管理者アカウントのセキュリティに関するおすすめの方法

管理者アカウントだけではなく、ビジネス全体のセキュリティ強化に役立つおすすめの方法をご紹介します。

管理者アカウントを保護する

管理者アカウントでの 2 段階認証プロセスを必須にする

第三者が管理者パスワードを入手した場合に、不正なアクセスからアカウントを保護するには、2 段階認証プロセス(2SV)が役立ちます。とりわけ特権管理者アカウントでは組織のすべてのビジネスデータと従業員データへのアクセスを管理できるため、特権管理者は 2 段階認証プロセスを使用することが重要です。

2 段階認証プロセスにセキュリティ キーを使用する

2 段階認証プロセスには、セキュリティ キー、Google からのメッセージ、Google 認証システム、バックアップ コードなど、複数の方法があります。セキュリティ キーは、2 段階認証プロセスに使用される小さなハードウェア デバイスで、フィッシング対策として最も安全性が高いタイプの 2 段階認証プロセスです。

管理者アカウントを共有しない
各管理者に、それぞれを識別できる管理者アカウントを付与してください。個別に管理者アカウントを付与せず、管理コンソールへのログインに複数のユーザーで 1 つの管理者アカウント(例: admin@example.com)を使用すると、監査ログの特定のアクティビティについて責任を負うのがどの管理者かが不明確になります。

特権管理者アカウントを管理する

複数の特権管理者アカウントを設定する

ビジネスでは複数の特権管理者アカウントを用意して、それぞれを別のユーザーが管理することをおすすめします(管理者アカウントの共有は避けてください)。1 つのアカウントが失われたり不正に使用されたりした場合でも、他のアカウントを復元する間に別の特権管理者が重要な業務を行うことができます。

日常業務に特権管理者アカウントを使用しない

特権管理者にはそれぞれ 2 つのアカウント(専用の特権管理者アカウントと、日常業務に使用する別のアカウント)を付与してください。

特権管理者としてログイン中には、あらゆる場面で会社のアカウントを管理することができます(お支払い、ユーザー ライセンス、他の管理者の管理などの重要な業務を含む)。このような設定へのアクセスを最小限に抑えるために、特権管理者が日常業務を行う際には、特権管理者の権限がない別のアカウントを使用してください。また、前述のとおり、複数の特権管理者で 1 つの特権管理者アカウントを共有することはせず、それぞれの特権管理者を識別できる特権管理者アカウントを付与してください。

たとえば、Maria と James が特権管理者である場合、2 人には以下のような管理者アカウントとユーザー アカウントをそれぞれ用意することをおすすめします。

  • admin-maria@example.com、maria@example.com
  • admin-james@example.com、james@example.com

2 段階認証プロセスの設定や別の管理者アカウントの復元のサポートなど、特権管理者業務を行う必要がある場合にのみ、特権管理者アカウントにログインします。

重要: メインの管理者アカウント(Google 管理コンソールの [アカウント設定] > [プロファイル] > [連絡先情報] で設定したもの)でログインする頻度が低い場合は、Google からのサービスに関する重要なお知らせを見落とす可能性があります。このようなお知らせを確実に受け取るには、日常業務用のアカウントを予備の連絡先メールアドレスとして設定します。手順については、お支払いとアカウントに関する通知を別の管理者に送信するをご覧ください。

特権管理者アカウントでログインしたままにしない

特定の管理業務を行わない間も特権管理者アカウントにログインしたままにしておくと、フィッシング攻撃の増加を招きかねません。特権管理者は必要に応じてログインし、特定の業務を終えたらログアウトするようにしてください。

管理者の日常業務を特権管理者以外のユーザーに委任する

管理者に完全な特権管理者権限を付与せずに、管理者の日常業務を委任することができます。それには、相手のアカウントに 1 つまたは複数の管理者ロールを割り当てます。たとえば、ユーザー アカウントの作成とパスワードの再設定を行う管理者権限を付与し、ユーザー アカウントを削除する権限は付与しないといったことが可能です。

既定の管理者ロールを割り当てたり、選択した一連の権限を持つカスタムロールを作成したりできます。いずれの場合も、各管理者には、業務に必要なリソースおよびツールへのアクセス権のみを付与してください。

まずは、管理者ロールについてをご覧ください。

管理者アカウントでのアクティビティをモニタリングする

管理者へのメール通知アラートを設定する

不審なログインの試み、モバイル デバイスの不正使用、別の管理者による設定変更など、特定のイベントに対して管理者へのメール通知アラートを設定することで、管理者のアクティビティをモニタリングし、セキュリティに関する潜在的なリスクを追跡できます。

アクティビティに関するアラートを有効にすると、そのアクティビティが発生するたびにメールが届きます。

管理コンソールの監査ログを確認する

管理者のアクティビティのモニタリングには、管理コンソールの監査ログを使用することもできます。管理コンソールの監査ログには、Google 管理コンソールで行われたすべてのタスクの履歴が、そのタスクを行った管理者、日付、管理者がログインした IP アドレスとともに表示されます。

特権管理者のアクティビティは、_SEED_ADMIN_ROLE の後にユーザー名が続く形式で [イベントの説明] 列に表示されます。

管理者アカウントを復元できるようにしておく

管理者アカウントに再設定オプションを追加する

管理者は、管理者アカウントに再設定オプションを追加する必要があります。

管理者がパスワードを忘れた場合は、[パスワードをお忘れの場合] をクリックすれば、Google から電話、テキスト、またはメールで新しいパスワードが送られてきます。そのため、アカウント再設定用の電話番号とメールアドレスを登録しておく必要があります。

パスワード再設定用の情報を収集する

特権管理者がメールまたは電話の再設定オプションを使用してパスワードを再設定することができず、他の特権管理者も対応できない場合は、Google サポートにご連絡ください。

本人確認を行うために、組織のアカウントに関する次のような質問をさせていただきます。

  • アカウントの作成日。
  • アカウントに関連付けられていた、元の予備のメールアドレス(お申し込みに使用したメールアドレス)。
  • アカウントに関連付けられた Google 注文番号(該当する場合)。
  • 作成済みのユーザー アカウントの数。
  • アカウントにリンクされている請求先住所。
  • 使用したクレジット カードの種類とカード番号の下 4 桁。

Google からはまた、ドメインの DNS 所有権を証明していただくようお願いするため、管理者はドメインの DNS 設定を登録事業者で編集するための認証情報を知っておく必要があります。

予備のセキュリティ キーを登録する

管理者アカウントに複数のセキュリティ キーを登録し、安全な場所に保管してください。こうすることで、メインのセキュリティ キーを紛失したり盗まれたりした場合でも、アカウントにログインできます。

バックアップ コードを事前に保存する

セキュリティ キーまたはスマートフォン(2 段階認証プロセスの確認コードまたは Google からのメッセージを受け取ったデバイス)を紛失した場合は、バックアップ コードを使用してログインできます。

必要な場合に備えて、バックアップ コードを生成して印刷しておくことをおすすめします。バックアップ コードは安全な場所に保管してください。

追加の管理者を設定する

管理者アカウントにログインできない場合、別の管理者にバックアップ コードを生成してもらえば、2 段階認証プロセスを使用してログインできるようになります。

関連トピック

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。