Google Workspaceには、GmailやGoogleドライブ、Googleカレンダーなど、数多くのGoogleサービスが搭載されています。このようなサービスでは、機密情報を扱う機会が多いため、万が一情報が漏洩した場合には、信用問題や損害賠償といった重大なトラブルに発展してしまいます。
そのため、Google Workspaceをより安全に利用するためには、管理コンソールからセキュリティ設定を行うのがおすすめです。管理コンソールには、セキュリティダッシュボードやアカウント管理、2段階認証、監査ログなどの機能が用意されており、適切な設定を行うことでセキュリティ上のリスクを軽減できます。
本記事では、Google Workspaceのセキュリティ設定でできることを詳しく解説します。設定時の注意点やポイントも紹介しているので、ぜひ参考にしてください。
Google Workspaceのセキュリティ設定でできること
Google Workspaceの管理コンソールにアクセスすると、次のようなセキュリティ設定を行えます。
- セキュリティダッシュボード
- アカウント管理
- グループ管理
- 権限管理
- 2段階認証
- シングルサインオン
- GCPW
- Googleドライブの共有オプション
- Gmailのセキュリティ設定
- DKIM・DMARC
- エンドポイント管理
- Windows Updateの自動通知
- 監査ログ
- DLP
- ログインパスワードの安全度チェック
それぞれの設定方法や設定時のポイントを詳しく解説します。
セキュリティダッシュボード
Google Workspaceの管理コンソール上には、セキュリティダッシュボードが用意されています。ダッシュボードにはファイル共有情報や迷惑メールの受信状況、現在のセキュリティ対策の有効性などの情報が可視化されており、セキュリティ状況を一目で確認できるのが特徴です。それぞれの情報は、最大180日間のデータが時系列で表示されます。
可視化する情報は自由にカスタマイズできます。不要なレポートを削除したり、重要な情報が上位に来るように並び替えたりといった調整が可能です。
アカウント管理
Google Workspaceを安全に利用するためには、適切なアカウント管理が欠かせません。アカウント管理に不備があった場合、不正アクセスの温床になったり、休眠アカウントからログイン情報が漏洩したりと、重大なトラブルに発展する恐れがあるためです。
管理コンソールにアクセスすると、アカウントを追加・削除するための管理機能が用意されています。追加したアカウントは一覧表示されるほか、氏名や部署名、Googleアカウント名、連絡先、アクセス権限といったさまざまな情報を確認できます。
Google Workspaceには、GmailやGoogleドライブ、Google Meetなどの多くのサービスが搭載されているだけあり、利用するユーザーの数も多くなりがちです。そのため、従業員が異動した場合は即座に情報を変更したり、離職した従業員のアカウントを速やかに削除したりと、アカウントリストを常に適切な状態に保つことが重要となります。
グループ管理
Google Workspaceでは、複数のユーザーを分類してグループや組織部門を作成できます。
グループとは、Google Workspaceに登録されたユーザーを、プロジェクト単位や部署単位、トピック単位などで分類できる機能です。例えば、特定のプロジェクトの参加メンバーのみでグループを作成すると、Googleのコミュニケーションサービスを用いてそのグループ内でのみコミュニケーションを行えるため、共同作業の効率性が高まります。また、グループ内でのみ使用できる専用のメールアドレスを作成することも可能です。
組織部門もグループと同様、複数のユーザーを特定のジャンル別に分類できる機能ですが、階層構造で各ユーザーを管理できる特徴があります。例えば、上位の組織部門に役員グループを、下位の組織部門に一般従業員グループを設定するようなイメージです。上位と下位それぞれにアカウントや権限、セキュリティの設定内容を一括で反映できるため、アカウント個別に設定する必要がなく、管理工数を最小限に抑えられます。
権限管理
Google Workspaceには、GmailやGoogleドライブなどの数多くのサービスがあります。仮に利用するユーザーが多い場合、サービスごとに権限を設定していては手間がかかりすぎます。
そこで、Google Workspaceの管理コンソールに用意されている、権限管理を活用するのがおすすめです。管理コンソール上で追加したユーザーや作成したグループごとに、各種サービスへのアクセス権や、データに対する閲覧権・編集権などをまとめて設定できます。
例えば、機密情報を扱うデータに対しては、一定の職位以上のユーザーしかアクセスできない設定が可能です。そのほか、営業に関する情報に関して、営業部門とマーケティング部門のみに閲覧・編集権限を与えるなど、組織や運用ルールに沿った柔軟な設定を行えます。
