中規模および大規模ビジネス(ユーザー数: 100 人超)向けのセキュリティ チェックリスト

中規模および大規模ビジネスの IT 管理者向けにおすすめのセキュリティ対策をまとめましたので、企業データのセキュリティやプライバシー保護の強化にお役立てください。このチェックリストにある対策を講じるために、Google 管理コンソールで各種の設定を行います。

IT 管理者を置いていないビジネスでは、小規模ビジネス向けセキュリティ チェックリスト(ユーザー数: 1~100)に記載されたおすすめの対策のほうが実践しやすい場合もありますので、併せてご確認ください。

: Google Workspace のエディションまたは Cloud Identity のエディションによっては、ここで説明する一部の設定が利用できない場合があります。

おすすめのセキュリティ対策

ビジネスの保護のため、このチェックリストに記載されている設定の多くがおすすめのセキュリティ対策としてデフォルトで有効になっています。

すべて開く   |   すべて閉じる

管理者   |   アカウント   |   アプリ   |   カレンダー   |   Chrome ブラウザ、Chrome OS   |   従来のハングアウト   
コンタクト   |   ドライブ   |   Gmail   |   Google+   |   グループ   |   モバイル   |   サイト   |   Vault
管理者 

管理者アカウントを保護する

管理者アカウントでの 2 段階認証プロセスを必須にする
特権管理者には組織内のすべてのビジネス データと従業員データへのアクセスを管理する権限があるため、特権管理者のアカウントを追加の認証要素で保護することが特に重要です。

2 段階認証プロセスでビジネスを保護する | 2 段階認証プロセスを導入する

2 段階認証プロセスでセキュリティ キーを使用する
セキュリティ キーは、2 段階認証プロセスの認証要素のなかでも最もフィッシング対策に効果的です。

2 段階認証プロセスでビジネスを保護する

日常業務に特権管理者アカウントを使用しない
特権管理者が日常業務を行う際には、別のユーザー アカウントを使用してください。特定の特権管理者業務を行う必要がある場合にのみ、特権管理者アカウントにログインします。

管理者権限の定義 | 管理者アカウントのセキュリティに関するおすすめの方法

特権管理者アカウントにログインしたまま放置しない
特権管理者は、特定の特権管理者タスクを行う場合にのみログインし、タスクを終えたらログアウトするようにしてください。

管理者アカウントのセキュリティに関するおすすめの方法 

特権管理者アカウントを管理する

複数の特権管理者アカウントを設定する
企業では複数の特権管理者アカウントを用意し、それぞれを別のユーザーが管理することをおすすめします。1 つのアカウントが失われたり不正に使用されたりした場合でも、他のアカウントを復元する間に別の特権管理者が重要な業務を行うことができます。

ユーザーに管理者ロールを割り当てる

特権管理者のロール アカウントをユーザー別に作成する
それぞれの特権管理者を識別できる管理者アカウントを用意することで、監査ログでどの特権管理者がどのアクティビティを行ったのかが明確になります。

管理者アカウントのセキュリティに関するおすすめの方法

管理者の日常業務をユーザー アカウントに委任する
必要なときにのみ特権管理者アカウントを使用するよう、日常業務をユーザー アカウントに委任します。通常の作業に必要なリソースとツールのみにアクセスできるよう、各ユーザーに最小限の権限を与えることを基本とします。

ユーザーに管理者ロールを割り当てる | 管理者アカウントのセキュリティに関するおすすめの方法 

管理者アカウントでのアクティビティを管理する

管理者へのメールアラートを設定する
不審なログインの試み、モバイル デバイスの不正使用、別の管理者による設定変更など、特定のイベントに対して管理者へのメールアラートを設定することで、管理者のアクティビティをモニタリングし、セキュリティに関する潜在的なリスクを追跡できます。

管理者へのメールアラート

管理コンソールの監査ログを確認する
管理コンソールの監査ログを使用すると、Google 管理コンソールで行われたすべてのタスクの履歴を、そのタスクを行った管理者、日付、管理者がログインした IP アドレスとともに確認できます。

