「Google Workspaceを導入したけれど、デフォルト設定のままで大丈夫だろうか?」「管理コンソールの設定項目が多すぎて、どこから手をつければいいのかわからない…」自分も最初は、膨大なメニューを前に途方に暮れていました。
こういう状況、心当たりはありませんか?
- 管理コンソールをほとんど触っておらず、導入時の設定のまま運用している
- Googleドライブで「リンクを知っている全員」で共有されたファイルが社内に散乱している
- 退職者のアカウントが削除されずに残っていて、誰も気づいていない
これらが一つでも当てはまるなら、Google Workspaceのセキュリティ設定を今すぐ見直す必要があります。
実際に設定を洗い出してみると、情報漏洩を防ぐために最低限やるべき設定は、いくつかの重要なポイントに集約されていることがわかります。この記事では、中小企業の社内SEがまず押さえるべきGoogle Workspaceセキュリティ設定を、具体的な手順とチェックリスト形式でまとめています。
Google Workspaceのセキュリティリスクと社内SEの役割
結論:デフォルト設定のままでは不十分です。 社内SEが主体的に設定を強化し、運用ルールを整備する必要があります。
なぜデフォルト設定では足りないのか
便利なクラウドサービスには、常に以下のようなリスクが伴います。
- アカウント乗っ取り: フィッシング詐欺による認証情報の窃取
- 意図しない情報漏洩: 共有リンクの設定ミスによる機密ファイルの公開
- マルウェア感染: 不審なメールの添付ファイルやリンクからの感染
- 内部不正: 退職した従業員のアカウントの不正利用
これらのリスクから会社の情報を守ることが、社内SEの役割です。設定を強化し、従業員のセキュリティ意識を高めることで、事故を未然に防ぐことができます。
実際にあった失敗例
こういう話、よく聞きます。アカウント管理をExcelで行っていた結果、削除漏れが発生し、退職者がVPNやGoogle Workspaceにアクセスできる状態が数ヶ月続いていたというケースです。発覚したのは、別件の監査対応で管理コンソールを開いたときだったそうです。「まさかうちは…」と思っていても、管理コンソールを定期的に確認していない組織では、同様のことが起きやすい状況になっています。
【管理者向け】Google Workspaceの主要セキュリティ設定項目
まずは、管理者が設定すべき項目を一覧で確認しておきます。優先度順に並べているので、上から順に対応していくのがおすすめです。
| 優先度 | 設定項目 | 目的 |
|---|---|---|
| 高 | アカウントセキュリティ強化 | 不正アクセス防止 |
| 高 | データ保護・情報漏洩対策 | 内部からの情報漏洩防止 |
| 中 | デバイス管理・アクセス制御 | 安全な端末からの利用強制 |
アカウントセキュリティの強化(多要素認証、パスワードポリシー)
結論:最初に「多要素認証(2SV)の強制」と「パスワードポリシー強化」を必ず実施してください。 これらは不正アクセスに対する最も基本的な防御策です。
具体的な設定手順
1. 多要素認証(2SV)を強制する
- Google管理コンソールにログインします。
- [セキュリティ] > [認証] > [2段階認証プロセス] へ進みます。
- 対象の組織部門を選択し、「オンにする」と「適用モード」を「強制」に設定します。
2. パスワードポリシーを強化する
- 管理コンソールの [セキュリティ] > [認証] > [パスワード管理] へ進みます。
- 「最低文字数」を 12文字以上 に設定します。
- 「パスワードの強度」を「強」に設定し、強制します。
⚠️ よくある落とし穴: 多要素認証を強制する前に、ユーザーへの事前周知と設定マニュアルの配布を徹底してください。自分が初めてこれをやったとき、周知が不十分だったせいで「ログインできない」という問い合わせが一日で10件以上来て、午前中がまるごと潰れました。いきなり強制するのはリスクがあります。
データ保護・情報漏洩対策(共有設定、DLP、監査ログ)
結論:ファイルの共有範囲を組織内に限定し、DLP機能で機密情報の外部送信をブロックします。 内部からの意図しない情報漏洩が、実は最も多いインシデントのひとつだからです。
具体的な設定手順
1. Googleドライブの共有設定を制限する
- 管理コンソールの [アプリ] > [Google Workspace] > [ドライブとドキュメント] へ進みます。
- [共有設定] > [共有オプション] をクリックします。
- 「(あなたの組織名)外との共有」項目で、「オフ」または「ホワイトリストに登録したドメインのみ許可」を選択します。
2. データ損失防止(DLP)ルールを作成する
※Enterprise以上のプランで利用可能です。
- 管理コンソールの [セキュリティ] > [データの保護] > [DLP] へ進みます。
- [ルールを作成] をクリックします。
- 「個人番号(マイナンバー)」や「クレジットカード番号」がファイルに含まれる場合に、外部共有をブロックする ルールを作成します。
3. 監査ログを定期的に確認する
- 管理コンソールの [レポート] > [監査と調査] > [ドライブのログイベント] へ進みます。
- フィルタを追加し、「公開設定」が「公開(ウェブ上で一般公開)」になっているファイルがないか、少なくとも月1回は確認します。
正直なところ、DLPの設定は最初に見たとき「何から手をつければいいんだ」と感じました。ただ、まずマイナンバーとクレジットカード番号の2つだけルールを作るところから始めると、意外とすんなり進められます。
関連記事:社内SE向けAI利用ガイドライン|情報漏洩を防ぐ実務ルールとテンプレート
デバイス管理とアクセス制御の設定
結論:理想は、会社が管理するデバイスからのアクセスのみを許可する「コンテキストアウェアアクセス」の設定です。
個人所有のPCやスマートフォンからのアクセスを許可すると、ウイルス対策ソフトの導入状況などを会社側で管理できず、マルウェア感染のリスクが高まります。
具体的な設定手順(コンテキストアウェアアクセス)
※Enterpriseプランなどで利用可能です。
- 管理コンソールの [セキュリティ] > [アクセスとデータ管理] > [コンテキストアウェアアクセス] へ進みます。
- [アクセスレベル] を作成します。例えば、会社の資産インベントリに登録されたデバイスのみを許可するルール(シリアル番号などで指定)を作成します。
- [アプリにアクセスレベルを割り当て] から、GmailやGoogleドライブなどの主要アプリに、作成したアクセスレベルを適用します。
⚠️ よくある落とし穴: アクセス制御は影響範囲が非常に大きいため、いきなり全社に適用するのは危険です。必ず情報システム部内などの小規模なグループでテスト導入し、問題がないことを確認してから展開してください。
ユーザー向けセキュリティ教育と効果的な運用方法
結論:ルールやシステムを整備するだけでは片手落ちです。定期的な教育と周知徹底が、セキュリティレベルを維持する鍵になります。
どんなに強固なシステムを導入しても、ユーザーがフィッシングメールのリンクをクリックしてしまえば、そこから侵入を許してしまいます。あなたの職場でも、「このメール怪しいと思ったけど、とりあえず開いてしまった」という話、一度くらいは聞いたことがあるのではないでしょうか。「人」の脆弱性をカバーする取り組みは、技術的な設定と同じくらい重要です。
具体的な運用例
フィッシング詐欺の疑似訓練
- 四半期に1回、全従業員を対象に疑似的なフィッシングメールを送信します。
- 開封率やリンクのクリック率を測定し、結果をフィードバックします。
シンプルなルールの周知
- 「ファイルの共有相手は、必ずアドレスを直接入力する」
- 「『リンクを知っている全員』での共有は原則禁止」
- このような覚えやすいルールをポータルサイトやチャットで定期的にアナウンスします。
マニュアルの整備
- セキュリティに関するルールやツールの使い方をまとめたマニュアルを作成し、いつでも誰でも参照できるようにします。
関連記事:【実践編】社内SE専用AIアシスタントの作り方|GPTsでマニュアル検索を効率化する
⚠️ よくある落とし穴: 一方的な教育は効果が薄いです。訓練結果を基に「なぜ危険なのか」「どうすれば防げるのか」を具体的に示すことで、自分事として捉えてもらいやすくなります。
実際に設定を見直してみた結果
- かかった時間: 初回の棚卸しと設定変更に約3時間。DLPルールの作成だけで1時間近くかかりました。
- 削減できた効果(目安): 月1回の監査ログ確認を運用に組み込んだことで、共有設定ミスの早期発見が1件→0件に。環境によって異なりますが、問い合わせ対応の件数も月3〜4件ほど減った感覚があります。
- 詰まったポイント: コンテキストアウェアアクセスの設定は、デバイスのシリアル番号をどこから取得するかで少し詰まりました。Googleエンドポイント管理側と連携させる必要があり、最初は手順が見えにくかったです。
- 正直な感想: 最初は設定項目の多さに圧倒されますが、「アカウント」「共有設定」「ログ確認」の3つを優先してやるだけで、体感のリスクはかなり下がります。
結論(社内SEならこう使う)
Google Workspaceセキュリティ設定は、一度整えたら終わりではありません。退職者のアカウント棚卸し、共有ファイルの監査ログ確認、疑似フィッシング訓練を「定期的に回す運用」として仕組み化することが、社内SEとして最もやるべきことだと感じています。
社内SEが実施すべきGoogle Workspaceセキュリティ強化チェックリスト
結論:以下のチェックリストを使い、自社の設定状況を定期的に棚卸ししてください。 設定の抜け漏れを防ぎ、継続的にセキュリティレベルを維持するための出発点になります。
アカウント関連
- [ ] 全ユーザーに対して多要素認証(2SV)が強制されているか?
- [ ] パスワードポリシーが強化されているか?(例:12文字以上、強度「強」)
- [ ] 長期間(例:90日以上)ログインのないアカウントは停止されているか?
- [ ] 退職者のアカウントは即時停止またはデータ移行後に削除されているか?
データ保護関連
- [ ] ドライブのデフォルト共有設定は「組織内」または「オフ」に制限されているか?
- [ ] 「ウェブ上で一般公開」の共有オプションは無効化されているか?
- [ ] DLPルール(個人情報や機密情報)は設定されているか?(※対象プラン)
- [ ] ドライブの監査ログを定期的に(例:月1回)確認する運用になっているか?
デバイス・アクセス関連
- [ ] モバイルデバイス管理(MDM)で、パスコード強制などの基本ポリシーが適用されているか?
- [ ] コンテキストアウェアアクセスで、信頼できるネットワークやデバイスからのアクセスに制限しているか?(※対象プラン)
運用・教育関連
- [ ] 定期的なセキュリティ教育(例:フィッシング訓練)は実施されているか?
- [ ] セキュリティに関する社内ルールやガイドラインは明文化され、周知されているか?
まずは「アカウント関連」の項目から手をつけるのが、現実的な進め方です。Google Workspaceセキュリティ設定は、一度やって終わりではなく、継続的な見直しと改善で機能するものです。このチェックリストをチームで定期的に回す仕組みを作ることが、会社の重要な情報を守ることにつながります。
