしVMが外部IPアドレスを持っている場合、PGAの設定に関わらず、通常通りGoogleサービスにアクセスできる。つまり、PGAはあくまで「外部IPアドレスを持たないVMがGoogleサービスにアクセスする手段」を提供するものであり、すでに外部IPアドレスを持つVMの動作には影響しない。この点も理解しておくべき重要なポイントだ。
具体的な例で考えてみよう。あるプロジェクト「gcpdemos」内に「vpc2-custom」というVPCがあり、その中に二つのサブネット、「mysubnet1」と「mysubnet2pga」があると仮定する。 「mysubnet1」ではPrivate Google Accessが「OFF」に設定されており、その中に「VM1」というVMインスタンスが配置されている。VM1はプライベートIPアドレス(10.225.0.5)を持つが、外部IPアドレスは持たない。この場合、VM1からはGoogle APIやサービスにアクセスすることはできない。もしアクセスしようとしても、ネットワークの壁に阻まれてしまうだろう。 一方、「mysubnet2pga」ではPrivate Google Accessが「ON」に設定されており、その中に「VM2」というVMインスタンスが配置されている。VM2もプライベートIPアドレス(10.131.0.5)を持つが、外部IPアドレスは持たない。このVM2からは、Private Google Accessが有効になっているため、内部IPアドレスだけでGoogle APIやサービスにアクセスすることが可能となる。例えば、Cloud Runで提供されている内部専用のサービスに対して、VM2は安全に通信できるが、PGAが無効なVM1は通信できないという状況が発生する。
このように、Private Google Accessは、VMを外部IPアドレスから隔離し、攻撃対象を減らすことでセキュリティを高めつつ、Googleが提供する豊富なクラウドサービスに内部から安全にアクセスできるようにする、非常に強力な機能である。ネットワークアドレス変換(NAT)ゲートウェイと呼ばれる複雑な設定を別途用意したり、VMに一時的にでも外部IPアドレスを付与したりする必要がなく、シンプルかつ安全に接続性を確保できるというメリットがある。システムエンジニアとして、このようなセキュリティと利便性を両立させる技術を理解し、適切に活用することは、堅牢で効率的なシステム構築において不可欠なスキルとなるだろう。