中規模および大規模ビジネスの IT 管理者向けにおすすめのセキュリティ対策をまとめましたので、企業データのセキュリティやプライバシー保護の強化にお役立てください。このチェックリストにある対策を講じるために、Google 管理コンソールで各種の設定を行います。
IT 管理者を置いていないビジネスでは、小規模ビジネス(ユーザー数: 1〜100 人)向けのセキュリティ チェックリストに記載されたおすすめの対策のほうが実践しやすい場合もありますので、併せてご確認ください。
注: Google Workspace のエディションまたは Cloud Identity のエディションによっては、ここで説明する一部の設定が利用できない場合があります。
おすすめのセキュリティ対策 - 設定
ビジネスの保護のため、このチェックリストに記載されている設定の多くがデフォルトで有効になっています。
特権管理者には組織内のすべてのビジネス データと従業員データへのアクセスを管理する権限があるため、特権管理者のアカウントを保護することが特に重要です。
推奨事項の一覧については、管理者アカウントのセキュリティに関するおすすめの方法をご覧ください。
多要素認証を適用する
|
|
ユーザーによる 2 段階認証プロセスを必須にする 2 段階認証プロセスを使用すると、ユーザーのパスワードが盗まれても不正アクセスされることのないように、ユーザー アカウントを保護できます。 |
|
|
管理者などの重要なアカウントには必ずセキュリティ キーを適用する セキュリティ キーとは、フィッシング対策として 2 段階認証プロセスを実装する小さなハードウェア デバイスで、ログイン時に使用します。 |
パスワードを保護する
|
|
パスワード アラートでパスワードの再利用を防止する パスワード アラートを設定すると、ユーザーが他のサイトで会社のパスワードを使用しないよう注意を促すことができます。 |
|
|
固有のパスワードを使用する 適切なパスワードの設定は、ユーザー アカウントと管理者アカウントを保護するうえでの最初の防衛ラインです。推測されにくい固有のパスワードを設定してください。メールやオンライン バンキングなどのさまざまなアカウントでパスワードを使いまわすことのないようにしてください。 |
アカウントの不正使用を防止する、不正使用されたアカウントを保護する
|
|
使用状況レポートやアラートを定期的に確認する 使用状況レポートでは、アカウントのステータス、管理者のステータス、2 段階認証プロセスの登録の詳細について確認できます。 |
|
|
管理者へのメール通知アラートを設定する 不審なログインの試み、モバイル デバイスの不正使用、別の管理者による設定変更など、リスクをはらむイベントに対してメール通知アラートを設定できます。 |
|
|
ログイン時の本人確認方法を追加する 不審なログインが試みられた場合に備えて、ログイン時の本人確認を設定できます。ユーザーは、再設定用の電話番号または再設定用のメールアドレスに届いた確認コードを入力するか、アカウント所有者だけが知っている確認用の質問に答える必要があります。 セキュリティを強化して正当なユーザーであることを確認する | 「ログイン時の本人確認」方法として従業員 ID を追加する |
|
|
不正使用されたアカウントを特定して保護する アカウントの不正使用が疑われる場合は、アカウントを停止し、悪意のある行為がないか調べ、必要に応じて対処します。
|
|
|
必要に応じて Google データのダウンロードを無効にする アカウントが不正使用された場合またはユーザーが離職した場合は、そのユーザーが Google データ エクスポートを使用してすべての Google データをダウンロードできないようにします。 |
 |
従業員が離職した後の不正アクセスを防止する データ漏洩を防ぐために、ユーザーが離職するときに組織のデータへのユーザーのアクセスを取り消します。 |
|
|
サードパーティ製アプリによるコアサービスへのアクセスを見直す Google Workspace コアサービス(Gmail、ドライブなど)にアクセス可能なサードパーティ製アプリを確認し、承認します。 |
|
