中規模および大規模ビジネス(ユーザー数: 100 人超)向けのセキュリティ チェックリスト

中規模および大規模ビジネスの IT 管理者向けにおすすめのセキュリティ対策をまとめましたので、企業データのセキュリティやプライバシー保護の強化にお役立てください。このチェックリストにある対策を講じるために、Google 管理コンソールで各種の設定を行います。

IT 管理者を置いていないビジネスでは、小規模ビジネス向けセキュリティ チェックリスト(ユーザー数: 1~100)に記載されたおすすめの対策のほうが実践しやすい場合もありますので、併せてご確認ください。

: G SuiteCloud Identity のエディションによっては、ここで説明する一部の設定が利用できない場合があります。

おすすめのセキュリティ対策

ビジネスの保護のため、このチェックリストに記載されている設定の多くがおすすめのセキュリティ対策としてデフォルトで有効になっています。

管理者   |   アカウント   |   アプリ   |   カレンダー   |   Chrome ブラウザ、Chrome OS   |   従来のバージョンのハングアウト   
コンタクト   |   ドライブ   |   Gmail   |   Google+   |   グループ   |   モバイル   |   サイト   |   Vault
管理者

管理者アカウントを保護する

管理者アカウントでの 2 段階認証プロセスを必須にする
特権管理者は組織内のすべてのビジネスデータと従業員データへのアクセスを管理できるため、特権管理者アカウントを追加の認証要素で保護することが特に重要です。

2 段階認証プロセスでビジネスを保護する | 2 段階認証プロセスを導入する

2 段階認証プロセスにセキュリティ キーを使用する
セキュリティ キーは、2 段階認証プロセスの認証要素のなかでも最もフィッシング対策に効果的です。

2 段階認証プロセスでビジネスを保護する

日常業務に特権管理者アカウントを使用しない
特権管理者が日常業務を行う際には、別のユーザー アカウントを使用してください。特定の特権管理者業務を行う必要がある場合にのみ、特権管理者アカウントにログインします。

管理者権限の定義 | 管理者アカウントのセキュリティに関するおすすめの方法

特権管理者アカウントでログインしたまま放置しない
特権管理者は、ログインして特定の業務を終えたらログアウトするようにしてください。

管理者アカウントのセキュリティに関するおすすめの方法 

特権管理者アカウントを管理する

複数の特権管理者アカウントを設定する
企業では複数の特権管理者アカウントを用意し、それぞれを別のユーザーが管理することをおすすめします。1 つのアカウントが失われたり不正に使用されたりした場合でも、他のアカウントを復元する間に別の特権管理者が重要な業務を行うことができます。

ユーザーに管理者の役割を割り当てる

特権管理者の役割アカウントをユーザー別に作成する
それぞれの特権管理者を識別できる管理者アカウントを用意することで、監査ログでどの特権管理者がどのアクティビティを行ったのかが明確になります。

管理者アカウントのセキュリティに関するおすすめの方法

管理者の日常業務をユーザー アカウントに委任する
必要なときにのみ特権管理者アカウントを使用するよう、日常業務をユーザー アカウントに委任します。通常の作業に必要なリソースとツールのみにアクセスできるよう、各ユーザーに最小限の権限を与えることを基本とします。

ユーザーに管理者の役割を割り当てる | 管理者アカウントのセキュリティに関するおすすめの方法 

管理者アカウントでのアクティビティを管理する

管理者へのメールアラートを設定する
不審なログインの試み、モバイル デバイスの不正使用、別の管理者による設定変更など、特定のイベントに対して管理者へのメールアラートを設定することで、管理者のアクティビティをモニタリングし、セキュリティに関する潜在的なリスクを追跡できます。

管理者へのメールアラート

管理コンソールの監査ログを確認する
管理コンソールの監査ログを使用すると、Google 管理コンソールで行われたすべてのタスクの履歴を、そのタスクを行った管理者、日付、管理者がログインした IP アドレスとともに確認できます。

管理コンソールの監査ログ

管理者アカウントを復元できるようにしておく

管理者アカウントに再設定オプションを追加する
再設定用の電話番号やメールアドレスを管理者アカウントに追加して、新しいパスワードを音声通話やテキスト メッセージ、メールで受け取れるようにします。