管理コンソールの監査ログ

管理者アカウントを復元できるようにしておく

管理者アカウントに再設定オプションを追加する
再設定用の電話番号やメールアドレスを管理者アカウントに追加して、新しいパスワードを音声通話やテキスト メッセージ、メールで受け取れるようにします。

管理者アカウントへの再設定オプションの追加

特権管理者のパスワードを再設定するための情報を手元に保管する

特権管理者がメールや電話の再設定オプションを使用してパスワードを再設定することができず、他の特権管理者も対応できない場合は、Google サポートにご連絡ください。

本人確認を行うために、組織のアカウントに関する質問をさせていただきます。また、管理者はドメインの DNS 所有権を証明する必要もあります。アカウント情報と DNS 認証情報は、念のため安全な場所に保管しておくことをおすすめします。

管理者アカウントのセキュリティに関するおすすめの方法

予備のセキュリティ キーを登録する
管理者アカウントに複数のセキュリティ キーを登録し、安全な場所に保管してください。セキュリティ キーを複数登録しておけば、メインのセキュリティ キーの紛失や盗難があった場合でもアカウントへのログインが可能です。

アカウントにセキュリティ キーを追加する

バックアップ コードを事前に保存する
セキュリティ キーやスマートフォン(2 段階認証プロセスのコードや Google からのメッセージを受け取るデバイス)を紛失した場合でも、バックアップ コードを使えばログインすることが可能です。

バックアップ コードを生成、印刷する

アカウント 

多要素認証を適用する

ユーザーによる 2 段階認証プロセス(2SV)を必須にする
2 段階認証プロセスを使用すると、ユーザーのパスワードが盗まれても不正アクセスされることのないように、ユーザーのアカウントを保護できます。

2 段階認証プロセスでビジネスを保護する | 2 段階認証プロセスを導入する

管理者などの重要なアカウントには必ずセキュリティ キーを適用する
セキュリティ キーとは、フィッシング対策として 2 段階認証プロセスを実装する小さなハードウェア デバイスで、ログイン時に使用します。

2 段階認証プロセスを導入する

パスワードを保護する

パスワード アラートでパスワードの再利用を防止する
パスワード アラートを設定すると、ユーザーが他のサイトで会社の認証情報を使用しないよう注意を促すことができます。

パスワードの再利用を防止する

固有のパスワードを使用する
適切なパスワードの設定は、ユーザー アカウントと管理者アカウントを保護するうえで最も重要です。推測されにくい固有のパスワードを設定するようにし、メールやオンライン バンキングなどのさまざまなアカウントでパスワードを使いまわすことのないようにしてください。

安全なパスワードを作成してアカウントのセキュリティを強化する

アカウントの不正使用を防止する、不正使用されたアカウントを保護する

アクティビティ レポートやアラートを定期的に確認する
アクティビティ レポートでは、アカウントのステータス、管理者のステータス、2 段階認証プロセスの登録の詳細について確認できます。

アカウント アクティビティ レポート

管理者へのメールアラートを設定する
不審なログインの試み、モバイル デバイスの不正使用、別の管理者による設定変更など、リスクをはらむイベントに対してメールアラートを設定できます。

管理者へのメールアラート

ログイン時の本人確認方法を追加する
不審なログインが試みられた場合に備えて、ログイン時の本人確認を設定できます。ユーザーは、再設定用の電話番号または再設定用のメールアドレスに届いた確認コードを入力するか、アカウントのオーナーだけが知っている確認用の質問に答える必要があります。

ログイン時の本人確認で正当なユーザーであることを確認する | 「ログイン時の本人確認」方法として従業員 ID を追加する

不正使用されたアカウントを特定して保護する
アカウントの不正使用が疑われる場合は、アカウントを停止し、悪意のある行為がないか調べ、必要に応じて対処します。

  • アカウントに関連付けられているモバイル デバイスを確認する
  • メールログ検索を使用してドメイン内での配信の記録を確認する
  • セキュリティ レポートを使用して、ドメインがデータ セキュリティ上のリスクにさらされていないか確認する
  • 不正な設定が作成されていないか確認する

不正使用されたアカウントを特定して保護する

状況に応じてデータ ダウンロード機能を無効にする
アカウントが不正使用された場合やユーザーが退職した場合にユーザー アカウント データがダウンロードされないようにします。