安全性の低いアプリへのアクセスをブロックする 安全性の低いアプリとは、最新のセキュリティ標準(OAuth など)に対応していないアプリを指します。このようなアプリを使うとアカウントとデバイスが不正使用されるリスクが高まります。 |
|
|
信頼できるアプリのリストを作成する 許可リストを作成して、Google Workspace コアサービスにアクセス可能なサードパーティ製アプリを登録します。 |
|
Google コアサービスへのアクセスを管理する デバイスの IP アドレス、アクセス元の地域、セキュリティ ポリシー、OS に基づいて、Gmail、ドライブ、カレンダーなどの Google アプリへのアクセスを許可またはブロックできます。たとえば、特定の国 / 地域の会社所有のデバイスにのみパソコン版ドライブへのアクセスを許可するなどです。 |
|
ユーザーのアプリデータに暗号化レイヤを追加する 組織で機密性の高い知的財産を扱う場合や、規制の厳しい業界で事業を運営している場合は、Gmail、Google ドライブ、Google Meet、Google カレンダーにクライアントサイド暗号化を適用できます。 |
|
外部とチャットできるユーザーを制限する 組織外のユーザーにメッセージを送信したり、組織外のユーザーが参加するチャットルームを作成したりする必要があるユーザーのみを許可します。これにより、それまでの内部のディスカッションを外部ユーザーに見られるのを防ぐことができ、データ漏洩のリスクを軽減できます。 |
|
|
ドメイン外のユーザーとチャットする際に警告を表示する(従来のハングアウトのみ) ドメイン外のユーザーとチャットする際に警告を表示することができます。この設定を有効にすると、ドメイン外の 1 人目のユーザーがディスカッションに追加されたときに、グループ チャットの会話が分割されます。これにより、それまでの内部のディスカッションを外部ユーザーに見られるのを防ぐことができ、データ漏洩のリスクを軽減できます。 Chat では、外部ユーザーおよび外部ユーザー参加のチャットルームには常に「外部」マークが付きます。 |
|
|
チャット招待ポリシーを設定する コラボレーションに関する組織のポリシーに基づいて、チャットへの招待を自動的に承認できるユーザーを決定します。 |
|
|
Chrome ブラウザと ChromeOS を最新の状態に保つ ユーザーが確実に最新のセキュリティ パッチを適用できるように、更新を許可します。Chrome ブラウザの場合は、必ず更新を許可してください。デフォルトでは、Chrome の最新バージョンが利用可能になると ChromeOS デバイスで更新が行われます。すべての ChromeOS デバイス ユーザーに対して自動更新がオンになっていることを確認してください。 ユーザーまたはブラウザに Chrome のポリシーを設定する | ChromeOS デバイスの更新を管理する |
|
強制的に再起動して更新を適用する 更新を適用するにはブラウザを再起動するか、デバイスを再起動する必要があることをユーザーに通知するよう Chrome ブラウザと ChromeOS デバイスを設定して、ユーザーがアクションを実行しない場合は設定した時間後に強制的に再起動するようにします。 再起動して保留中のアップデートを適用するようユーザーに通知する |
|
|
ChromeOS デバイスと Chrome ブラウザの基本ポリシーを設定する Google 管理コンソールで、次のポリシーを設定します。
|
|
|
Chrome ブラウザの詳細ポリシーを設定する 不正アクセス、危険なダウンロード、サイト間のデータ漏洩を防ぐため、次の詳細ポリシーを設定します。
管理対象パソコンに Chrome ブラウザのポリシーを設定する | Chrome ブラウザの企業向けセキュリティ設定ガイド(Windows) |
|
|
Windows デスクトップ ブラウザ ポリシーを設定する 組織で Chrome ブラウザを利用するにあたり、ユーザーがアクセスするウェブサイトやアプリが旧式で Internet Explorer が必要な場合、Chrome の「従来のブラウザのサポート」拡張機能を使用すれば、Chrome と代替ブラウザを自動的に切り替えることができます。従来のブラウザを必要とするアプリケーションについては「従来のブラウザのサポート」を使って対応します。 |
