Google Workspaceのセキュリティ設定完全ガイド - 2段階認証から管理コンソールまで
Google Workspaceのセキュリティを強化する完全ガイド。2段階認証の設定、管理コンソールでのポリシー設定、データ保護のベストプラクティスまで、中小企業が今すぐ実践できるセキュリティ対策を詳しく解説します。
Google Workspaceのセキュリティ設定ガイド
「クラウドって本当に安全?」
よく聞かれます。結論から言うと、適切に設定されたGoogle Workspaceは、自社サーバーより安全です。
ただし「適切に設定されていれば」の話。デフォルト設定のまま使っていると危険です。
この記事では、専門知識がなくても実践できるセキュリティ設定を優先度順に解説します。
Googleが提供する基本セキュリティ
標準で以下が含まれています:
| 機能 | 内容 |
|---|---|
| データ暗号化 | 転送中・保存時のデータを暗号化 |
| DDoS対策 | Google規模の攻撃対策 |
| 脆弱性管理 | 24時間365日の監視 |
| コンプライアンス | ISO27001、SOC2/3など取得済み |
| 99.9% SLA | 稼働率保証 |
企業側で設定が必要なもの
- 2段階認証の有効化
- パスワードポリシー
- データ共有ポリシー
- モバイルデバイス管理
- セキュリティ監査ログの確認
これらは自分で設定しないと効果がありません。
最優先:2段階認証
重要度: ★★★★★ 設定時間: 30分
なぜ必要?
パスワードが漏洩しても、スマホなどの「持っているもの」がないとログインできません。これだけで不正アクセスの大半を防げます。
設定手順
Step 1: 管理コンソールで有効化
- admin.google.comにログイン
- 「セキュリティ」→「認証」→「2段階認証プロセス」
- 「2段階認証プロセスの使用を許可する」を選択
- 「適用」
Step 2: ユーザーに必須化
- 「新しいユーザー登録の開始日」を設定
- 「ユーザーによる停止を許可しない」をチェック
- 「保存」
Step 3: ユーザーへの通知
件名: 【重要】2段階認証の設定をお願いします
社員各位
セキュリティ強化のため、2段階認証の設定をお願いします。
◯月◯日までに設定をお願いいたします。
【設定方法】
1. https://myaccount.google.com/signinoptions/two-step-verification にアクセス
2. 「使ってみる」をクリック
3. 画面の指示に従って設定
不明点は情報システム部までお問い合わせください。認証方法の比較
| 方法 | 安全性 | 使いやすさ |
|---|---|---|
| Google認証システムアプリ | ★★★★★ | ★★★★☆ |
| セキュリティキー | ★★★★★ | ★★★☆☆ |
| Google プロンプト | ★★★★☆ | ★★★★★ |
| SMS/音声通話 | ★★★☆☆ | ★★★★★ |
おすすめはGoogle認証システムアプリ + バックアップコード(緊急用)の組み合わせ。
パスワードポリシーの強化
設定時間: 15分
管理コンソール→「セキュリティ」→「認証」→「パスワード管理」
| 項目 | 推奨設定 |
|---|---|
| 最小文字数 | 12文字以上 |
| 複雑さの要件 | 有効 |
| 再利用制限 | 24世代 |
| 有効期限 | 無期限* |
*2段階認証を有効にしていれば、定期変更は不要。NISTの最新ガイドラインでも推奨されていません。
安全なパスワードの作り方
パスフレーズ方式がおすすめ:
悪い例: password123
良い例: Sakura-Cafe-Tokyo-2025!4つ以上の単語を組み合わせて、記号や数字を入れる。個人情報(誕生日など)は避ける。
もっと楽にしたいなら、1PasswordやBitwardenなどのパスワードマネージャーを使うのが正解です。
管理者アカウントの保護
管理者アカウントが乗っ取られると全滅します。
推奨構成(従業員50名の場合):
- 特権管理者: 2名(社長、IT責任者)
- グループ管理者: 2名(人事、総務)
- ユーザー管理者: 2名(IT担当)
専用アカウントを使う:
悪い例: taro.yamada@example.com(通常業務と管理者を兼用)
良い例: admin.yamada@example.com(管理者専用)管理者アカウントにはセキュリティキー(Titan、YubiKey等)を設定しておくと安心です。