ユーザーに対して Google データ エクスポートを有効または無効にする

アプリ(Google Workspace のみ)

サードパーティ製アプリによるコアサービスへのアクセスを見直す
Google Workspace コアサービス(Gmail、ドライブなど)にアクセス可能なサードパーティ製アプリを確認し、承認します。

Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する

信頼できるアプリのリストを作成する
許可リストを作成して、Google Workspace コアサービスにアクセス可能なサードパーティ製アプリを登録します。

Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する

カレンダー(Google Workspace のみ)

外部カレンダーの共有を制限する
外部と共有するのはカレンダーの空き時間情報のみに制限することで、データ漏洩のリスクを軽減できます。

カレンダーの公開および共有設定

Chrome ブラウザ、Chrome OS 

デスクトップ ブラウザ ポリシーを設定する
組織で Chrome ブラウザを利用するにあたり、ユーザーがアクセスするウェブサイトやアプリが旧式で Internet Explorer が必要な場合、Chrome の「従来のブラウザのサポート」拡張機能を使用すれば、Chrome と代替ブラウザを自動的に切り替えることができます。従来のブラウザを必要とするアプリケーションについては「従来のブラウザのサポート」を使って対応します。

従来のブラウザのサポートWindows の場合:

Chrome OS と Chrome ブラウザの基本ポリシーを設定する
管理コンソールを使用して、Chrome OS と Chrome ブラウザの次のような基本ポリシーを設定します。

  • 自動更新設定を許可する。
  • パスワード マネージャ ポリシーを許可する。
  • セーフ ブラウジングを有効にする。
  • 悪意のあるサイトにアクセスさせない。
  • ユーザーに対してパスワード マネージャでのパスワードの表示を許可する。

ユーザー用の Chrome ポリシーを設定する

Chrome OS と Chrome ブラウザの詳細ポリシーを設定する
Windows グループ ポリシー エディタを使用すれば、Chrome OS と Chrome ブラウザの次のような詳細ポリシーを設定できます。

  • AbusiveExperienceInterventionEnforce(不正なコンテンツに対する処理の適用)
  • AdsSettingForIntrusiveAdsSites(煩わしい広告を含むサイトに対する広告設定)
  • AllowedDomainsForApps(アプリへのアクセスを許可するドメイン)
  • DownloadRestrictions(ダウンロードの制限)
  • SitePerProcess(サイト分離)

管理対象パソコンに Chrome ブラウザのポリシーを設定する

Chrome の自動更新を有効にする
自動更新を有効にすると、Chrome の最新のセキュリティ アップデートを確実に受け取ることができます。

Chrome の更新を管理する

従来のハングアウト(Google Workspace のみ)

ドメイン外のユーザーとチャットする際に警告を表示する
ドメイン外のユーザーとチャットする際に警告を表示することができます。この設定を有効にすると、ドメイン外の 1 人目のユーザーがディスカッションに追加されたときに、グループ チャットの会話が分割されます。これにより、それまでの内部のディスカッションを外部ユーザーに見られるのを防ぐことができ、データ漏洩のリスクを軽減できます。

従来のハングアウトの設定

チャット招待ポリシーを設定する
この設定を使用すると、コラボレーションに関する組織のポリシーに基づいてチャット招待ポリシーが設定されます。

従来のハングアウトの設定

コンタクト(Google Workspace のみ)

連絡先情報を自動的に共有しない
連絡先情報を自動的に共有するオプションを無効にします。

グローバル ディレクトリを有効または無効に設定する

ドライブ  

ドメイン外での共有と共同編集を制限する

ドメインの共有オプションを設定する
共有オプションを無効にしてドライブの共有をドメイン内部に限定することで、データ漏洩およびデータの引き出しのリスクを軽減できます。ドメイン外部との共有が業務上必要な場合は、共有方法について個々の組織部門ごとに定義するか、許可リストでドメインを指定することで対応してください。

ドライブ ユーザーの共有権限を設定する

リンク共有のデフォルト設定を行う
新しく作成されたファイルのリンク共有を無効にします。ファイルを明示的に共有しない限り、アクセスできるのはそのファイルのオーナーのみです。

ドライブ ユーザーの共有権限を設定する

ドメイン外のユーザーとファイルを共有したときに警告を表示する
ドメイン外のユーザーとのファイル共有を許可している場合は、ユーザーがドメイン外のユーザーとファイルを共有する際に警告を表示できます。この警告によってユーザーはファイル共有が意図した操作であるかどうかを再確認できるため、データ漏洩のリスクを軽減できます。

ドライブ ユーザーの共有権限を設定する

ファイルのアクセス権限を受信者のみに制限する
ユーザーが Google ドキュメントや Google ドライブ以外の Google サービス経由でファイルを共有した場合(Gmail にリンクを貼り付けるなど)、アクセス チェッカーを使用して、共有相手にファイルへのアクセス権があるかどうかを確認できます。アクセス チェッカーの設定は [受信者のみ] にすることをおすすめします。ドメイン内のユーザーによって共有されたリンクへのアクセスを制御できるため、データ漏洩のリスクを軽減することが可能です。

ドライブ ユーザーの共有権限を設定する

ユーザーがウェブに公開できないようにする
ファイルのウェブ上への公開を無効にすることで、データ漏洩のリスクを軽減できます。

ドライブ ユーザーの共有権限を設定する

外部の共同編集者に Google へのログインを義務付ける
Google アカウントでのログインを外部の共同編集者に義務付けるように設定します。Google アカウントを持っていなくてもアカウントは無料で作成でき、データ漏洩のリスクを軽減できます。

ドライブ ユーザーの共有権限を設定する

共有ドライブに保存されたファイルを管理する​
組織内のユーザーのみに、共有ドライブ内のファイルを別の組織のドライブに移動することを許可します。

ドライブ ユーザーの共有権限を設定する

新しい共有ドライブでコンテンツ共有を制御する
共有ドライブの作成設定で、新しい共有ドライブでの共有を制限できます。

共有ドライブでの共有を制御する

ドライブデータのローカルコピーを制限する

オフライン ドキュメントへのアクセスを無効にする
オフライン ドキュメントへのアクセスを無効にすると、データ漏洩のリスクを軽減できます。ドキュメントにオフラインでアクセスできる場合、そのドキュメントのコピーがローカルに保存されます。ビジネス上の理由でオフライン ドキュメントへのアクセスを有効にする場合は、リスクを最小限に抑えるために、組織部門単位でこの機能を有効にしてください。

ドキュメント エディタのオフライン利用を管理する

ドライブへのデスクトップ アクセスを無効にする
バックアップと同期クライアントまたはパソコン版 Google ドライブをデプロイすることで、ドライブへのデスクトップ アクセスを有効にすることができます。バックアップと同期クライアントを使うと、各自のパソコンと Google ドライブの間でファイルを同期できます。パソコン版ドライブでは、ファイルをクラウドから各自のローカル パソコンに同期することが可能です。

ドライブへのデスクトップ アクセスを無効にすると、データ漏洩のリスクを軽減できます。デスクトップ アクセスを有効にする場合は、業務上必要性が高いユーザーに対してのみデスクトップ アクセスを有効にしてください。

バックアップと同期のデプロイ組織で同期を有効にする |
バックアップと同期、パソコン版ドライブの違い

サードパーティ製アプリによるデータへのアクセスを制御する

Google ドキュメントのアドオンを許可しない
データ漏洩のリスクを軽減するには、アドオンストアからの Google ドキュメント アドオンのインストールをユーザーに許可しないようにしてください。業務上必要な場合には、組織のポリシーに合致する Google ドキュメント向けの特定のアドオンを管理者から展開することが可能です。

Google ドキュメント エディタのアドオンの有効化

Gmail(Google Workspace のみ)

認証とインフラストラクチャを設定する

SPF、DKIM、DMARC でメールを検証する

SPFDKIMDMARC は、DNS 設定を使用して認証とデジタル署名を行い、ドメインのなりすまし防止に役立つメール検証システムを確立します。

迷惑メールの送信者は、メールの「From」アドレスを偽装して、ドメイン内のユーザーから送信されたように見せかけることがあります。すべての送信メール ストリームに SPF と DKIM を設定することで、なりすましの被害を防ぐことができます。 
SPF と DKIM の設定を終えたら、ドメインから送信されたように見せかけた未認証メールを Google や他の受信者がどう処理すべきかを DMARC レコードで定義できます。

送信メールのセキュリティを強化する(DKIM) | SPF でメールの送信者を承認する | 
偽装された迷惑メールに対するセキュリティを強化する(DMARC)

SPF と連携するように受信メール ゲートウェイを設定する
メール ゲートウェイを使用して受信メールを転送する場合は、Sender Policy Framework(SPF)を適用できるよう正しく構成されていることを確認してください。これは、迷惑メール処理への悪影響を回避するためです。

受信メールのゲートウェイを設定する

パートナーのドメインに TLS を適用する
安全な接続を確保するために、メールの送受信には TLS の使用を必須としてください。TLS の設定で、パートナーのドメインとメールをやりとりする場合はプロトコルで保護された接続を通じてでないと送受信できないようにします。

メールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須にする

承認されたすべての送信者に対して送信者の認証を要求する​​
迷惑メールポリシーで [送信者の認証を要求する] 設定を有効にします。送信者の認証を要求しない場合、承認済み送信者が SPF や DKIM などの認証を有効にしていなくても、そのメールは迷惑メールフォルダに分類されません。この設定を有効にすることで、なりすましフィッシング、ホエーリングのリスクを軽減できます。詳しくは、送信者の認証についてのページをご覧ください。

迷惑メールフィルタ設定のカスタマイズ

メールが正しく配信されるように MX レコードを設定する
Google Workspace ドメイン ユーザーに正しくメールが配信されるように、MX レコードが Google のメールサーバーを最も優先値の高いレコードとして参照するよう設定することで、メール紛失によるデータ削除のリスクや不正なソフトウェアの脅威を軽減できます。

​Google Workspace​ のメール向けに MX レコードを設定する | ​Google Workspace​ の MX レコードの値

ユーザーと組織を保護する

IMAP、POP アクセスを無効にする
IMAP や POP のデスクトップ クライアントを使えば、サードパーティ製メール クライアントから Gmail にアクセスすることが可能です。IMAP や POP の利用が明らかに必要なユーザー以外には POP や IMAP によるアクセスを無効にすることで、データ漏洩データ削除データの引き出しのリスクを軽減できます。IMAP クライアントはファースト パーティ(自社)製クライアントと比べて保護機能が劣る可能性があるため、IMAP アクセスを無効にすることは攻撃の脅威の軽減にもつながります。

ユーザーに対して IMAP と POP の有効と無効の設定を切り替える

自動転送を無効にする
受信メールの別アドレスへの自動転送を禁止することで、メール転送を利用したデータの引き出しのリスクを軽減できます。メール転送は、攻撃者がデータを引き出すためによく利用する手法です。

自動転送を無効にする

包括的なメール ストレージを有効にする
包括的なメール ストレージの設定により、ドメイン内で送受信されたすべてのメール(Gmail 以外のメールボックスで送受信されたメールを含む)のコピーが、関連付けられているユーザーの Gmail メールボックスに確実に保存されます。この設定を有効にすると、SMTP リレーを有効にしているすべてのユーザーのメールが Google Vault に確実に保存されます。

これにより、ドメイン内のすべての送受信メール(Gmail 以外のメールボックスで送受信されたメールも含む)のコピーが関連するユーザーの Gmail メールボックスに保存されるため、データ削除のリスクを軽減できます。

包括的なメール ストレージの設定

内部の送信者に対して迷惑メールフィルタをバイパスしない
グループに追加された外部アドレスはすべて内部アドレスとして扱われるため、[内部の送信者から受信したメッセージについて、スパムフィルタをバイパスします] をオフにしてください。これにより、ドメイン内の送信者からのメールも含めた全ユーザーのメールに迷惑メールフィルタが適用され、なりすましフィッシング、ホエーリングのリスクを軽減できます。

迷惑メールフィルタ設定のカスタマイズ

迷惑メールヘッダー設定をすべてのデフォルトのルーティング ルールに追加する
迷惑メールヘッダー設定をすべてのデフォルトのルーティング ルールに追加すると、ダウンストリームのメールサーバーのフィルタ機能を最大限に活用して、なりすまし、フィッシング、ホエーリングのリスクを軽減できます。Gmail のメールには迷惑メールとフィッシングのフィルタが自動的に適用されますが、[X-Gm-Spam ヘッダーと X-Gm-Phishy ヘッダーを追加] チェックボックスをオンにすると、迷惑メールやフィッシングのステータスを示すヘッダーが追加されます。

たとえば、ダウンストリーム サーバーの管理者であれば、この情報を使用して迷惑メールやフィッシング メールをクリーンなメールと区別して処理するルールを設定できます。

デフォルトの転送の設定

[メール配信前のスキャンの強化] を有効にする
この設定を行うと、フィッシングである危険性があるメールに対して Gmail で追加のチェックを実施できるようになります。

メール配信前のスキャンの強化を設定する

外部受信者に関する警告を有効にする 
メールの返信先が組織外部の普段やりとりしている相手であるか、コンタクトに登録されているかどうかを Gmail が検出します。管理者がこの警告を設定した場合、ユーザーには警告メッセージとその警告を無視するオプションが表示されます。

外部受信者に関する警告を設定する

添付ファイルに対する保護を強化する
悪意のある添付ファイルに対する保護設定が追加で有効になっているかどうかにかかわらず、不正なソフトウェアの被害に遭わないよう受信メールが自動的にスキャンされます。添付ファイルに対する追加の保護を有効にすると、それまでは悪意があると判断されなかったメールを検出できます。

高度なフィッシングと不正なソフトウェアへの対策

リンクと外部コンテンツに対する追加の保護を有効にする
悪意のあるリンクやコンテンツに対する追加の保護設定が有効になっていない場合でも、不正なソフトウェアの被害に遭わないよう受信メールが自動的にスキャンされます。リンクと外部画像に対する追加の保護を有効にすると、それまではフィッシングと判断されなかったメールを検出できます。

高度なフィッシングと不正なソフトウェアへの対策

なりすまし対策を強化する​
なりすましに対する保護設定が追加で有効になっているかどうかにかかわらず、保護対策としてすべてのメールが自動的にスキャンされます。なりすましや認証に対する追加の保護を有効にすると、似たドメイン名や従業員名に基づくなりすましなどのリスクを軽減できます。

高度なフィッシングと不正なソフトウェアへの対策

Gmail を使用する日常業務のセキュリティに関する考慮事項

迷惑メールフィルタをオーバーライドにする場合は慎重に検討する

Gmail の詳細設定では、メールの配信と自動振り分け設定を詳細に制御できます。迷惑メールの増加を避けるため、これらの設定を使用して Gmail のデフォルトの迷惑メールフィルタをオーバーライドする場合は慎重に行ってください。

  • 承認済みの送信者リストにドメインやメールアドレスを追加する場合は、「送信者の認証を必要としない」オプションに注意してください。オンにすると、認証されていない送信者が Gmail の迷惑メールフィルタを迂回する可能性があります。
  • 特定の IP アドレスから送信されたメールが迷惑メールフィルタを迂回できるようにするには、これらの IP アドレスをメールの許可リストに追加します。許可リストへの IP アドレスの追加は慎重に行ってください。特に、CIDR 表記で大量の IP アドレスを追加する場合は、十分にご注意ください。
  • 受信ゲートウェイを経由して Google Workspace ドメインにメールを転送している場合、受信ゲートウェイの IP アドレスを受信ゲートウェイの設定に追加します。追加先はメールの許可リストではないのでご注意ください。
  • コンプライアンス ルールをモニタリングして調整し、迷惑メールやフィッシングを防止します。

組織に合わせた Gmail の設定の調整

承認済み送信者リストにドメインを含めない
承認済み送信者リストにはドメインを含めることができます。承認済み送信者を設定していて、[これらの承認済み送信者リストにあるアドレスまたはドメインから受信したメッセージについて、スパムフィルタをバイパスする] チェックボックスをオンにした場合は、承認済み送信者のリストからすべてのドメインを削除します。承認済み送信者リストからドメインを除外することで、なりすましフィッシング、ホエーリングのリスクを軽減できます。 