管理者アカウントへの再設定オプションの追加

特権管理者のパスワードを再設定するための情報を手元に保管する

特権管理者がメールや電話の再設定オプションを使用してパスワードを再設定することができず、他の特権管理者も対応できない場合は、Google サポートにご連絡ください。

本人確認を行うために、組織のアカウントに関する質問をさせていただきます。また、管理者はドメインの DNS 所有権を証明する必要もあります。アカウント情報と DNS 認証情報は、念のため安全な場所に保管しておくことをおすすめします。

管理者アカウントのセキュリティに関するおすすめの方法

予備のセキュリティ キーを登録する
管理者アカウントに複数のセキュリティ キーを登録し、安全な場所に保管してください。セキュリティ キーを複数登録しておけば、メインのセキュリティ キーの紛失や盗難があった場合でもアカウントへのログインが可能です。

アカウントにセキュリティ キーを追加する

バックアップ コードを事前に保存する
セキュリティ キーやスマートフォン(2 段階認証プロセスのコードや Google からのメッセージを受け取るデバイス)を紛失した場合でも、バックアップ コードを使えばログインすることが可能です。

バックアップ コードを生成、印刷する

アカウント

多要素認証を適用する

ユーザーによる 2 段階認証プロセス(2SV)を必須にする
2 段階認証プロセスを使用すると、ユーザーのパスワードが盗まれても不正アクセスされることのないように、ユーザーのアカウントを保護できます。

2 段階認証プロセスでビジネスを保護する | 2 段階認証プロセスを導入する

管理者などの重要なアカウントには必ずセキュリティ キーを適用する
セキュリティ キーとは、ログイン時に使用する小さなハードウェア デバイスです。セキュリティ キーを使った 2 段階認証プロセスは、フィッシング対策として有効です。

2 段階認証プロセスを導入する

パスワードを保護する

パスワード アラートでパスワードの再利用を防止する
パスワード アラートを設定すると、ユーザーが他のサイトで会社の認証情報を使用しないよう注意を促すことができます。

パスワードの再利用を防ぐ

固有のパスワードを使用する
適切なパスワードの設定は、ユーザー アカウントと管理者アカウントを保護するうえで最も重要です。推測されにくい固有のパスワードを設定するようにし、メールやオンライン バンキングなどのさまざまなアカウントでパスワードを使いまわすことのないようにしてください。

安全なパスワードを作成してアカウントのセキュリティを強化する

アカウントの不正使用を防止する、不正使用されたアカウントを保護する

使用状況レポートやアラートを定期的に確認する
使用状況レポートでは、アカウントのステータス、管理者のステータス、2 段階認証プロセスの登録の詳細について確認できます。

アカウントの使用状況レポート

管理者へのメールアラートを設定する
不審なログインの試み、モバイル デバイスの不正使用、別の管理者による設定変更など、リスクをはらむイベントに対してメールアラートを設定できます。

管理者へのメールアラート

ログイン時の本人確認方法を追加する
不審なログインが試みられた場合に備えて、ログイン時の本人確認を設定できます。ユーザーは、再設定用の電話番号または再設定用のメールアドレスに届いた確認コードを入力するか、アカウントのオーナーだけが知っている確認用の質問に答える必要があります。

ログイン時の本人確認で正当なユーザーであることを確認する | 「ログイン時の本人確認」方法として従業員 ID を追加する

不正使用されたアカウントを特定して保護する
アカウントの不正使用が疑われる場合は、アカウントを停止し、悪意のある行為がないか調べ、必要に応じて対処します。

  • アカウントに関連付けられているモバイル デバイスを確認する
  • メールログ検索を使用してドメイン内での配信の記録を確認する
  • セキュリティ レポートを使用して、ドメインがデータ セキュリティ上のリスクにさらされていないか確認する
  • 不正な設定が作成されていないか確認する

不正使用されたアカウントを特定して保護する

状況に応じてデータ ダウンロード機能を無効にする
アカウントが不正使用された場合やユーザーが退職した場合にユーザー アカウント データがダウンロードされないようにします。

ユーザーに対してデータ エクスポートをオンまたはオフにする

アプリ(G Suite のみ)