Google エンドポイント管理を使用して、モバイル デバイス、タブレット、ノートパソコン、パソコン上のユーザー アカウントとその仕事用データを保護できます。
推奨事項の一覧については、デバイス管理セキュリティ チェックリストをご覧ください。
ドメイン外での共有と共同編集を制限する
|
|
組織外とのファイル共有のオプションの設定またはルールの作成 共有オプションを無効にするか、共有を細かく制御できる信頼ルールを作成することで、ファイル共有をドメイン内に制限します。データ漏洩およびデータの引き出しのリスクを軽減できます。組織外との共有が業務上必要な場合は、共有方法について個々の組織部門ごとに定義するか、許可リストでドメインを指定することで対応してください。 許可されたドメイン以外との共有を制限する | 組織外のユーザーとの共有を制限する | 外部共有を制限する信頼ルールを作成する |
|
ドメイン外のユーザーとファイルを共有したときに警告を表示する ドメイン外のユーザーとのファイル共有を許可している場合は、ユーザーがドメイン外のユーザーとファイルを共有する際に警告を表示できます。この警告によってユーザーはファイル共有が意図した操作であるかどうかを再確認できるため、データ漏洩のリスクを軽減できます。 |
|
ユーザーがウェブに公開できないようにする ファイルのウェブ上への公開を無効にすることで、データ漏洩のリスクを軽減できます。 |
|
|
ファイル共有の一般的なアクセス オプションを設定する ファイル共有のデフォルトのアクセス オプションを [制限付き] に設定します。ファイルを明示的に共有しない限り、アクセスできるのはそのファイルのオーナーのみです。必要に応じて、部門のユーザーごとに異なるカスタム共有グループ(対象グループ)を作成します。 |
|
|
ファイルのアクセス権限を受信者のみに制限する ユーザーが Google ドキュメントまたは Google ドライブ以外の Google サービス経由でファイルを共有した場合(Gmail にリンクを貼り付けるなど)、アクセス チェッカーを使用して、共有相手にファイルへのアクセス権があるかどうかを確認できます。アクセス チェッカーの設定は [受信者のみ] にすることをおすすめします。ドメイン内のユーザーによって共有されたリンクへのアクセスを制御できるため、データ漏洩のリスクを軽減することが可能です。 |
|
外部ユーザーが組織のグループ メンバーを発見できないようにする、またはそのリスクを軽減する Google Workspace を使用する別の組織のユーザーが、組織のグループ メンバーを発見できないようにするには、外部組織によるユーザーとのファイル共有を許可しないでください。このようなリスクを軽減するには、許可リスト登録済みドメインとの外部共有のみを許可するようにします。 Google ドライブの共有設定を使用する場合: このリスクから保護する組織部門ごとに、次のいずれかを行います。
詳しくは、組織の外部共有を管理するをご覧ください。 ドライブの共有に信頼ルールを使用している場合: このリスクを軽減するには、まず次の設定で信頼ルールを作成します。
詳細については、信頼ルールを作成するをご覧ください。 次に、[[デフォルト] 組織内のユーザーは、誰とでも相互に共有することができる(共有時には警告が表示される)] というデフォルトのルールを無効にします。詳しくは、信頼ルールの詳細を表示または編集するをご覧ください。 |
|
|
外部の共同編集者に Google へのログインを義務付ける Google アカウントでのログインを外部の共同編集者に義務付けるように設定します。Google アカウントを持っていなくてもアカウントは無料で作成でき、データ漏洩のリスクを軽減できます。 |
|
|
共有ドライブからコンテンツを移動できるユーザーを制限する 組織内のユーザーのみに、共有ドライブ内のファイルを別の組織のドライブに移動することを許可します。 |
|
|
新しい共有ドライブでコンテンツ共有を制御する 共有ドライブを作成したり、コンテンツにアクセスしたり、新しい共有ドライブの設定を変更したりできるユーザーを制限します。 |
ドライブデータのローカルコピーを制限する
|
|
