- 管理者が最初に設定すべきセキュリティ5項目
- 二段階認証の強制設定の手順と注意点
- 外部共有・アプリアクセスの制御方法
- 情報漏洩リスクを下げるための運用ポイント
「Google Workspaceを導入したけど、セキュリティ設定はどこから手をつければいい?」
管理コンソールを開くとセキュリティ関連の設定項目が多く、どれが重要でどれを先にやるべきかわからないという声はよく聞かれます。
設定を後回しにしている間に、不正アクセスや情報漏洩のリスクにさらされている可能性があります。
この記事では、Google Workspace管理者が最初に確認・設定すべき5つのセキュリティ項目を、手順とともにわかりやすく解説します。
なぜGoogle Workspaceのセキュリティ設定が重要か
Google Workspaceは業務メール・社内ファイル・会議資料など、企業の重要情報が集まるプラットフォームです。
初期状態では比較的オープンな設定になっている項目もあるため、管理者が意識的にセキュリティを強化する必要があります。
中小企業がサイバー攻撃の標的になるケースは年々増加しており、「うちは小さい会社だから大丈夫」という認識はリスクにつながります。
適切な設定を行うことで、大企業と同水準のセキュリティを低コストで実現できるのがGoogle Workspaceの強みでもあります。
設定1:全ユーザーへの二段階認証(2SV)の強制
最も効果が高く、最優先で設定すべき項目です。
パスワードが漏洩しても、二段階認証があれば不正ログインを防げます。
設定手順
管理コンソール(admin.google.com)にログイン
左メニュー「セキュリティ」→「認証」→「2段階認証プロセス」を開く
「ユーザーが2段階認証プロセスを有効にできるようにする」をONにする
「適用」の項目で「今すぐ強制」または「指定日以降に強制」を選ぶ
保存する
注意点
突然「今すぐ強制」にすると、二段階認証を設定していないユーザーがログインできなくなります。
まず1〜2週間の猶予期間を設けて社員に設定を促してから強制適用するとスムーズです。
利用できる認証方法
- Google 認証システムアプリ(推奨): スマートフォンの専用アプリで確認コードを生成
- SMS・電話:登録した電話番号にコードを送信
- セキュリティキー: USBや近距離通信型の物理キー(最も安全)
- Google プロンプト: スマートフォンの通知から承認
設定2:パスワードポリシーの強化
パスワードの複雑さと管理ルールを組織全体で統一することで、弱いパスワードによる不正アクセスリスクを下げられます。
設定手順
管理コンソール → 「セキュリティ」→ 「概要」→ 「パスワード管理」を開く
以下の項目を設定して保存する
推奨設定
| 項目 | 推奨値 |
|---|---|
| 最低文字数 | 8文字以上(12文字以上を推奨) |
| 強力なパスワードを強制 | ON |
| パスワードの再利用禁止 | ON |
| 有効期限 | 組織ポリシーに応じて(設定しない場合は無期限) |
| 次回ログイン時にリセットを強制 | 必要に応じて個別設定 |
ポイント: 二段階認証を導入していれば、パスワードの定期変更を強制することの効果は限定的です。
パスワードの使い回し禁止と強力なパスワードの強制を優先してください。
設定3:Googleドライブの外部共有制御
Googleドライブのファイルを「リンクを知っている全員に共有」の設定のまま放置すると、意図せず外部に情報が公開されるリスクがあります。
設定手順
管理コンソール → 「アプリ」→「Google Workspace」→「ドライブとドキュメント」を開く
「共有設定」を開く
外部との共有ポリシーを選択する
共有ポリシーの選択肢
| 設定 | 内容 |
|---|---|
| オン(制限なし) | 社外の誰とでも共有可能(デフォルト) |
| オン(許可されたドメインのみ) | 指定したドメインとのみ共有可能 |
| オフ | 外部共有を完全に禁止 |
中小企業では「オン(制限なし)」のままにしているケースが多いですが、部門によってポリシーを変えることも可能です。
例えば営業部は取引先との共有が必要なため「制限なし」、経理部は機密情報を扱うため「オフ」といった設定が組織部門単位でできます。
「リンクを知っている全員」共有の制限
特に注意が必要なのは、ファイルを「リンクを知っている全員に公開」に設定したまま忘れてしまうケースです。
管理コンソール → レポート → 概要 → 外部と共有したファイルの数 から、外部公開中のファイル数を確認できます。
設定4:サードパーティアプリのアクセス制御
Google Workspaceのアカウントと連携するサードパーティアプリ(ChatGPTプラグインや業務ツールなど)を無制限に許可すると、データが意図せず外部に流出するリスクがあります。
設定手順
管理コンソール → 「セキュリティ」→「APIの制御」→「設定」を開く
