管理者アカウントのセキュリティに関するおすすめの方法

管理者アカウントだけではなく、ビジネス全体のセキュリティ強化に役立つおすすめの方法をご紹介します。

管理者アカウントを保護する

管理者アカウントで 2 段階認証プロセスを使用する

第三者が管理者パスワードを入手した場合に、不正なアクセスからアカウントを保護するには、2 段階認証プロセス(2SV)が役立ちます。とりわけ特権管理者アカウントでは組織のすべてのビジネスデータと従業員データへのアクセスを管理できるため、特権管理者は 2 段階認証プロセスを使用することが重要です。

2 段階認証プロセスにセキュリティ キーを使用する

2 段階認証プロセスには、セキュリティ キー、Google からのメッセージ、Google 認証システム、バックアップ コードなど複数の方法があります。セキュリティ キーは、2 段階認証プロセスに使用される小さなハードウェア デバイスで、フィッシング対策として最も安全性が高いタイプの 2 段階認証プロセスです。

日常業務に特権管理者アカウントを使用しない

特権管理者は、あらゆる場面で会社のアカウントを管理し、他のユーザーのパスワードを再設定することができます。

特権管理者が日常業務を行う際には、別のユーザー アカウントを使用してください。2 段階認証プロセスの設定や別の管理者アカウントの復元など、特定の特権管理者業務を行う必要がある場合にのみ、特権管理者アカウントにログインします。

特権管理者アカウントでログインしたままにしない

特定の管理業務を行わない間も特権管理者アカウントにログインしたままにしておくと、フィッシング攻撃の増加を招きかねません。特権管理者は必要に応じてログインし、特定の業務を終えたらログアウトするようにしてください。

特権管理者アカウントを管理する

複数の特権管理者アカウントを設定する

ビジネスでは複数の特権管理者アカウントを用意して、それぞれを別のユーザーが管理することをおすすめします。1 つのアカウントが失われたり不正に使用されたりした場合でも、他のアカウントを復元する間に別の特権管理者が重要な業務を行うことができます。

特権管理者の役割アカウントをユーザー別に作成する

複数の特権管理者全員が admin@example.com を使用してログインしている場合、監査ログではどの特権管理者がどのアクティビティを行ったのかを確認できません。それぞれの特権管理者を識別できる管理者アカウントが必要です。

たとえば、Maria と James が特権管理者である場合、2 人には以下のようなそれぞれの特権管理者の役割アカウントとユーザー アカウントを用意することをおすすめします。

  • admin-maria@example.com、maria@example.com
  • admin-james@example.com、james@example.com
管理者の日常業務をユーザー アカウントに委任する

必要なときにのみ特権管理者アカウントを使用してもらえるよう、通常の日常管理業務をユーザー アカウントに委任します。たとえば、パスワードの再設定のように頻繁に行う操作はユーザー アカウントに委任し、アカウントの削除は特権管理者のみが行えるようにすることができます。

管理者権限を委任するときは、権限を与えすぎないよう注意してください。通常の業務に必要なリソースとツールのみにアクセスできるよう、各管理者には最小限の権限を与えることを基本とします。

管理者アカウントでのアクティビティをモニタリングする

管理者へのメールアラートを設定する

不審なログインの試み、モバイル デバイスの不正使用、別の管理者による設定変更など、特定のイベントに対して管理者へのメールアラートを設定することで、管理者のアクティビティをモニタリングし、セキュリティに関する潜在的なリスクを追跡できます。

アクティビティに関するアラートをオンにすると、そのアクティビティが発生するたびにメールが届きます。

管理コンソールの監査ログを確認する

管理コンソールの監査ログは、管理者のアクティビティをモニタリングするもうひとつのツールです。管理コンソールの監査ログには、Google 管理コンソールで行われたすべてのタスクの履歴が、そのタスクを行った管理者、日付、管理者がログインした IP アドレスとともに表示されます。

特権管理者のアクティビティは、_SEED_ADMIN_ROLE の後にユーザー名が続く形式で [イベントの説明] 列に表示されます。

管理者アカウントの復元に備える

管理者アカウントに再設定オプションを追加する

管理者は、管理者アカウントに再設定オプションを追加する必要があります。

管理者がパスワードを忘れた場合は、[パスワードをお忘れの場合] をクリックすれば、Google から電話、テキスト、またはメールで新しいパスワードが送られてきます。そのため、アカウント再設定用の電話番号とメールアドレスを登録しておく必要があります。

パスワード再設定用の情報を収集する

特権管理者がメールや電話の再設定オプションを使用してパスワードを再設定できず、他の特権管理者にパスワードを再設定してもらうこともできない場合は、Google サポートにご連絡ください。

本人確認を行うために、組織のアカウントに関する次のような質問をさせていただきます。

  • アカウントの作成日。
  • アカウントに関連付けられていた、元の予備のメールアドレス(お申し込みに使用したメールアドレス)。
  • アカウントに関連付けられた Google 注文番号(該当する場合)。
  • 作成済みのユーザー アカウントの数。
  • アカウントにリンクされている請求先住所。
  • 使用したクレジット カードの種類とカード番号の下 4 桁。

Google からはまた、ドメインの DNS 所有権を証明していただくようお願いするため、管理者はドメインの DNS 設定を登録事業者で編集するための認証情報を知っておく必要があります。

予備のセキュリティ キーを登録する

管理者アカウントに複数のセキュリティ キーを登録し、安全な場所に保管してください。こうすることで、メインのセキュリティ キーを紛失したり盗まれたりした場合でも、アカウントにログインできます。

バックアップ コードを事前に保存する

セキュリティ キーやスマートフォン(2 段階認証プロセスのコードや Google からのメッセージを受け取ったデバイス)を紛失した場合は、バックアップ コードを使用してログインできます。

必要な場合に備えて、バックアップ コードを生成して印刷しておくことをおすすめします。バックアップ コードは安全な場所に保管してください。

追加の管理者を設定する

管理者アカウントにログインできない場合、別の管理者にバックアップ コードを生成してもらえば、2 段階認証プロセスを使用してログインできるようになります。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。