迷惑メールフィルタ設定のカスタマイズ

IP アドレスを許可リストに追加しない
一般に、許可リストの IP アドレスから送信されたメールは迷惑メールに分類されません。Gmail の迷惑メールフィルタを最大限に活用して迷惑メール分類の精度を上げるために、メールを Gmail に転送する自社やパートナーのメールサーバーの IP アドレスは、IP 許可リストではなく受信メールのゲートウェイに追加してください。

Gmail で IP アドレスを許可リストに追加する | 受信メールのゲートウェイを設定する

Google+(Google Workspace のみ)

Google+ プロフィールの自動作成
組織のユーザーの Google+ 公開プロフィールを自動作成しないようにします。

Google+ プロフィールを管理する
(「組織部門内のすべてのユーザーの Google+ プロフィールを作成する」をご覧ください。)

ユーザーによる Google+ コンテンツの共有と閲覧の管理
組織のユーザーが Google+ コンテンツを共有、閲覧する方法を管理します。たとえば、ユーザーが外部コンテンツを作成したり操作したりできないようにすることができます。

Google+ コンテンツの共有を管理する

グループ

グループへのアクセスレベルを [非公開] に設定する
[非公開] に設定することでドメインのメンバーのみがグループにアクセスできるように制限できるため(グループ メンバーはドメイン外からのメールを受信可能)、データ漏洩のリスクを軽減できます。

ビジネス向け Google グループの共有オプションの設定

管理者のみがグループを作成できるように制限する
管理者のみがグループを作成できるようにすることで、データ漏洩のリスクを軽減できます。

ビジネス向け Google グループの共有オプションの設定

グループのアクセス設定をカスタマイズする
おすすめの方法:

  • ドメイン外のメンバーやメッセージを許可または禁止する。
  • メッセージの管理を設定する。
  • グループの表示設定を設定する。
  • 会社のポリシーに応じて他の操作を行う。

閲覧、投稿、管理できるユーザーを設定する

内部グループに対して一部のアクセス設定を無効にする
次の設定を使用すると、インターネット上の誰もがグループに参加し、メッセージを送信し、ディスカッション アーカイブを閲覧できます。内部グループに対して次の設定を無効にしてください。

  • 公開アクセス
  • インターネット上のすべてのユーザーにもこのアクセス権を与えます
  • インターネット上のすべてのユーザーにもメッセージの投稿を許可します

グループにアクセスレベルを割り当てる

グループに対してスパム管理を有効にする
スパムの疑いがあるメッセージへの対応として、管理者に通知して(または通知せずに)メッセージを管理キューに送信する、スパム メッセージを即時拒否する、管理を適用せずメッセージを投稿できるようにする、から処理方法を選ぶことができます。

新しい投稿を承認またはブロックする

モバイル

Google エンドポイント管理を使用する

Google エンドポイント管理を使用して企業のデータを管理する
まず、組織において、モバイル デバイスに関する要件と管理ポリシーをどのように実装するかを検討します。

少なくとも、モバイルの基本管理を使用して、iOS と Android 上の企業データを把握し制御できるようにすることで、データ漏洩不正なソフトウェア悪意のある内部関係者によるリスクを軽減できます。

Google エンドポイント管理でデバイスを管理する

アプリへのアクセスを管理する

承認済みビジネスアプリの許可リストを作成する
業務に使用するアプリを審査、承認して許可リストに追加することで、有害な可能性のあるアプリから企業リソースを保護します。

iOS デバイスでのアプリの管理 | Android デバイスでのアプリの管理

提供元不明のアプリをブロックする
デフォルトの設定を変更せず、Play ストア以外の提供元不明のアプリを Android モバイル デバイスにインストールしないようにします。これにより、データ漏洩アカウントへの不正アクセスデータの引き出しデータ削除不正なソフトウェアのリスクを軽減できます。

Android モバイル デバイスに設定を適用する

アプリの確認を適用する
デフォルトの設定を変更せず、提供元がわかっているアプリのみを Android モバイル デバイスにインストールするようにします。これにより、不正なソフトウェアデータ漏洩のリスクを軽減できます。

