Google広告API、多要素認証を義務化

概要

Googleは広告エコシステム全体のセキュリティを強化しており、APIユーザーに多要素認証（MFA）を義務付けます。これは、開発者や広告主がアカウントにアクセスし管理する方法に影響を与える可能性があります。

Google Ads APIのMFA義務化は4月21日から順次適用が開始され、その後数週間で完全に施行される予定です。この更新は、標準的な認証ワークフローを通じて新規のOAuth 2.0リフレッシュトークンを生成するユーザーに適用されます。

変更点として、ユーザーは認証時にパスワードに加えて、電話や認証アプリなどの「第2の要素」で本人確認を行う必要があります。

既存のOAuthリフレッシュトークンは引き続き中断なく機能しますが、新規の認証ではMFAがデフォルトで必須となります。2段階認証が有効になっていないユーザーには、設定を促すプロンプトが表示されます。

この変更は、APIや接続されたツールを通じてGoogle広告データにアクセスし、管理する方法に影響を与えます。アカウントのセキュリティが向上し、不正アクセスのリスクが軽減される一方で、特に新しい認証情報を頻繁に生成するチームはワークフローの更新が必要になる場合があります。

早期に準備することで、中断を避けることができます。この変更は主に、ユーザーベースの認証を使用するアプリやワークフローに影響します。サービスアカウントのワークフローは影響を受けず、自動化されたユースケースやオフラインでの使用には推奨されます。

この要件はAPIだけでなく、Google Ads Editor、スクリプト、BigQuery Data Transfer、Data Studioなどのツールにも適用されます。

広告プラットフォームがより機密性の高いデータや自動化を扱うようになるにつれて、セキュリティは一層の優先事項となっています。これは、APIアクセスがチーム、ツール、統合全体に拡大する中で特に重要です。

この更新は不正アクセスに対する保護を強化しますが、新しい認証情報を頻繁に生成するチームや手動認証フローに依存するチームにとっては、摩擦が生じる可能性もあります。

結論として、GoogleはAds APIアクセスにMFAを標準化しており、広告ツールとワークフロー全体でより厳格なセキュリティへの広範な移行を示しています。

解説

今回のGoogle Ads APIにおける多要素認証（MFA）の義務化は、Googleがユーザーデータの保護とセキュリティ対策をいかに重視しているかを示す明確なシグナルです。サイバー攻撃が高度化する中で、パスワードのみに依存する認証はリスクが高く、この変更は不可欠な進化と言えるでしょう。

特に、広告代理店や大規模なインハウスチームでは、複数のアカウントやプロジェクトに対してAPI連携ツールを利用しているケースが多いはずです。まずは、現在利用している認証フローが「ユーザーベースの認証」か「サービスアカウント」によるものかを把握することが重要です。

もし「ユーザーベースの認証」を使用している場合は、4月21日以降に新しいOAuthトークンを生成する際にMFAの設定と利用が必須となるため、事前にチーム全体で対応計画を立てておく必要があります。具体的には、Googleアカウントの2段階認証を有効にし、認証アプリなどの準備を進めることになります。

自動化されたプロセスやオフラインでの利用が多い場合は、影響を受けない「サービスアカウント」への移行を検討することも有効な選択肢です。これにより、MFAによる運用の摩擦を回避しつつ、セキュアなアクセスを維持できます。

また、APIだけでなくGoogle Ads Editorやスクリプトなど、日常的に利用しているツールにもMFAの要件が適用される点にも注意が必要です。これらのツールの利用者がスムーズに移行できるよう、情報共有とテストを徹底することが運用中断を避ける鍵となるでしょう。

セキュリティ強化は、一時的な手間を伴うかもしれませんが、長期的に見れば不正アクセスリスクの低減や顧客データの保護につながります。今回の変更を機に、社内外のセキュリティポリシーを見直し、より堅牢な運用体制を構築する良い機会と捉えるべきです。