また、Google Workspaceには、「コンテキストアウェアアクセス」と呼ばれるアクセス制御機能が搭載されています。IPアドレスや端末といったコンテキスト(背景情報)をもとに、ユーザー一人ひとりの状況に合わせて細かくアクセス制御を行えるのが特徴です。
細かく権限を設定することで、データの盗聴や改ざんといった社内外からの不正行為を防ぐのに役立ちます。
2段階認証
2段階認証とは、Google Workspaceにログインする際、ログイン情報に加えて別の情報を使って認証を行える機能です。
機能を有効にすると、ログイン時にセキュリティコードが発行されます。ログインする際は、ログインIDとパスワードを入力したうえで、そのセキュリティコードを画面上に入力する仕組みです。
セキュリティコードは登録されているスマートフォン宛てに送信されるため、万が一ログイン情報が流出した場合でも、その端末を保有していないユーザーはログインできません。結果、なりすましや不正アクセスといったセキュリティトラブルを防止できます。
ログイン情報の窃取・盗聴を目的としたサイバー攻撃は、年々手法が高度化・巧妙化しているため、複雑なログインIDやパスワードを設定すれば安全というわけではありません。Google Workspaceの安全性を高めるためにも、必ず2段階認証を設定しておきましょう。
シングルサインオン
シングルサインオン(Single Sign On/SSO)とは、GoogleやX、Facebook、LINEといった大手サービスのログイン情報を用いて、別のサービスへと簡単にログインできる機能です。
例えば、Googleと連携したサービスサイトAにログインする際、そのサイトのログイン情報を入力せずとも、GoogleのログインIDとパスワードを入力すれば認証が完了します。複数のサービスサイトを利用する際でも別々のログイン情報を設定する必要がなく、手間なくログイン時の認証を完了させられるのがメリットです。
仮にサービスサイトごとにログインIDやパスワードを設定していた場合、管理が煩雑化し、それがもとでログイン情報が漏洩する危険性があります。シングルサインオンなら、複雑なログイン情報を一つだけ設定し、それを厳格に管理することで安全性が保たれます。
ただし、その一つのログイン情報が漏洩すると、悪意のある第三者がほかのすべてのサービスサイトにログインできる点には注意が必要です。シングルサインオンは、安全性と利便性を兼ね備える優れた機能ですが、かえってセキュリティリスクが高まることもあるので、慎重に要否を判断する必要があります。
GCPW
GCPW(Google Credential Provider for Windows)とは、Google Workspaceのアカウントを使ってWindowsにログインできる機能です。この機能は、従業員の自宅やレンタルオフィスなどで業務を行う際に役立ちます。
例えば、従業員が自宅の個人用端末で仕事をする際、家族共用のWindowsアカウントを使って端末にログインすると、社内の機密情報や重要なデータが家族の目に触れてしまう可能性があります。
一方でGCPWを利用すると、Google Workspaceのアカウントを用いて端末にログインする必要があるため、その従業員以外の人物が端末を操作できなくなります。また、その従業員が退職した際は、Google Workspaceのアカウントを削除することで、そもそもログインそのものが不可能になるため、退職後の不正アクセスや不正行為のリスクを抑えられるのもポイントです。
GCPWに関しては、自動更新やオフライン中のログインの許可といった細かな設定を行えます。社外で従業員の個人用端末を利用する際は、GCPWの設定を有効にしておくのがおすすめです。
Googleドライブの共有オプション
Google Workspaceに搭載されているサービスのなかでも、特にGoogleドライブは、機密情報を扱う機会が多く、外部に情報が漏洩すると大きな被害を受けやすいといえます。そのため、ファイル個別に共有設定を見直すのはもちろん、管理コンソール上で共有オプションを設定することも重要です。
管理コンソールで共有オプションをオフにすると、Google Workspaceの管理者アカウントがオーナーとなっているファイルは、外部と共有できなくなります。外部と共有する場合は、ファイル個別に共有設定を変更する必要があります。
また、外部と共有する場合でも、事前に許可リストを作成し、許可した相手とだけファイルを共有することも可能です。そのため、取引先や顧客のGoogleアカウントを登録しておくことで、ファイル個別に共有設定を変更せずとも、スムーズにファイルを共有できます。
Gmailのセキュリティ設定