「未設定のサードパーティ製アプリ」をクリックして、アクセルをリクエストできるサードパーティ アプリの種類を設定する
推奨設定
- 「Google でログイン」に必要な基本情報のみを要求するサードパーティ製アプリへのアクセスを許可する。
Google ログイン情報に該当するのは、ユーザーの名前、メールアドレス、プロフィール写真(ある場合)です。これらの情報以上のものをリクエストするアプリには、アクセス設定が行われていない限りアクセスできません。 - ユーザーにサードパーティ製アプリへのアクセスを許可しない:
アクセス設定が行われていないアプリにユーザーはアクセスできません。
特に生成AIツール(ChatGPT・Notion AIなど)との連携は、業務データが学習に使われるリスクへの考慮が必要です。
各ツールのプライバシーポリシーを確認した上で許可するかどうかを判断してください。
設定5:管理者アカウントの保護と監査ログの活用
最後は管理者アカウント自体の保護と、定期的な監査ログの確認です。
管理者アカウントの保護
- 特権管理者(スーパー管理者)は最小限の人数(1〜2名)に絞る
- 管理者アカウント専用の二段階認証にはセキュリティキーを推奨
- 日常業務は一般ユーザーアカウントで行い、管理作業のみ管理者アカウントを使う
監査ログの定期確認
管理コンソール → 「レポート」→「監査と調査」から以下のログを確認できます。
| ログ種別 | 確認できる内容 |
|---|---|
| 管理者ログ | 管理コンソール上の操作履歴 |
| ログインの監査 | ユーザーのログイン・ログアウト履歴、不審なログイン |
| Driveの監査 | ファイルの共有・ダウンロード・削除履歴 |
| Gmailの監査 | メールの送受信・転送設定の変更 |
月1回程度の定期確認を習慣にすることで、異常なアクセスや設定変更を早期に発見できます。
プランによるセキュリティ機能の違い
| セキュリティ機能 | Starter | Standard | Plus |
|---|---|---|---|
| 二段階認証 | ✅ | ✅ | ✅ |
| パスワードポリシー | ✅ | ✅ | ✅ |
| 外部共有制御 | ✅ | ✅ | ✅ |
| 基本的な監査ログ | ✅ | ✅ | ✅ |
| Google Vault(メール保持・eDiscovery) | ✕ | ✕ | ✅ |
| DLP(データ損失防止) | ✕ | ✕ | ✅ |
| 高度なデバイス管理 | ✕ | ✕ | ✅ |
Business StarterとStandardでも二段階認証・パスワードポリシー・外部共有制御・監査ログといった基本的なセキュリティ機能は全て使えます。
法的なメール保存義務やコンプライアンス要件がある場合はBusiness Plus以上が必要です。
よくある質問(FAQ)
- Q二段階認証を強制したら、社員から「スマートフォンを持っていない」と言われました。どうすればいいですか?
- A
二段階認証はスマートフォン以外にも、SMS送信対応の携帯電話や固定電話への音声通話でも対応できます。
また、管理者がそのユーザーだけ二段階認証を免除する設定も可能です。
ただし、セキュリティリスクを考慮した上で対応方針を決めてください。
- QGoogleドライブで「リンクを知っている全員に公開」にしていたファイルを後から確認することはできますか?
- A
はい、管理コンソールのDrive監査ログで確認できます。
ただし、全ファイルをまとめて一覧表示する機能は限定的です。
共有状況を一括確認したい場合は、Googleが提供する「Drive監査ツール」または承認済みサードパーティツールを活用してください。
- Qセキュリティ設定を変更すると、社員の業務に影響しますか?
- A
設定変更によっては影響が出る場合があります。
特に外部共有の制限を厳しくする際は、現在共有中のファイルが使えなくなる可能性があります。
変更前に社員へ周知し、影響範囲を確認してから実施することを推奨します。
- Q不審なログインがあった場合、どう対応すればいいですか?
- A
管理コンソールのログイン監査ログで該当ユーザーを確認し、すぐにパスワードをリセットして全セッションを終了させてください。
その後、ユーザーに二段階認証の設定を確認してもらい、不審なアプリ連携がないかを確認します。
必要に応じてアカウントを一時停止して調査することも検討してください。
まとめ:Google Workspaceセキュリティ設定の優先順位
- 最優先: 全ユーザーへの二段階認証の強制(最大のリスク低減効果)
- 次に: パスワードポリシーの強化・外部共有設定の見直し
- 定期的に: サードパーティアプリのアクセス制御の確認・監査ログのチェック
- Business Starter/Standardでも基本的なセキュリティ機能は十分に使える
- 法的なメール保存・高度なコンプライアンス要件がある場合はBusiness Plusを検討