1. gogcli とは
gogcli は、Google Workspace(Gmail / Calendar / Drive / Sheets / Docs / Slides / Contacts / Tasks / People)をターミナルから操作できるオープンソースのCLIツールです。
基本情報
| 項目 | 内容 |
|---|---|
| 開発者 | Peter Steinberger (steipete) |
| ライセンス | MIT License(オープンソース) |
| 言語 | Go言語 |
| 現在のバージョン | v0.9.0 |
| GitHub | github.com/steipete/gogcli |
アーキテクチャ
ユーザー / Claude Code
↓
gogcli (ローカルPC)
↓ OAuth 2.0 認証
Google API
↓
Gmail / Drive / Calendar など
重要なポイント: gogcli はローカルPCで動作し、Google公式APIを通じてデータにアクセスします。データは第三者サーバーを経由しません。
2. 認証の仕組み(OAuth 2.0)
認証フロー
- OAuth同意画面: ユーザーがGoogleアカウントでログインし、アクセス許可を付与
- トークン発行: Googleがアクセストークンとリフレッシュトークンを発行
- トークン保存: OS標準のセキュアストレージに保存
- Windows:
Credential Manager(資格情報マネージャー) - macOS:
Keychain - Linux:
Secret Service
- Windows:
- 自動更新: トークンは自動的にリフレッシュされ、再認証不要
セキュリティ上の利点:
Googleのパスワードそのものは保存されません。保存されるのは「特定のAPIへのアクセス権限」を持つトークンのみです。
Googleのパスワードそのものは保存されません。保存されるのは「特定のAPIへのアクセス権限」を持つトークンのみです。
3. セキュリティ分析
3-1. 安全な点
| 項目 | 説明 | 評価 |
|---|---|---|
| オープンソース | ソースコードが公開されており、悪意のあるコードがないか確認可能 | 安全 |
| ローカル実行 | データは第三者サーバーを経由せず、直接Google APIと通信 | 安全 |
| OS標準の認証情報保存 | Windows Credential Managerなど、OS標準のセキュアストレージを使用 | 安全 |
| 最小権限の原則 | --readonlyや--drive-scopeで権限を制限可能 |
安全 |
| Google公式API使用 | 非公式なハックではなく、正規のAPIを使用 | 安全 |
3-2. 潜在的なリスク
| リスク | 説明 | 深刻度 | 対策 |
|---|---|---|---|
| PC侵害時のトークン漏洩 | PCがマルウェアに感染した場合、保存されたトークンが窃取される可能性 | 中 | PCのセキュリティ対策を徹底 |
| OAuth クライアント秘密鍵の管理 | Google Cloud で作成したクライアントシークレットの漏洩 | 中 | JSONファイルを厳重に管理、使用後は削除 |
| 広範なスコープ付与 | すべてのサービスに対するフルアクセス権限を付与した場合のリスク | 中 | 必要なサービスのみ認証、--readonly活用 |
| テストユーザー制限(個人Gmail) | Google Cloud Consoleで「テスト中」ステータスの場合、トークンが7日で期限切れ | 高 | Workspace移行 または 本番公開申請 |
重要: 現在の個人Gmail設定では、OAuthアプリが「テスト中」ステータスのため、7日ごとに再認証が必要になる場合があります。Workspaceへの移行でこの制限は解消されます。
4. 現在の制限(個人Gmail)
個人Gmailアカウントでの制限事項:
- OAuthアプリが「テスト中」ステータス → トークンが7日で期限切れ
- テストユーザーは最大100人まで
- Google Keepへのアクセス不可
- Groupsの管理機能が制限
- ドメイン全体の委任(Domain-wide delegation)不可
- 監査ログ・コンプライアンス機能なし
5. Google Workspace 移行のメリット
📧 個人Gmail(現在)
- ✓ 基本的なGmail/Drive/Calendar操作
- ✗ トークン7日期限(テスト中)
- ✗ Google Keep API
- ✗ ドメイン全体の委任
- ✗ 監査ログ
- ✗ 管理コンソール
- ✗ サービスアカウント
- △ Groups(制限あり)
🏢 Google Workspace
- ✓ 基本的なGmail/Drive/Calendar操作
- ✓ トークン無期限(内部アプリ)
- ✓ Google Keep API
- ✓ ドメイン全体の委任
- ✓ 監査ログ・DLP
- ✓ 管理コンソール
- ✓ サービスアカウント
- ✓ Groups完全機能
Workspace移行で得られる具体的な恩恵
| 機能 | 個人Gmail | Workspace | 業務インパクト |
|---|---|---|---|
| トークン有効期限 | 7日 | 無期限 | 再認証の手間がなくなる |
| サービスアカウント | 不可 | 可能 | 自動化・バッチ処理が可能 |
| ドメイン全体の委任 | 不可 | 可能 | 管理者が全員分を一括管理 |
| Google Keep | 不可 | 可能 | メモ・タスクのAPI操作 |
| 監査ログ | なし | あり | 誰がいつ何を操作したか追跡可能 |
| DLP(データ損失防止) | なし | あり | 機密情報の外部送信をブロック |
| Vault(アーカイブ) | なし | あり | 法的ホールド・eDiscovery |
| 独自ドメインメール | @gmail.com のみ | @yourdomain.com | ビジネスの信頼性向上 |
Workspaceプラン比較
| プラン | 月額(税抜) | ストレージ | 特徴 |
|---|---|---|---|
| Business Starter | ¥680/ユーザー | 30GB | 基本機能、カスタムメール |
| Business Standard | ¥1,360/ユーザー | 2TB | + 録画・監査ログ |
| Business Plus | ¥2,040/ユーザー | 5TB | + Vault・高度なセキュリティ |
| Enterprise | 要問合せ | 無制限 | + DLP・アクセス制御 |
6. 推奨事項
セキュリティ強化のための推奨設定
- 最小権限の原則: 必要なサービスのみ認証する
gog auth add email@example.com --services gmail,calendar - 読み取り専用モード: 可能な限り
--readonlyを使用 - 定期的なトークン確認:
gog auth listで認証状態を確認 - 不要な認証の削除: 使わなくなったアカウントは
gog auth remove
医療法人としての推奨
医療・介護分野では以下を検討してください:
- Google Workspace Business Plus 以上: 監査ログ・Vault・高度なセキュリティ
- DLP(データ損失防止)ポリシー: 患者情報の外部送信をブロック
- 2段階認証の強制: 全ユーザーに適用
- デバイス管理: 承認済みデバイスからのみアクセス許可
7. まとめ
| 観点 | 現状(個人Gmail) | Workspace移行後 |
|---|---|---|
| 情報漏洩リスク | 中程度(PC侵害時) | 低(監査・DLPで軽減) |
| 運用の安定性 | 課題あり(7日で再認証) | 安定(トークン無期限) |
| コンプライアンス | 不十分 | 対応可能 |
| 自動化の拡張性 | 制限あり | 高い |
結論:
gogcli自体のセキュリティは適切に設計されています(オープンソース、ローカル実行、OS標準のセキュアストレージ)。
ただし、医療法人として業務利用する場合は、監査ログ・DLP・コンプライアンス対応の観点から、Google Workspace Business Plus 以上への移行を強く推奨します。
gogcli自体のセキュリティは適切に設計されています(オープンソース、ローカル実行、OS標準のセキュアストレージ)。
ただし、医療法人として業務利用する場合は、監査ログ・DLP・コンプライアンス対応の観点から、Google Workspace Business Plus 以上への移行を強く推奨します。