Google Workspaceの管理コンソールには、Gmail専用のセキュリティ設定が用意されています。管理コンソールでは、グループ・組織部門単位で設定内容を一括で反映できるのが利点です。Googleサービスのなかでも特にGmailは、なりすましやフィッシングといったさまざまな脅威が存在するため、入念にセキュリティ設定を行いましょう。
管理コンソールにおけるGmailのセキュリティ設定では、まず添付ファイルに対する保護の内容を変更できます。保護されていない送信者から送られた添付ファイルや、不審なプログラムが含まれた添付ファイルなどに対して、保護機能を有効にしたり無効にしたりできます。基本的にすべての項目をオンにしておくのが理想です。
ほかにも、迷惑メールやブロックリストを設定できます。迷惑メールやブロックするメールアドレスを登録できるほか、迷惑メールを分類する際の程度や、内部ユーザーから送信されたメールを迷惑メールフィルタに適用するかなど、詳細な設定を行うことも可能です。
DKIM・DMARC
DKIMとDMARCはどちらも、メールを利用する際のなりすましや悪意のある攻撃を防ぐための機能です。DKIMでは、送信メールに付与された電子署名を検証し、その真偽を明らかにしてなりすまし行為を防ぎます。DMARCは、DKIMの認証が失敗した際、独自に設定したポリシーに則ってメールを受信するか、拒否するかを自動的に判別できます。
Google WorkspaceではGmailを利用することも多いことから、DKIMやDMARCを設定してメール受信時の安全性を高めるのがおすすめです。また、メールを送信する場合でも、Gmailアカウントに1日5,000件以上のメールを送信するといった条件を満たしていると、DKIMとDMARCの設定を必ず行わなければなりません。
DKIMとDMARCを利用するメリットや設定方法に関しては、こちらの記事で詳しく解説しています。
エンドポイント管理
エンドポイント管理とは、ユーザーが利用する端末の確認や承認を行える機能です。パソコン以外にもスマートフォンやタブレットなどの端末を登録できます。ユーザー名やOS、メールアドレス、アクセス日時などの情報が、端末ごとに一覧で表示されるのが特徴です。
また、Google Workspaceにアクセスのあった端末は、それぞれ承認・非承認の設定を変更できます。承認していない端末は、Google Workspaceにアクセスする際に自動でブロックされる仕組みです。
アカウントとあわせて端末を一元管理することで、Google Workspaceの安全性を高められます。不正アクセスがあれば、その端末の所有者やアクセス日時などの情報がわかるため、トラブルの早期発見やスムーズな問題解決につながるでしょう。
Windows Updateの自動通知
従業員が業務で使用する端末や個人用端末は、日頃のセキュリティ管理が個人の裁量に任されているケースも珍しくありません。しかし、このような状態では、OSやプログラムのアップデートがおろそかになり、それが原因でサイバー攻撃の被害に遭ったり、マルウェアが感染したりと、重大なトラブルにも発展しかねません。
上記のようなトラブルを未然に防げるのが、Windows Updateの自動通知機能です。機能を有効にすると、Google Workspaceに登録されている端末がWindowsの更新を迎える際、自動でそのユーザーに向けて通知を送信できます。また、通知を受け取っても更新を行わない場合、7日後に強制的にアップデートを行うことも可能です。
これにより、Google Workspaceに登録されている端末が、常に最新状態のWindowsを利用できるようになります。最新のOSは過去の脆弱性が改善されていることが多いため、サイバー攻撃やマルウェア感染などの不要な脅威を排除しやすくなります。
監査ログ
Google Workspaceの監査ログ機能を利用すると、ユーザーの使用状況を一目で確認できます。管理者や各ユーザー、あるいはGoogleサービスごとの操作履歴や設定変更履歴などを一覧形式でチェックできるのが特徴です。
例えば、管理者がGoogle Workspaceのパスワードを変更すると、その日付と管理者名、IPアドレスとともに、「○○がパスワードを変更しました」のログが記録されます。誰が何を行ったかが詳細に記録されるほか、IPアドレスを参考にすることで、なりすましやアカウント乗っ取りの危険性をチェックすることも可能です。
DLP(データ損失防止)
DLP(Data Loss Prevention)とは、Google Workspaceに保存されているデータの損失を防止するための機能です。機密情報や従業員の個人情報などを自動的に検出して保護できます。
管理コンソールから[セキュリティ > アクセスとデータ管理 > データの保護]の順にアクセスすると、このDLPのポリシーを設定できます。一例としては、Googleドライブのなかで「社外秘」の文字が含むファイルがある場合、そのファイルが外部に共有される場合に警告を表示するような活用が可能です。ポリシーを適用するサービスや文字列などは自由に指定できます。