サードパーティ製アプリによるコアサービスへのアクセスを見直す
G Suite コアサービス(Gmail、ドライブなど)にアクセス可能なサードパーティ製アプリを確認し、承認します。

接続されているアプリをホワイトリストに登録する

信頼できるアプリのホワイトリストを作成する
ホワイトリストを作成して、G Suite コアサービスにアクセス可能なサードパーティ製アプリを登録します。

接続されているアプリをホワイトリストに登録する

カレンダー(G Suite のみ)

外部カレンダーの共有を制限する
外部と共有するのはカレンダーの空き時間情報のみに制限することで、データ漏洩のリスクを軽減できます。

カレンダーの可視性と共有の項目を設定する

Chrome ブラウザ、Chrome OS 

デスクトップ ブラウザ ポリシーを設定する
組織で Chrome ブラウザを利用するにあたり、ユーザーがアクセスするウェブサイトやアプリが旧式で Internet Explorer が必要な場合、Chrome の「従来のブラウザのサポート」拡張機能を使用すれば、Chrome と代替ブラウザを自動的に切り替えることができます。従来のブラウザを必要とするアプリケーションについては「従来のブラウザのサポート」を使って対応します。

Windows 向けの従来のブラウザのサポート拡張機能

Chrome OS と Chrome ブラウザの基本ポリシーを設定する
管理コンソールを使用して、Chrome OS と Chrome ブラウザの次のような基本ポリシーを設定します。

  • 自動更新設定を許可する。
  • パスワード マネージャ ポリシーを許可する。
  • セーフ ブラウジングを有効にする。
  • 悪意のあるサイトにアクセスさせない。
  • ユーザーに対してパスワード マネージャでのパスワードの表示を許可する。

Chrome のユーザー ポリシーを設定する

Chrome OS と Chrome ブラウザの詳細ポリシーを設定する
Windows グループ ポリシー エディタを使用すれば、Chrome OS と Chrome ブラウザの次のような詳細ポリシーを設定できます。

  • AbusiveExperienceInterventionEnforce(不正なコンテンツに対する処理の適用)
  • AdsSettingForIntrusiveAdsSites(煩わしい広告を含むサイトに対する広告設定)
  • AllowedDomainsForApps(アプリへのアクセスを許可するドメイン)
  • DownloadRestrictions(ダウンロードの制限)
  • SitePerProcess(サイト分離)

管理対象パソコンの Chrome ポリシーをデバイスレベルで設定する

Chrome の自動更新を有効にする
自動更新を有効にすると、Chrome の最新のセキュリティ アップデートを確実に受け取ることができます。

Chrome の更新を管理する

従来のバージョンのハングアウト(G Suite のみ)

ドメイン外のユーザーとチャットする際に警告を表示する
ドメイン外のユーザーとチャットする際に警告を表示することができます。この設定を有効にすると、ドメイン外の 1 人目のユーザーがディスカッションに追加されたときに、グループ チャットの会話が分割されます。これにより、それまでの内部のディスカッションを外部ユーザーに見られるのを防ぐことができ、データ漏洩のリスクを軽減できます。

従来バージョンのハングアウトのチャット設定

チャット招待ポリシーを設定する
この設定を使用すると、コラボレーションに関する組織のポリシーに基づいてチャット招待ポリシーが設定されます。

従来バージョンのハングアウトのチャット設定

コンタクト(G Suite のみ)

連絡先情報を自動的に共有しない
連絡先情報を自動的に共有するオプションを無効にします。

グローバル ディレクトリを有効または無効に設定する

ドライブ

ドメイン外での共有や共同編集を制限する

ドメインの共有オプションを設定する
共有オプションを無効にしてドライブの共有をドメイン内部に限定することで、データ漏洩データの引き出しのリスクを軽減できます。ドメイン外部との共有が業務上必要な場合は、共有方法について個々の組織部門ごとに定義するか、ホワイトリスト登録済みドメインを指定することで対応してください。

ドライブ ユーザーの共有権限を設定する

リンク共有のデフォルト設定を行う
新しく作成されたファイルのリンク共有を無効にします。ファイルを明示的に共有しない限り、アクセスできるのはそのファイルのオーナーのみです。

ドライブ ユーザーの共有権限を設定する

ドメイン外のユーザーとファイルを共有したときに警告を表示する
ドメイン外のユーザーとのファイル共有を許可している場合は、ユーザーがドメイン外のユーザーとファイルを共有する際に警告を表示できます。この警告によってユーザーはファイル共有が意図した操作であるかどうかを再確認できるため、データ漏洩のリスクを軽減できます。

ドライブ ユーザーの共有権限を設定する

ファイルのアクセス権限を受信者のみに制限する
ユーザーが Google ドキュメントや Google ドライブ以外の Google サービス経由でファイルを共有した場合(Gmail にリンクを貼り付けるなど)、アクセス チェッカーを使用して、共有相手にファイルへのアクセス権があるかどうかを確認できます。アクセス チェッカーの設定は [受信者のみ] にすることをおすすめします。 このように設定することでドメイン内のユーザーによって共有されたリンクへのアクセスを制御できるため、データ漏洩のリスクを軽減できます。

ドライブ ユーザーの共有権限を設定する

ユーザーがウェブに公開できないようにする
ファイルのウェブ上への公開を無効にすることで、データ漏洩のリスクを軽減できます。

ドライブ ユーザーの共有権限を設定する

外部の共同編集者に Google へのログインを義務付ける
Google アカウントでのログインを外部の共同編集者に義務付けるように設定します。Google アカウントを持っていなくてもアカウントは無料で作成でき、データ漏洩のリスクを軽減できます。

ドライブ ユーザーの共有権限を設定する

共有ドライブに保存されたファイルを管理する​
組織内のユーザーのみに、共有ドライブ内のファイルを別の組織のドライブに移動することを許可します。

ドライブ ユーザーの共有権限を設定する

新しい共有ドライブでコンテンツ共有を制御する
共有ドライブの作成設定で、新しい共有ドライブでの共有を制限できます。

共有ドライブでの共有を制御する

ドライブデータのローカルコピーを制限する

オフライン ドキュメントへのアクセスを無効にする
オフライン ドキュメントへのアクセスを無効にすると、データ漏洩のリスクを軽減できます。ドキュメントにオフラインでアクセスできる場合、そのドキュメントのコピーがローカルに保存されます。ビジネス上の理由でオフライン ドキュメントへのアクセスを有効にする場合は、リスクを最小限に抑えるために、組織部門単位でこの機能を有効にしてください。

ドキュメント エディタのオフライン利用を管理する

ドライブへのデスクトップ アクセスを無効にする
バックアップと同期クライアントまたはドライブ ファイル ストリームを導入することで、ドライブへのデスクトップ アクセスを有効にすることができます。バックアップと同期クライアントを使うと、各自のパソコンと Google ドライブの間でファイルを同期できます。ドライブ ファイル ストリームでは、ファイルをクラウドから各自のローカル パソコンに同期することが可能です。

ドライブへのデスクトップ アクセスを無効にすると、データ漏洩のリスクを軽減できます。デスクトップ アクセスを有効にする場合は、業務上必要性が高いユーザーのみを対象にしてください。

バックアップと同期の導入組織で同期を有効にする |
バックアップと同期、ドライブ ファイル ストリームを比較する

サードパーティ製アプリによるデータへのアクセスを制御する

ドライブのアドオンを許可しない
データ漏洩のリスクを軽減するには、アドオンストアからの Google ドキュメント アドオンのインストールをユーザーに許可しないようにしてください。業務上必要な場合には、組織のポリシーに合致する Google ドキュメント向けの特定のアドオンを管理者から展開することが可能です。

Google ドキュメント エディタのアドオンの有効化

Gmail(G Suite のみ)

認証とインフラストラクチャを設定する

SPF、DKIM、DMARC でメールを検証する

SPFDKIMDMARC は、DNS 設定を使用して認証とデジタル署名を行い、ドメインのなりすまし防止に役立つメール検証システムを確立します。

迷惑メールの送信者は、メールの「From」アドレスを偽装して、ドメイン内のユーザーから送信されたように見せかけることがあります。すべての送信メール ストリームに SPF と DKIM を設定することで、なりすましの被害を防ぐことができます。
SPF と DKIM の設定を終えたら、ドメインから送信されたように見せかけた未認証メールを Google や他の受信者がどう処理すべきかを DMARC レコードで定義できます。

送信メールのセキュリティを強化する(DKIM) | SPF でメールの送信者を承認する | 
偽装された迷惑メールに対するセキュリティを強化する(DMARC)

SPF と連携するように受信メール ゲートウェイを設定する
メール ゲートウェイを使用して受信メールを転送する場合は、Sender Policy Framework(SPF)を適用できるよう正しく構成されていることを確認してください。これは、迷惑メール処理への悪影響を回避するためです。

受信メールのゲートウェイを設定する

パートナーのドメインに TLS を適用する
安全な接続を確保するために、メールの送受信には TLS の使用を必須としてください。TLS の設定で、パートナーのドメインとメールをやりとりする場合はプロトコルで保護された接続を通じてでないと送受信できないようにします。

メールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須にする

承認されたすべての送信者に対して送信者の認証を要求する​
迷惑メールポリシーで [送信者の認証を要求する] 設定を有効にします。送信者の認証を要求しない場合、承認済み送信者が SPF や DKIM などの認証を有効にしていなくても、そのメールは迷惑メールフォルダに分類されません。この設定を有効にすることで、なりすましフィッシング、ホエーリングのリスクを軽減できます。詳しくは、送信者の認証についてのページをご覧ください。

迷惑メールフィルタの設定のカスタマイズ

メールが正しく配信されるように MX レコードを設定する
G Suite ドメイン ユーザーに正しくメールが配信されるよう、MX レコードが Google のメールサーバーを最も優先値の高いレコードとして参照するよう設定することで、メール紛失によるデータ削除のリスクや不正なソフトウェアの脅威を軽減できます。

G Suite と Gmail 向けに MX レコードを設定する | G Suite の MX レコードの値

ユーザーと組織を保護する

IMAP、POP アクセスを無効にする
IMAP や POP のデスクトップ クライアントを使えば、サードパーティ製メール クライアントから Gmail にアクセスすることが可能です。IMAP や POP の利用が明らかに必要なユーザー以外には POP や IMAP によるアクセスを無効にすることで、データ漏洩データ削除データの引き出しのリスクを軽減できます。IMAP クライアントはファースト パーティ(自社)製クライアントと比べて保護機能が劣る可能性があるため、IMAP アクセスを無効にすることは攻撃の脅威の軽減にもつながります。

管理アカウントで POP と IMAP の有効、無効を設定する

自動転送を無効にする
受信メールの別アドレスへの自動転送を禁止することで、メール転送を利用したデータの引き出しのリスクを軽減できます。メール転送は、攻撃者がデータを引き出すためによく利用する手法です。

自動転送を無効にする

包括的なメール ストレージを有効にする
包括的なメール ストレージの設定により、ドメイン内で送受信されたすべてのメール(Gmail 以外のメールボックスで送受信されたメールを含む)のコピーが、関連付けられているユーザーの Gmail メールボックスに確実に保存されます。この設定を有効にすると、SMTP リレーを有効にしているすべてのユーザーのメールが Google Vault に確実に保存されます。

これにより、ドメイン内のすべての送受信メール(Gmail 以外のメールボックスで送受信されたメールも含む)のコピーが関連するユーザーの Gmail メールボックスに保存されるため、データ削除のリスクを軽減できます。

包括的なメール ストレージの設定

内部の送信者に対して迷惑メールフィルタをバイパスしない
グループに追加された外部アドレスはすべて内部アドレスとして扱われるため、[内部の送信者から受信したメッセージについて、スパムフィルタをバイパスします] を無効にしてください。これにより、ドメイン内の送信者からのメールも含めた全ユーザーのメールに迷惑メールフィルタが適用され、なりすましフィッシング、ホエーリングのリスクを軽減できます。

迷惑メールフィルタの設定のカスタマイズ

迷惑メールヘッダー設定をすべてのデフォルトのルーティング ルールに追加する
迷惑メールヘッダー設定をすべてのデフォルトのルーティング ルールに追加すると、ダウンストリームのメールサーバーのフィルタ機能を最大限に活用して、なりすまし、フィッシング、ホエーリングのリスクを軽減できます。Gmail のメールには迷惑メールとフィッシングのフィルタが自動的に適用されますが、[X-Gm-Spam ヘッダーと X-Gm-Phishy ヘッダーを追加] チェックボックスをオンにすると、迷惑メールやフィッシングのステータスを示すヘッダーが追加されます。

たとえば、ダウンストリーム サーバーの管理者であれば、この情報を使用して迷惑メールやフィッシング メールをクリーンなメールと区別して処理するルールを設定できます。

デフォルトの転送の設定

[メール配信前のスキャンの強化] を有効にする
この設定を行うと、フィッシングである危険性があるメールに対して Gmail で追加のチェックを実施できるようになります。

メール配信前のスキャンの強化を設定する

外部受信者に関する警告を有効にする 
メールの返信先が組織外部の普段やりとりしていない相手であったり、連絡先に登録されていなかったりした場合に、Gmail で検出されます。この警告を有効にすると、ユーザーには警告メッセージとその警告を拒否するオプションが表示されます。

外部受信者に関する警告を設定する

添付ファイルに対する保護を強化する
悪意のある添付ファイルに対する保護設定が追加で有効になっているかどうかにかかわらず、不正なソフトウェアの被害に遭わないよう受信メールが自動的にスキャンされます。添付ファイルに対する追加の保護を有効にすると、それまでは悪意があると判断されなかったメールを検出できます。

フィッシングと不正なソフトウェアからの保護を強化する

リンクと外部コンテンツに対する追加の保護を有効にする
悪意のあるリンクやコンテンツに対する追加の保護設定が有効になっていない場合でも、不正なソフトウェアの被害に遭わないよう受信メールが自動的にスキャンされます。リンクと外部画像に対する追加の保護を有効にすると、それまではフィッシングと判断されなかったメールを検出できます。

フィッシングと不正なソフトウェアからの保護を強化する

なりすましに対する追加の保護を有効にする​
なりすましに対する保護設定が追加で有効になっているかどうかにかかわらず、保護対策としてすべてのメールが自動的にスキャンされます。なりすましや認証に対する追加の保護を有効にすると、似たドメイン名や従業員名に基づくなりすましなどのリスクを軽減できます。

フィッシングと不正なソフトウェアからの保護を強化する

Gmail を使用する日常業務のセキュリティに関する考慮事項

迷惑メールフィルタをオーバーライドにする場合は慎重に検討する

Gmail の詳細設定では、メールの配信と自動振り分け設定を詳細に制御できます。迷惑メールの増加を避けるため、これらの設定を使用して Gmail のデフォルトの迷惑メールフィルタをオーバーライドする場合は慎重に行ってください。

  • 承認済みの送信者リストにドメインやメールアドレスを追加する場合は、「送信者の認証を必要としない」オプションに注意してください。オンにすると、認証されていない送信者が Gmail の迷惑メールフィルタを迂回する可能性があります。
  • 特定の IP アドレスから送信されたメールが迷惑メールフィルタを迂回できるようにするには、これらの IP アドレスをメールのホワイトリスト追加します。ホワイトリストへの IP アドレスの追加は慎重に行ってください。特に、CIDR 表記で大量の IP アドレスをホワイトリストに登録する場合は、十分にご注意ください。
  • 受信ゲートウェイを経由して G Suite ドメインにメールを転送している場合、受信ゲートウェイの IP アドレスを受信ゲートウェイの設定に追加します。追加先はメールのホワイトリストではないのでご注意ください。
  • コンプライアンス ルールをモニタリングして調整し、迷惑メールやフィッシングを防止します。

組織に合わせた Gmail の設定の調整

承認済み送信者リストにドメインを含めない
承認済み送信者リストにはドメインを含めることができます。ただし、承認済み送信者を設定し、[これらの承認済み送信者リストにあるアドレスまたはドメインから受信したメッセージについて、スパムフィルタをバイパスする] チェックボックスをオンにした場合は、すべてのドメインをリストから削除するようにしてください。承認済み送信者リストからドメインを除外することで、なりすましフィッシング、ホエーリングのリスクを軽減できます。

迷惑メールフィルタの設定のカスタマイズ

IP アドレスをホワイトリストに登録しない
一般に、ホワイトリストに登録済みの IP アドレスから送信されたメールは迷惑メールに分類されません。Gmail の迷惑メールフィルタを最大限に活用して迷惑メール分類の精度を上げるために、メールを Gmail に転送する自社やパートナーのメールサーバーの IP アドレスは、IP ホワイトリストではなく受信メールのゲートウェイに追加してください。

Gmail で IP アドレスをホワイトリストに登録する | 受信メールのゲートウェイを設定する

Google+(G Suite のみ)

デフォルトで新しい投稿を制限する
デフォルトの設定では、新規の投稿はドメイン内のユーザーのみが行えるようにしてください。投稿を共有する前に、ユーザーがその投稿を制限付きまたは制限なしに変更することが可能です。

Google+ コンテンツのデフォルトの共有制限の設定

プロフィールの公開設定を無効にする
外部からの検索結果にユーザー プロフィールを表示しないようにします。

プロフィール検出のデフォルトの設定

Google+ プロフィールの自動作成
組織のユーザーの Google+ 公開プロフィールを自動作成しないようにします。

Google+ プロフィールを管理する
(「組織部門内のすべてのユーザーの Google+ プロフィールを作成する」をご覧ください。)

アプリに Google+ API へのアクセスを許可することを検討する
サードパーティ製アプリは、Google+ の API を利用して、投稿の閲覧、制限されている投稿の書き込み、サークルの管理などの操作をユーザーに代わって行えます。プログラムで Google+ API にアクセスする予定がある場合はこの設定を有効にし、それ以外の場合は無効にします。

Google+ API を有効または無効にする

グループ

グループへのアクセスレベルを [限定公開] に設定する
[限定公開] に設定することでドメインのメンバーのみがグループにアクセスできるように制限できるため(グループ メンバーはドメイン外からのメールを受信可能)、データ漏洩のリスクを軽減できます。

ビジネス向け Google グループの共有オプションの設定

管理者のみがグループを作成できるように制限する
管理者のみがグループを作成できるようにすることで、データ漏洩のリスクを軽減できます。

ビジネス向け Google グループの共有オプションの設定

グループのアクセス設定をカスタマイズする
おすすめの方法は次のとおりです。

  • ドメイン外のメンバーやメッセージを許可または禁止する。
  • メッセージの管理を設定する。
  • グループの表示設定を設定する。
  • 会社のポリシーに応じて他の操作を行う。

閲覧、投稿、管理できるユーザーを設定する

内部グループに対して一部のアクセス設定を無効にする
次の設定を使用すると、インターネット上の誰もがグループに参加し、メッセージを送信し、ディスカッション アーカイブを閲覧できます。内部グループに対して次の設定を無効にしてください。

  • 公開アクセス
  • インターネット上のすべてのユーザーにもこのアクセス権を与えます
  • インターネット上のすべてのユーザーにもメッセージの投稿を許可します

グループにアクセスレベルを割り当てる

グループに対してスパム管理を有効にする
スパムの疑いがあるメッセージへの対応として、管理者に通知して(または通知せずに)メッセージを管理キューに送信する、スパム メッセージを即時拒否する、管理を適用せずメッセージを投稿できるようにする、から処理方法を選ぶことができます。

新しい投稿を承認またはブロックする

モバイル

基本的なモバイル デバイス管理を有効にする

モバイル デバイス管理を有効にして企業のデータを管理する
まず、組織において、モバイル デバイスに関する要件とモバイル デバイス管理ポリシーをどのように実装するかを検討します。

少なくとも基本モバイル管理を有効にし、iOS と Android 上の企業データを把握し制御できるようにすることで、データ漏洩不正なソフトウェア悪意のある関係者によるリスクを軽減できます。

Google モバイル管理のスタートガイド

アプリへのアクセスを管理する

承認済みビジネスアプリのホワイトリストを作成する
業務に使用するアプリを審査、承認してホワイトリストに登録することで、危険性のあるアプリから企業リソースを保護します。

iOS デバイスでのアプリの管理 | Android デバイスでのアプリの管理

提供元不明のアプリをブロックする
デフォルトの設定を変更せず、Play ストア以外の提供元不明のアプリを Android モバイル デバイスにインストールしないようにします。これにより、データ漏洩アカウントへの不正アクセスデータの引き出しデータ削除不正なソフトウェアのリスクを軽減できます。

