デバイス管理セキュリティ チェックリスト

Google Workspace および Cloud Identity の管理者向けの、セキュリティに関するおすすめの方法です。

管理者は、Google エンドポイント管理の機能と設定を使用して、ユーザー個人のデバイス(BYOD)上と会社所有デバイス上の仕事用データを保護することができます。他にも、アカウント保護の強化、きめ細かいアクセス制御、データ保護を実現するセキュリティ機能があります。組織のデバイス セキュリティ目標を確実に達成するために、次のチェックリストを使って設定をご確認ください。

すべてのモバイル デバイス

パスワードを必須にする

管理対象となるモバイル デバイス上のデータを保護するには、ユーザーによるデバイスの画面ロックまたはパスワードの設定を必須にします。詳細管理を適用したデバイスでは、パスワードの種類、強度、最小文字数も設定できます。

管理対象モバイル デバイスのパスワード要件を設定する

紛失したデバイスをロックする、またはデバイス上の仕事用データをワイプする

デバイスを紛失した場合や従業員が離職した場合、デバイス上の仕事用データは危険な状態にあります。そのような場合は、デバイスからユーザーの仕事用アカウントをワイプすれば、仕事用データもすべて消去できます。詳細管理を適用したデバイスは、デバイス全体をワイプできます。この機能は、Cloud Identity 無償版ではご利用いただけません。

詳細管理を適用したモバイル デバイス

デバイスの暗号化を必須にする

暗号化を使用すると、デバイスのロックが解除されている場合にのみ読み取れる形式でデータが保存され、デバイスのロックを解除すると、データの暗号化が解除されます。暗号化により、デバイスの紛失や盗難が発生した場合の保護が強化されます。

デバイスの暗号化を必須にする

デバイスの制限を適用する

Android デバイスや Apple iOS デバイスのデータをユーザーが共有またはバックアップする方法を管理できます。たとえば、Android デバイスでの USB ファイル転送や、iOS デバイスでの個人用クラウド ストレージへのバックアップを禁止することができます。また、デバイスやネットワークの一部の設定へのアクセスを制限することも可能です。たとえば、デバイスのカメラをオフにしたり、Android ユーザーが Wi-Fi 設定を変更できないようにしたりすることができます。

不正使用されたデバイスをブロックする

不正使用されている可能性のある Android デバイスや Apple iOS デバイスで、ユーザーの仕事用アカウントを同期しないようすることができます。デバイスで制限解除または root 権限取得といった処理が行われると、デバイスは不正使用されていると判断され、潜在的なセキュリティ上の脅威とみなされます。

不正使用されたデバイスをブロックする

ポリシー非準拠の Android デバイスを自動的にブロックする

デバイスが組織のポリシーに準拠していない場合に、デバイスによる仕事用データへのアクセスを自動的にブロックし、ユーザーに通知することができます。たとえば、管理者がパスワードの最小文字数を 6 文字に設定したにもかかわらず、ユーザーがデバイスのパスワードを 5 文字に変更した場合、パスワード ポリシーに準拠していないためデバイスは非準拠と見なされます。

デバイス管理ルールの設定

仕事用データにアクセスするパソコン

Endpoint Verification を有効にする

ノートパソコンやデスクトップ パソコンを Endpoint Verification で管理すると、コンテキストアウェア アクセスを使用して組織のデータを保護し、組織のデータにアクセスするデバイスの詳細情報を取得できます。

Endpoint Verification を有効にする

ドライブ ファイル ストリームによる同期を会社所有のデバイスに制限する

ドライブ ファイル ストリームを使用すると、Apple Mac パソコンまたは Microsoft Windows パソコン上でブラウザを使用せずにドライブ ファイルを操作できます。ドライブ ファイル ストリームを、デバイス一覧に登録されている会社所有デバイスのみに許可することで、組織のデータの公開を制限することができます。

ドライブ ファイル ストリームを使用できるデバイスを制限する

Windows 用 Google 認証情報プロバイダ(GCPW)を設定する

ユーザーは仕事用の Google アカウントを使用して Windows 10 パソコンにログインできるようになります。GCPW は、2 段階認証プロセスとログイン時の本人確認にも対応しています。また、Google Workspace のサービスと、その他のシングル サインオン(SSO)アプリにも、Google のユーザー名とパスワードを再入力することなくアクセスできます。

概要: Windows 用 Google 認証情報プロバイダ

会社所有の Windows パソコンでユーザーの権限を制限する

Windows デバイス管理を使用すると、会社所有の Windows 10 パソコンでユーザーが実行できる操作を制御できます。Windows に対するユーザーの管理者権限レベルの設定や、Windows のセキュリティ、ネットワーク、ハードウェア、ソフトウェアの設定を適用したりすることもできます。

全デバイスを対象としたその他のセキュリティ オプション

ユーザーのアカウントに対する不正アクセスを防ぐ

ユーザーが 2 段階認証プロセス(2SV)で Google アカウントにログインするときに、追加の本人確認を必須とします。この確認方法には、物理的なセキュリティ キー、ユーザーのデバイスに組み込まれたセキュリティ キー、テキスト メッセージや電話に音声で届くセキュリティ コードなどがあります。

承認されていない人物がユーザー アカウントにアクセスしようとしている疑いがある場合、その人物に対して追加のセキュリティ保護用の質問や本人確認画面が表示されます。Google エンドポイント管理を使用する場合、管理対象のモバイル デバイス(仕事用アカウントにアクセスするために通常使用するデバイス)でユーザーに本人確認を行ってもらうことができます。追加の本人確認を設定することで、承認されていない人物がユーザー アカウントに不正アクセスする可能性が大幅に低下します。

コンテキストアウェア アクセスを使用して、VPN 外部からのアクセスを条件付きで許可する

ユーザーの ID とリクエストのコンテキスト(国や地域、デバイスのセキュリティ状況、IP アドレス)に基づいて、さまざまなアクセスレベルを設定できます。たとえば、モバイル デバイスが特定の国や地域の外部にある場合、またはデバイスが暗号化とパスワードの要件を満たしていない場合は、モバイル デバイスからの Google Workspace データへのアクセスをブロックできます。また、契約社員には会社が管理する Chromebook でのみ Google Workspace データへのアクセスを許可することもできます。

コンテキストアウェア アクセスの概要

Google Workspace データにアクセスできるアプリを管理する

組織で管理するモバイルアプリを設定します。アプリのアクセス制御を使用して、アプリがアクセスできるサービスを指定することもできます。これにより、ユーザーが悪意のあるアプリに誘導されて、仕事用データへのアクセスを誤って許可してしまうのを防げます。アプリのアクセス制御はあらゆるデバイスに有効で、BYOD デバイスと会社所有デバイスの両方で未承認のアプリによるアクセスをブロックします。

Google ドライブ、ドキュメント、スプレッドシート、スライド、Gmail の機密データを判別する

データ損失防止(DLP)ポリシーを設定することで、政府機関発行の個人 ID などの機密データを保護できます。これらのポリシーでは多くの一般的なデータタイプを検出可能で、さらにカスタム コンテンツ検出項目を作成してビジネス固有のニーズを満たすこともできます。DLP は、ソースとアプリケーション レベルでデータを保護するもので、デバイスやアクセス方法全体に適用されます。

DLP で機密情報を保護する

 


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。