ログインパスワードの安全度チェック
管理コンソールから[セキュリティ > 認証 > パスワードの管理]の順にアクセスすると、Googleアカウントのユーザーが現在使用しているログインパスワードの安全度をチェックできます。8~100文字の間で任意のログインパスワードを指定したり、ログインパスワードごとに有効期限を設定したりできるのが特徴です。
ユーザーが安全度の低いログインパスワードを使っている場合は、[次回ログイン時にパスワードポリシーを適用する]にチェックを入れるのが良いでしょう。すると、そのユーザーが次回からGoogle Workspaceにログインする際、強制的にログインパスワードを変更しなければならなくなります。
Google Workspaceで適切なセキュリティ設定を行うためのポイント
Google Workspaceでセキュリティ設定を行う際は、いくつか注意しておくべきポイントが存在します。それぞれのポイントについて詳しく解説します。
事前にツールの運用範囲を決めておく
Google Workspaceでは、アカウントやグループ、組織部門に加え、それぞれの権限を一括で設定することが可能です。登録できるアカウントは社内の従業員だけでなく、取引先の担当者や顧客も対象に含まれます。
特に従業員数や取引先が多い大企業の場合は、やみくもにアカウントやグループを追加すると管理が煩雑化しがちです。そのため、どのようなユーザーが利用するか、グループには誰と誰を追加するか、各ユーザーにどのような形で権限を設定するかなど、詳細な運用範囲を決めておくと良いでしょう。
あらかじめGoogleスプレッドシートやExcelなどに、ユーザーの氏名や部署、Googleアカウント名、権限の範囲などをまとめておくと、Google Workspaceで設定を行う際にもスムーズです。また、アカウントや権限の一元管理を徹底することで、不正アクセスや不正利用のリスクにも柔軟に対処しやすくなります。
ツールの導入前に無料トライアルで操作性や機能性を試す
Google Workspaceのセキュリティ設定は、できることが多く、初めて操作する方にとっては複雑でわかりにくいことも多いものです。そこで、Google Workspaceをまだ導入していない場合は、無料トライアルを使って操作性や機能性を試しておくことをおすすめします。
無料トライアルの期間は14日間です。この期間中はGoogle Workspaceの全機能に加え、Enterpriseプランでしか使えないDLPやセキュリティセンター、Cloud Identity Premiumといったセキュリティ機能も試用できます。そのため、Google Workspaceの安全性だけでなく、有料版のGmailやGoogleドライブなどの使い勝手を試せるのもメリットだといえるでしょう。
パートナー企業のサポートも視野に入れる
Google Workspaceは直接登録する以外にも、パートナー企業を経由して契約することも可能です。パートナー企業を経由した場合、価格割引や導入支援サポートを受けられることもあります。
パートナー企業はGoogle社から認定されているため、Google Workspaceに関する知見に優れた担当者が数多く在籍しているケースも珍しくありません。スペシャリストからのサポートを受けることで、自社独自の課題を洗い出したうえで、最適なセキュリティ設定を行えるメリットがあります。特に初めてGoogle Workspaceを利用する場合、パートナー企業のサポートも視野に入れて導入を検討すると良いでしょう。
適切なセキュリティ設定でGoogle Workspaceを安全に運用しよう
Google Workspaceを利用する場合、最初に必ずセキュリティ設定を行いましょう。Google Workspaceで利用するGmailやGoogleドライブといったサービスは、社内の機密情報や従業員の個人情報を扱う機会が多いことから、安全性を高める取り組みが欠かせません。
幸いにもGoogle Workspaceの管理コンソールには、セキュリティを向上できる機能が数多くそろっています。それぞれの設定方法を深く理解することで、自社にとって最適なセキュリティ対策を実施できます。
電算システムでは、環境構築やコンサルティングなど、Googleサービスの導入支援サービスを提供しています。GmailやGoogleドライブといった個別のサービスはもちろん、Google Workspaceのサポートにも対応しています。専門領域に精通した数多くのエンジニアが在籍しているので、スピーディかつ質の高いサポートを行えるのが強みstrong>です。Google Workspaceの活用を検討している方は、以下の資料も参考に、導入の際には電算システムのサポートを利用してみてはいかがでしょうか。
- カテゴリ:
- Google Workspace
- キーワード:
- google workspace セキュリティ設定