Android モバイル デバイスに設定を適用する

アプリの確認を適用する
デフォルトの設定を変更せず、提供元がわかっているアプリのみを Android モバイル デバイスにインストールするようにします。これにより、不正なソフトウェアデータ漏洩のリスクを軽減できます。

Android モバイル デバイスに設定を適用する

iOS デバイスで管理対象アプリを必須とする
iOS アプリのホワイトリストに登録したアプリは管理対象になるため、個人の iOS デバイス上のアプリやそのデータをより詳細に管理できます。管理対象アプリと管理対象外アプリの間でファイルを共有することはできません。

たとえば、管理対象のビジネスアプリから iCloud などの外部エンティティにデータをバックアップすることはできません。管理対象ビジネスアプリで PDF を作成した場合、管理対象外の個人用アプリではこの PDF を開くことができません。

iOS デバイスでのアプリの管理

アカウントとデータを保護する

モバイルのパスワード要件を適用する
ユーザーにモバイル デバイスのパスワード設定を義務付けたうえで、パスワードの安全度、有効期限、パスワードの再利用、ロック、デバイス消去の設定を行います。これにより、デバイスの紛失、盗難、転売時のデータ漏洩リスクを軽減できます。

モバイル デバイスにパスワード設定を適用する

モバイル デバイス上のデータを暗号化する
モバイル デバイスの紛失、盗難、転売時のデータ漏洩リスクを軽減するために、暗号化に対応している Android モバイル デバイスではデータを暗号化してください。なお、iOS デバイスはすべて Apple によって暗号化されています。

詳細設定を適用する

アカウントの自動ワイプを有効にする
Android モバイル デバイスを利用していない期間が指定の日数に達したときに、デバイスから会社のアカウント データを自動的に削除することで、データ漏洩のリスクを軽減できます。

Android モバイル デバイスに設定を適用する

Android の仕事用プロファイルを適用する
Android の仕事用プロファイルを利用することで、個人データと企業データを分離しておくことができます。組み込まれているデバイス管理の機能を使って仕事用プロファイルの使用を必須にすれば、企業データへのアクセスを必要とするアプリをホワイトリストに登録し、提供元不明のアプリのインストールをブロックすることが可能になります。

Android の仕事用プロファイルの設定

デバイスを管理する

不正使用されたモバイル デバイスをブロックする
不正使用された Android モバイル デバイスをブロックします。不正使用の兆候の例としては、ロック解除されたブートローダーの存在、カスタム読み取り専用メモリ(ROM)の使用、デバイス上のスーパーユーザー バイナリの存在などがあります。

詳細設定を適用する

使われていないモバイル デバイスのレポートを有効にする
使われていない(仕事用データの同期が過去 30 日間行われていない)会社所有デバイスについての月次レポートを受け取るようにします。使われていないアカウントを無効にすることで、データ漏洩のリスクを軽減できます。

使われていない会社所有のデバイスに関するレポートを受け取る

外部メディア ストレージをブロックする
ユーザーが Android モバイル デバイスとの間でデータやアプリを移動できないようにすることで、データ漏洩のリスクを軽減できます。

Android モバイル デバイスに設定を適用する

ロケーション履歴を無効にする
ロケーション履歴サービスを無効にすると、ユーザーのロケーション履歴が保存されなくなります。

その他の Google サービスのオンとオフの切り替え

サイト(G Suite のみ)

ドメイン外とのサイト共有をブロックする
ドメイン外とのサイト共有をブロックすることで、データ漏洩のリスクを軽減できます。業務上必要性が高い場合には、ドメイン外のユーザーとの共有を有効にすることも可能です。その場合は、ユーザーがドメイン外のユーザーとサイトを共有するときに警告を表示するようにしてください。

Google サイトの共有オプションを設定する | 共有オプションの設定: 従来の Google サイト

Vault(Vault のみ)

Vault アカウントを管理、監査、保護する
Vault にアクセスできるアカウントを慎重に管理、監査してください。

監査について

Vault にアクセスできるアカウントを機密扱いにする
Vault アカウントは、特権管理者アカウントと同様に、上位のアクセス権を持つアカウントとして扱う必要があります。Vault を利用できるアカウントは慎重に管理、監査し、2 段階認証プロセスを適用する必要があります。

2 段階認証プロセスでビジネスを保護する | 2 段階認証プロセスを導入する

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。