ドライブの共有設定
管理コンソール→「アプリ」→「Google Workspace」→「ドライブとドキュメント」→「共有設定」
| 設定項目 | 推奨 |
|---|---|
| 組織外ユーザーとの共有 | ドメイン指定で許可(取引先のみ) |
| 共同編集者による権限変更 | 無効 |
| 閲覧者のダウンロード・印刷・コピー | 無効 |
| リンクを知っている全員 | 組織内のみ |
共有ドライブを使う
退職時のデータ引き継ぎ問題を防げます。
| 個人ドライブ | 共有ドライブ | |
|---|---|---|
| 所有権 | 個人 | 組織 |
| 退職時 | 削除リスクあり | 継続利用可 |
| 用途 | 個人の作業ファイル | チーム共有ファイル |
Gmailのセキュリティ
管理コンソール→「アプリ」→「Google Workspace」→「Gmail」→「スパム、フィッシング、マルウェア」
すべて「有効」にしておく:
- フィッシング・マルウェア保護
- 添付ファイルの保護
- リンクとURLの保護
- なりすましメールの検出
- 類似ドメイン名の検出
DLPルール(Business Plus以上)
機密情報の流出を防ぐルールを設定できます。
例1: クレジットカード番号の送信防止
- トリガー: クレジットカード番号を検出
- アクション: メール送信をブロック
- 適用範囲: 組織外への送信
例2: 機密情報の警告
- トリガー: "機密"、"社外秘"を含む
- アクション: 警告を表示
- 適用範囲: 組織外への送信モバイルデバイス管理
管理コンソール→「デバイス」→「モバイルとエンドポイント」→「設定」→「一般」
| 設定項目 | 推奨 |
|---|---|
| モバイル管理 | 有効 |
| デバイスの承認 | 必要 |
| パスワード | 必須(6桁以上) |
| 暗号化 | 必須 |
| アイドル時のロック | 5分以内 |
| リモートワイプ | 有効 |
デバイス紛失時の対応
1. ユーザーから紛失報告を受ける
2. 管理コンソール→デバイス→該当デバイスを選択
3. 「デバイスをワイプ」をクリック
4. データが削除される
5. インシデント報告書を作成月次セキュリティチェック
毎月1回、以下をチェック:
- 2段階認証の有効化状況(目標100%)
- セキュリティダッシュボードの確認
- 異常なログインアクティビティの確認
- 外部共有ファイルのレビュー
- 管理者アカウントの監査
- 新入社員・退職者のアカウント確認
監査ログで見るべきポイント
注意すべき兆候:
- 深夜・休日の管理者アクセス
- 海外からのログイン(出張がない場合)
- 短時間での大量ファイルダウンロード
- 通常と異なるIPアドレスからのアクセス
- 管理者権限の突然の付与
インシデント発生時の対応
Step 1: 検知(5分以内)
- 異常を検知したら関係者に第一報
Step 2: 初動対応(15分以内)
- 該当アカウントの一時停止
- 影響範囲の特定
- ログの保全
Step 3: 詳細調査(1時間以内)
- ログの詳細分析
- 被害範囲の確定
- 原因の特定
Step 4: 対策実施(24時間以内)
- パスワードリセット
- 権限の見直し
- 設定の修正
Step 5: 報告と再発防止(1週間以内)
- インシデント報告書作成
- 再発防止策の策定よくある質問
Q: スマホを紛失したら?
バックアップコードを事前に発行しておきましょう。紛失時はバックアップコードでログインし、新しいデバイスを登録できます。
Q: パスワードは定期的に変えるべき?
2段階認証を有効にしていれば不要です。NISTのガイドラインでも定期変更は推奨されていません。
Q: セキュリティキーは必須?
一般社員は必須ではありません。ただし管理者アカウントには強く推奨します。
Q: 退職者のアカウントは?
退職日に一時停止、データを後任者に移行後、30日以内に削除が推奨です。
まとめ:優先順位
すぐやる(1週間以内)
- 2段階認証の必須化
- パスワードポリシーの強化(12文字以上)
- 管理者アカウントの保護
- 外部共有ポリシーの設定
次にやる(1ヶ月以内)
- モバイルデバイス管理
- DLP設定(機密情報の保護)
- セッションタイムアウト設定
- 月次セキュリティ診断の開始
余裕があれば(3ヶ月以内)
- コンテキストアウェアアクセス(場所・デバイスに応じた制御)
- 高度な監査ログ分析
関連記事: