Security Guide

ゼロトラスト時代のGoogle Workspaceセキュリティ — 最低限やるべき7つの設定

Google Workspace を標準設定のまま運用していませんか。ゼロトラスト時代に最低限やるべきセキュリティ設定を、優先度順に7つに絞って解説します。

ゼロトラスト時代の Google Workspace セキュリティを象徴する多層ゲートのイメージ

Google Workspace を導入したまま、ほぼ標準設定で運用していませんか。ファイル共有・メール・カレンダー・チャットといった会社の中核情報がそこに集まっているにも関わらず、入口の鍵が初期設定のまま、という会社は実は少なくありません。

この記事では、ゼロトラスト時代に Google Workspace で最低限やるべき 7 つの設定を、ship のセキュリティコンサルティング現場での優先度順に整理します。すべて管理コンソールから無料で実装できる範囲のみに絞っています。

前提:ゼロトラストとは何か

ゼロトラストアーキテクチャの構成図

ゼロトラストの考え方をひと言で表すと、「社内ネットワークだから安全、という前提を捨てる」ことです。VPN の中に入っているか・社内 PC から接続しているかに関係なく、すべてのアクセスについて「誰が・どの端末で・どこから・何にアクセスしようとしているか」を毎回検証します。

Google Workspace は、この思想を最も実現しやすい SaaS の一つです。ただし、デフォルトの設定はあくまで「使い始めやすさ」を優先しているため、ゼロトラスト水準には届きません。明示的に設定し直す必要があります。

最低限やるべき 7 つの設定

優先度別 7 つのセキュリティ設定の一覧

1. 多要素認証(2 段階認証)の強制

すべてのアカウントに対して、2 段階認証を「強制」設定にします。「推奨」ではなく強制です。物理セキュリティキー(FIDO2)か、Google 認証システムなどの TOTP アプリのみを許可し、SMS は推奨できません。導入時の摩擦は小さく、得られる効果は最大です。最優先で実装してください。

2. デバイス管理の有効化

Google Workspace の「エンドポイント管理」を有効化し、業務用アカウントに紐づくデバイスを登録・可視化します。最低限「基本管理」だけでも、紛失時のリモートサインアウトや、未登録デバイスからのアクセス制限ができるようになります。

3. コンテキストアウェアアクセス

「特定のアプリには、管理対象デバイスからのみアクセスを許可する」「特定の IP 範囲以外からは管理コンソールに入れない」など、アクセス条件をルール化します。VPN に依存しなくても、必要なアプリだけ高い保護をかけられるのがゼロトラストの本領です。

4. 監査ログとアラート

「管理者ログ」「ログイン監査ログ」「Drive 監査ログ」を有効化し、重要イベントについてはアラートを管理者に飛ばす設定にします。「気づいたら被害が広がっていた」を防ぐには、検知の自動化が前提です。

5. 共有ドライブの権限境界

共有ドライブを「外部共有可能 / 不可能」「ダウンロード可 / 不可」「リンク共有のデフォルト」までドメイン全体で定義します。個別ファイル単位の権限は、運用が必ず崩れます。共有ドライブを単位として権限境界を引くこと。

6. Apps Script・OAuth アプリの制限

「信頼できるアプリのみ Google アカウントへのアクセスを許可する」状態にします。デフォルトでは社員が自由に外部アプリを連携できてしまうため、機密データが第三者 SaaS に流出するリスクが残ります。

7. データ漏洩防止(DLP)ルール

マイナンバー・クレジットカード番号などの機密情報パターンを、Gmail / Drive の送信時に検知・ブロックするルールを設定します。Business Plus 以上のプランで利用可能です。意図しない流出を「人の注意」に依存させない設計にできます。

優先度

すべてを一度にやる必要はありません。優先度は次の順に整理してください。

  • 必ず最初に:1. 多要素認証強制、4. 監査ログ・アラート
  • 次にやる:2. デバイス管理、5. 共有ドライブの権限境界、6. OAuth 制限
  • 余裕ができたら:3. コンテキストアウェアアクセス、7. DLP ルール

実施チェックリスト

  • 全アカウントが 2 段階認証を有効化しているか、月次でレポートを確認している
  • 外部に共有されているドキュメントの一覧を四半期に 1 回レビューしている
  • 退職者・異動者の権限剥奪ルールが文書化されており、実施記録が残っている
  • 監査ログのアラートを受け取る担当者と、エスカレーション先が決まっている

まとめ:「ゼロトラストは思想ではなく運用」

ゼロトラストは買って終わる製品ではなく、設定と運用の積み重ねでしか実現できません。「うちはまだ大丈夫」と思っているうちに、SaaS 経由で情報が外に出るインシデントが繰り返し起きているのが、いまの実態です。

ship の セキュリティコンサルティング では、Google Workspace を中心とした SaaS 環境のゼロトラスト設計と、運用定着までを伴走しています。情報セキュリティ体制を整え直したい方は、ぜひ お問い合わせ からご相談ください。

Related Articles

関連記事