Android モバイル デバイスに設定を適用する

iOS デバイスで管理対象アプリを必須とする
iOS アプリの許可リストに追加したアプリは管理対象になるため、個人の iOS デバイス上のアプリやそのデータをより詳細に管理できます。管理対象アプリと管理対象外アプリの間でファイルを共有することはできません。

たとえば、管理対象のビジネスアプリから iCloud などの外部エンティティにデータをバックアップすることはできません。管理対象ビジネスアプリで PDF を作成した場合、管理対象外の個人用アプリではこの PDF を開くことができません。

iOS デバイスでのアプリの管理

アカウントとデータを保護する

モバイルのパスワード要件を適用する
ユーザーによるモバイル デバイスのパスワード設定を必須にして、パスワードの安全度、有効期限、パスワードの再利用、ロック、デバイスの消去の設定を行います。これにより、デバイスの紛失、盗難、転売時のデータ漏洩リスクを軽減できます。

モバイル デバイスにパスワード設定を適用する

モバイル デバイス上のデータを暗号化する
モバイル デバイスの紛失、盗難、転売時のデータ漏洩リスクを軽減するために、暗号化に対応している Android モバイル デバイスではデータを暗号化してください。なお、iOS デバイスはすべて Apple によって暗号化されています。

詳細設定を適用する

アカウントの自動ワイプを有効にする
Android モバイル デバイスを利用していない期間が指定の日数に達したときに、デバイスから会社のアカウント データを自動的に削除することで、データ漏洩のリスクを軽減できます。

Android モバイル デバイスに設定を適用する

Android の仕事用プロファイルを適用する
Android の仕事用プロファイルを利用することで、個人データと企業データを分離しておくことができます。組み込まれているデバイス管理の機能を使って仕事用プロファイルの使用を必須にすれば、企業データへのアクセスを必要とするアプリを許可リストに追加し、提供元不明のアプリのインストールをブロックすることが可能になります。

Android の仕事用プロファイルの設定

デバイスの管理

不正使用されたモバイル デバイスをブロックする
不正使用された Android モバイル デバイスをブロックします。不正使用が疑われる例としては、ロック解除されたブートローダーの存在、カスタム読み取り専用メモリ(ROM)の使用、デバイス上のスーパーユーザー バイナリの存在などがあります。

詳細設定を適用する

使われていないモバイル デバイスのレポートを有効にする
使われていない(仕事用データの同期が過去 30 日間行われていない)会社所有デバイスについての月次レポートを受け取るようにします。使われていないアカウントを無効にすることで、データ漏洩のリスクを軽減できます。

使われていない会社所有デバイスに関するレポートを受け取る

外部メディア ストレージをブロックする
ユーザーが Android モバイル デバイスとの間でデータやアプリを移動できないようにすることで、データ漏洩のリスクを軽減できます。

Android モバイル デバイスに設定を適用する

ロケーション履歴を無効にする
ロケーション履歴サービスを無効にすると、ユーザーのロケーション履歴が保存されなくなります。

その他の Google サービスのオンとオフの切り替え

サイト(Google Workspace のみ)

ドメイン外とのサイト共有をブロックする
ドメイン外とのサイト共有をブロックすることで、データ漏洩のリスクを軽減できます。業務上必要性が高い場合には、ドメイン外のユーザーとの共有を有効にすることも可能です。その場合は、ユーザーがドメイン外のユーザーとサイトを共有するときに警告を表示するようにしてください。

Google サイトの共有オプションを設定する | 共有オプションの設定: 従来の Google サイト

Vault(Vault のみ)

Vault アカウントを管理、監査、保護する
Vault にアクセスできるアカウントを慎重に管理、監査してください。

監査について

Vault にアクセスできるアカウントを機密扱いにする
Vault アカウントは、特権管理者アカウントと同様に、上位のアクセス権を持つアカウントとして扱う必要があります。Vault を利用できるアカウントは慎重に管理、監査し、2 段階認証プロセスを適用する必要があります。

2 段階認証プロセスでビジネスを保護する | 2 段階認証プロセスを導入する

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false