管理者アカウントだけではなく、ビジネス全体のセキュリティ強化に役立つおすすめの方法をご紹介します。
セキュリティに関するその他のベスト プラクティスについては、セキュリティ チェックリストをご覧ください。
管理者アカウントを保護する
管理者アカウントでの 2 段階認証プロセスを必須にする 第三者が管理者パスワードを入手した場合に、不正なアクセスからアカウントを保護するには、2 段階認証プロセス(2SV)が役立ちます。とりわけ特権管理者アカウントでは組織のすべてのビジネスデータと従業員データへのアクセスを管理できるため、特権管理者は 2 段階認証プロセスを使用することが重要です。 |
|
2 段階認証プロセスにセキュリティ キーを使用する 2 段階認証プロセスには、セキュリティ キー、Google からのメッセージ、Google 認証システム、バックアップ コードなど複数の方法があります。セキュリティ キーは、2 段階認証プロセスに使用される小さなハードウェア デバイスで、フィッシング対策として最も安全性が高いタイプの 2 段階認証プロセスです。 |
|
各管理者に、それぞれを識別できる管理者アカウントを付与してください。個別に管理者アカウントを付与せず、管理コンソールへのログインに複数のユーザーで 1 つの管理者アカウント(例: admin@example.com)を使用すると、監査ログの特定のアクティビティについて責任を負うのがどの管理者かが不明確になります。 |
|
標的型攻撃から保護する この記事にある推奨事項の多くは、高度な保護機能プログラムに特権管理者アカウントやその他の機密性の高いアカウントを登録することで、まとめて適用できます。 |
特権管理者アカウントを管理する
複数の特権管理者アカウントを設定する 組織では複数の特権管理者アカウントを用意して、それぞれを別のユーザーが管理することをおすすめします(管理者アカウントの共有は避けてください)。1 つのアカウントが失われたり不正に使用されたりした場合でも、他のアカウントを復元する間に別の特権管理者が重要な業務を行うことができます。 |
|
日常業務に特権管理者アカウントを使用しない 特権管理者にはそれぞれ 2 つのアカウント(専用の特権管理者アカウントと、日常業務に使用する別のアカウント)を付与してください。2 段階認証プロセスの設定、請求の管理とユーザー ライセンスの管理、別の管理者アカウントの復元のサポートなど、特権管理者業務を行う必要がある場合にのみ特権管理者アカウントにログインします。 特権管理者が日常業務を行う際には、管理者以外のアカウントを使用します。 たとえば、Maria と James が特権管理者である場合、2 人には以下のような管理者アカウントとユーザー アカウントをそれぞれ用意することをおすすめします。
|
|
管理者向けの重要なお知らせを確実に受け取る メインの管理者アカウントでログインすることが少ない場合、サービスに関する重要なお知らせを見逃してしまう可能性があります。このようなお知らせを確実に受け取るには、日常的に使用するアカウントを予備の連絡先メールアドレスとして設定します。 |
|
特権管理者アカウントでログインしたままにしない 特定の管理業務を行わない間も特権管理者アカウントにログインしたままにしておくと、フィッシング攻撃の増加を招きかねません。特権管理者は必要に応じてログインし、特定の業務を終えたらログアウトするようにしてください。 |
|
管理者の日常業務には特権管理者以外のアカウントを使用する 特権管理者アカウントは、必要な場合にのみ使用してください。一部の管理者ロールを持つユーザー アカウントに管理者タスクを委任します。通常の作業に必要なリソースとツールのみにアクセスできるよう、各ユーザーに最小限の権限を与えることを基本とします。たとえば、ユーザー アカウントの作成とパスワードの再設定を行う管理者権限を付与し、ユーザー アカウントを削除する権限は付与しないといったことが可能です。 |
管理者アカウントでのアクティビティをモニタリングする
管理者へのメールアラートを設定する 不審なログインの試み、モバイル デバイスの不正使用、別の管理者による設定変更など、特定のイベントに対して管理者へのメール通知アラートを設定することで、管理者のアクティビティをモニタリングし、セキュリティに関する潜在的なリスクを追跡できます。 アクティビティに関するアラートを有効にすると、そのアクティビティが発生するたびにメールが届きます。 |
|
管理コンソールの監査ログを確認する 管理コンソールの監査ログを使用すると、Google 管理コンソールで行われたすべてのタスクの履歴を、そのタスクを行った管理者、日付、管理者がログインした IP アドレスとともに確認できます。 特権管理者のアクティビティは、_SEED_ADMIN_ROLE の後にユーザー名が続く形式で [イベントの説明] 列に表示されます。 |
管理者アカウントを復元できるようにしておく
管理者アカウントに再設定オプションを追加する 管理者は、管理者アカウントに再設定オプションを追加する必要があります。 管理者がパスワードを忘れた場合は、[パスワードをお忘れの場合] をクリックすれば、Google から電話、テキスト、またはメールで新しいパスワードが送られてきます。そのため、アカウント再設定用の電話番号とメールアドレスを登録しておく必要があります。 |
|
パスワードを再設定するための情報を手元に保管する 特権管理者がメールまたは電話の再設定オプションを使用してパスワードを再設定することができず、他の特権管理者も対応できない場合は、再設定ウィザードを使用できます。 本人確認を行うために、組織のアカウントに関する次のような質問をさせていただきます。
Google からはまた、ドメインの DNS 所有権を証明していただくようお願いするため、管理者はドメインの DNS 設定を登録事業者で編集するための認証情報を知っておく必要があります。 |
|
予備のセキュリティ キーを登録する 管理者アカウントに複数のセキュリティ キーを登録し、安全な場所に保管してください。こうすることで、メインのセキュリティ キーを紛失したり盗まれたりした場合でも、アカウントにログインできます。 |
|
バックアップ コードを事前に保存する セキュリティ キーやスマートフォン(2 段階認証プロセスのコードや Google からのメッセージを受け取ったデバイス)を紛失した場合は、バックアップ コードを使用してログインできます。 必要な場合に備えて、バックアップ コードを生成して印刷しておくことをおすすめします。バックアップ コードは安全な場所に保管してください。 |