オフライン ドキュメントへのアクセスを無効にする オフライン ドキュメントへのアクセスを無効にすると、データ漏洩のリスクを軽減できます。ドキュメントにオフラインでアクセスできる場合、そのドキュメントのコピーがローカルに保存されます。ビジネス上の理由でオフライン ドキュメントへのアクセスを有効にする場合は、リスクを最小限に抑えるために、組織部門単位でこの機能を有効にしてください。 |
|
|
ドライブへのデスクトップ アクセスを無効にする ユーザーはパソコン版 Google ドライブを使用して、ドライブへのデスクトップ アクセスを取得できます。ドライブへのデスクトップ アクセスを無効にすると、データ漏洩のリスクを軽減できます。デスクトップ アクセスを有効にする場合は、業務上必要性が高いユーザーに対してのみデスクトップ アクセスを有効にしてください。 |
サードパーティ製アプリによるデータへのアクセスを制御する
|
|
Google ドキュメントのアドオンを許可しない データ漏洩のリスクを軽減するには、アドオンストアからの Google ドキュメント アドオンのインストールをユーザーに許可しないようにしてください。業務上必要な場合には、組織のポリシーに合致する Google ドキュメント向けの特定のアドオンを管理者から展開することが可能です。 |
機密データを保護する
|
機密データを含むファイルの共有をブロックまたは警告する データ漏洩のリスクを軽減するには、データ損失防止ルールを設定して機密データを含むファイルをスキャンし、ユーザーが一致するファイルを外部と共有しようとしたときにアクションを実行するようにします。たとえば、パスポート番号を含むドキュメントの外部との共有をブロックして、メール通知アラートを受け取ることができます。 |
認証とインフラストラクチャを設定する
|
|
SPF、DKIM、DMARC でメールを認証する SPF、DKIM、DMARC は、DNS 設定を使用して認証とデジタル署名を行い、ドメインのなりすまし防止に役立つメール検証システムを確立します。 迷惑メールの送信者は、メールの「From」アドレスを偽装して、ドメイン内のユーザーから送信されたように見せかけることがあります。すべての送信メール ストリームに SPF と DKIM を設定することで、なりすましの被害を防ぐことができます。 SPF と DKIM の設定を終えたら、ドメインから送信されたように見せかけた未認証メールを Google や他の受信者がどう処理すべきかを DMARC レコードで定義できます。 |
|
|
SPF と連携するように受信メール ゲートウェイを設定する SPF は送信メールが迷惑メールに分類されるのを防ぐのに役立ちますが、その動作はゲートウェイによる影響を受ける可能性があります。メール ゲートウェイを使用して受信メールをルーティングする場合は、SPF(Sender Policy Framework)を適用できるよう正しく設定されていることを確認してください。 |
|
|
パートナーのドメインに TLS を適用する TLS の設定で、パートナーのドメインとメールをやりとりする場合はプロトコルで保護された接続を通じてでないと送受信できないようにします。 |
|
|
承認されたすべての送信者に対して送信者の認証を要求する 迷惑メールの分類を適用しない承認済み送信者のアドレスリストを作成するときは、認証を要求します。送信者の認証が無効になっていると、本来の送信者によってメールが送信されたことを検証できません。認証を要求することで、なりすまし、フィッシング、ホエーリングのリスクを軽減できます。詳しくは、送信者の認証についてのページをご覧ください。 |
|
|
メールが正しく配信されるように MX レコードを設定する Google Workspace ドメインのユーザーに正しくメールが配信されるように、MX レコードが Google のメールサーバーを最も優先値の高いレコードとして参照するよう設定することで、メール紛失によるデータ削除のリスクや不正なソフトウェアの脅威を軽減できます。 Google Workspace のメール向けに MX レコードを設定する | Google Workspace の MX レコードの値 |
ユーザーと組織を保護する
|
|
IMAP、POP アクセスを無効にする IMAP と POP のデスクトップ クライアントを使えば、サードパーティ製メール クライアントから Gmail にアクセスすることが可能です。IMAP と POP の利用が明らかに必要なユーザー以外にはそれらによるアクセスを無効にすることで、データ漏洩、データ削除、データの引き出しのリスクを軽減できます。IMAP クライアントはファースト パーティ(自社)製クライアントと比べて保護機能が劣る可能性があるため、IMAP アクセスを無効にすることは攻撃の脅威の軽減にもつながります。 |
|
|
自動転送を無効にする 受信メールの別アドレスへの自動転送を禁止することで、メール転送を利用したデータの引き出しのリスクを軽減できます。メール転送は、攻撃者がデータを引き出すためによく利用する手法です。 |
|
|
包括的なメール ストレージを有効にする 包括的なメール ストレージにより、ドメイン内で送受信されたすべてのメール(Gmail 以外のメールボックスで送受信されたメールを含む)のコピーが、関連付けられているユーザーの Gmail メールボックスに確実に保存されます。この設定を有効にすると、データ削除のリスクを軽減できます。また、Google Vault を使用している場合は、メールが確実に保存されます。 |
|
|
内部の送信者に対して迷惑メールフィルタをバイパスしない なりすまし、フィッシング、ホエーリングのリスクを軽減するため、[送信者が内部ユーザーの場合は迷惑メールフィルタを適用しない] をオフにします。 この設定をオンにすると、外部メンバーを含むグループや一般公開の投稿権限を持つグループで問題が発生する可能性があります。外部グループ メンバーからのメールが内部メールとして扱われる可能性があるためです。外部送信者が DMARC ポリシーを検疫または拒否に設定している場合、受信メールは書き換えられ、グループから送信されたように表示されます。そのため、内部メールと見なされてしまいます。 |
|
|
迷惑メールヘッダー設定をすべてのデフォルトのルーティング ルールに追加する 迷惑メールヘッダーを使用すると、ダウンストリームのメールサーバーのフィルタ機能を最大限に活用して、なりすまし、フィッシング、ホエーリングのリスクを軽減できます。デフォルトのルーティング ルールを設定するときに [X-Gm-Spam ヘッダーと X-Gm-Phishy ヘッダーを追加] チェックボックスをオンにすると、Gmail で迷惑メールとフィッシングのステータスを示すヘッダーが追加されます。 たとえば、ダウンストリーム サーバーの管理者であれば、この情報を使用して迷惑メールやフィッシング メールをクリーンなメールと区別して処理するルールを設定できます。 |
|
|
[メール配信前のスキャンの強化] を有効にする この設定を行うと、フィッシングの可能性があるメールに対して Gmail で追加のチェックを行えるようになります。 |
|
|
外部受信者に関する警告を有効にする メールの返信先が組織外部の普段やりとりしていない相手であったり、コンタクトに登録されていなかったりした場合に、Gmail で検出されます。管理者がこの警告を設定した場合、ユーザーには警告メッセージとその警告を無視するオプションが表示されます。 |
|
|
添付ファイルに対する保護を強化する 悪意のある添付ファイルに対する保護設定が追加で有効になっているかどうかにかかわらず、マルウェアの被害に遭わないよう受信メールが自動的にスキャンされます。添付ファイルに対する追加の保護を有効にすると、それまでは悪意があると判断されなかったメールを検出できます。 |
|
|
リンクと外部コンテンツに対する追加の保護を有効にする |
|
|
なりすましに対する追加の保護を有効にする なりすましに対する保護設定が追加で有効になっているかどうかにかかわらず、保護対策としてすべてのメールが自動的にスキャンされます。なりすましと認証に対する追加の保護を有効にすると、似たドメイン名または従業員名に基づくなりすましなどのリスクを軽減できます。 |
Gmail を使用する日常業務のセキュリティに関する考慮事項
|
|
迷惑メールフィルタをオーバーライドにする場合は慎重に検討する 迷惑メールの増加を避けるため、Gmail のデフォルトの迷惑メールフィルタをオーバーライドする場合は慎重に行ってください。
|
|
|
承認済み送信者リストにドメインを含めない 承認済み送信者を設定していて、[これらの承認済み送信者リストにあるアドレスまたはドメインから受信したメッセージについて、スパムフィルタをバイパスする] チェックボックスをオンにした場合は、承認済み送信者のリストからすべてのドメインを削除します。承認済み送信者リストからドメインを除外することで、なりすましやフィッシング、ホエーリングのリスクを軽減できます。 |
|
|
IP アドレスを許可リストに追加しない 一般に、許可リストの IP アドレスから送信されたメールは迷惑メールに分類されません。Gmail の迷惑メールフィルタを最大限に活用して迷惑メール分類の精度を上げるために、メールを Gmail に転送する自社やパートナーのメールサーバーの IP アドレスは、IP 許可リストではなく受信メールのゲートウェイに追加してください。 |
機密データを保護する
|
機密データを含むメールをスキャンしてブロックする データ漏洩のリスクを軽減するために、事前定義されたデータ損失防止の検出項目を使用して送信メールをスキャンし、ユーザーが機密性の高いコンテンツを含むメールを送受信したときにアクションを実行するようにします。たとえば、ユーザーがクレジットカード番号を含むメールを送信するのをブロックし、メール通知アラートを受け取ることができます。 |
|
セキュリティを重視して設計されたグループを使用する セキュリティ グループを使用して選択したユーザーのみが機密性の高いアプリやリソースにアクセスできるように管理することで、データ漏洩のリスクを軽減できます。 |
|
管理者ロールにセキュリティ条件を追加する 特定の管理者のみがセキュリティ グループを管理できるようにし、その他の管理者がそれ以外のグループを管理できるようにすることで、データ漏洩と悪意のあるインサイダー脅威のリスクを軽減できます。 |
|
|
グループへのアクセスレベルを [限定公開] に設定する [限定公開] に設定することでドメインのメンバーのみがグループにアクセスできるように制限できるため(グループ メンバーはドメイン外からのメールを受信可能)、データ漏洩のリスクを軽減できます。 |
|
|
管理者のみがグループを作成できるように制限する 管理者のみがグループを作成できるようにすることで、データ漏洩のリスクを軽減できます。 |
|
|
グループのアクセス設定をカスタマイズする 推奨事項:
|
|
|
内部グループに対して一部のアクセス設定を無効にする 次の設定を使用すると、インターネット上の誰もがグループに参加し、メッセージを送信し、ディスカッション アーカイブを閲覧できます。内部グループに対して次の設定を無効にしてください。
|
|
|
グループに対してスパム管理を有効にする スパムの疑いがあるメッセージへの対応として、管理者に通知して(または通知せずに)メッセージを管理キューに送信する、スパム メッセージを即時拒否する、管理を適用せずメッセージを投稿できるようにする、から処理方法を選ぶことができます。 |
|
|
ドメイン外とのサイト共有をブロックする |
|
|
Vault 権限を持つアカウントを機密扱いにする Vault の管理者ロールが割り当てられたアカウントは、特権管理者アカウントと同じ方法で保護してください。 |
|
|
Vault アクティビティを定期的に監査する Vault の権限を持つユーザーは、他のユーザーのデータを検索して書き出したり、保持ルールを変更して保持する必要のあるデータを削除したりできます。Vault のアクティビティを監視して、承認されていないデータアクセスや保持ポリシーが発生していないことを確認してください。 |
次のステップ - 監視、調査、対応
|
|
セキュリティの設定を確認し、アクティビティを調査する 定期的にセキュリティ センターにアクセスして、セキュリティ対策を確認し、インシデントを調査し、その情報に基づいて対応してください。 |
|
|
管理コンソールの監査ログを確認する Google 管理コンソールの監査ログを使用すると、管理コンソールで行われたすべてのタスクの履歴を、そのタスクを行った管理者、日付、管理者がログインした IP アドレスとともに確認できます。 |
