せっかく立ち上げたビジネスがセキュリティ リスクにさらされないように、以下に示すセキュリティ対策を講じてビジネス情報を保護しましょう。
小規模ビジネス(ユーザー数が 1~100 人)の場合は専任の IT 管理者がいないと想定し、チェック項目を少なく抑えてあります。
アカウントの保護
|
|
固有のパスワードを使用する 適切なパスワードの設定は、ユーザー アカウントと管理者アカウントを保護するうえで最も重要です。推測されにくい固有のパスワードを設定してください。たとえば、長い文章を考えて、各単語の最初の文字をパスワードとして使用します。 メールやオンライン バンキングなどのさまざまなアカウントでパスワードを使いまわすことのないようにしてください。 |
|
|
管理者および主要ユーザーには追加の本人確認操作を求める 2 段階認証プロセス(2SV)を使用することにより、パスワードが誰かに盗まれた場合に自分のアカウントへの不正アクセスを防ぐことができます。 2 段階認証プロセスでは、自分が知っている情報(パスワードなど)と持っているもの(物理的なキーやアクセスコードなど)を使って本人確認を行う必要があります。 ビジネスに関与しているすべてのユーザーに 2 段階認証プロセスを適用することをおすすめしますが、管理者と、財務記録や従業員情報などの機密データを扱うユーザーにとってはこれが特に重要です。管理者と主要ユーザーには 2 段階認証プロセスを義務付けてください。 |
|
|
管理者は自身のアカウントに再設定オプションを追加する 管理者がパスワードを忘れた場合は、ログインページの [パスワードをお忘れの場合] をクリックすれば、Google から電話、テキスト、またはメールで新しいパスワードが送られてきます。そのため、アカウント再設定用の電話番号とメールアドレスを登録しておく必要があります。 |
|
|
バックアップ コードを事前に入手する 2 段階認証プロセスが実施されている場合、ユーザーまたは管理者は、2 段階認証プロセスへのアクセスを失うと自分のアカウントにログインできなくなります。スマートフォンで 2 段階認証プロセスの確認コードを受け取るユーザーがスマートフォンを紛失した、セキュリティ キーを紛失した、といったケースがこれに該当します。 このような場合は、2 段階認証プロセスのバックアップ コードを使用できます。2 段階認証プロセスが有効になっている管理者とユーザーは、バックアップ コードを生成して印刷し、安全な場所に保管しておく必要があります。 |
|
|
追加の特権管理者アカウントを作成する ビジネスでは複数の特権管理者アカウントを用意して、それぞれを別のユーザーが管理することをおすすめします。メインの特権管理者アカウントが失われたり不正に使用されたりした場合、そのメインのアカウントを復元する間に、バックアップの特権管理者アカウントで重要な業務を行うことができます。 特権管理者のロールを別のユーザーに割り当てることで、別の特権管理者を作成します。 |
|
|
特権管理者のパスワードを再設定するための情報を手元に保管する 特権管理者がメールまたは電話の再設定オプションを使用してパスワードを再設定することができず、他の特権管理者も対応できない場合は、Google サポートにご連絡ください。 本人確認を行うために、組織のアカウントに関する質問をさせていただきます。また、管理者はドメインの DNS 所有権を証明する必要もあります。アカウント情報と DNS 認証情報は、念のため安全な場所に保管しておくことをおすすめします。 |
|
|
特権管理者アカウントはログインしたまま放置しない 特権管理者はあらゆる場面で会社のアカウントを管理でき、すべてのビジネスデータや従業員データにアクセスできます。特定の管理業務を行わない間も特権管理者アカウントにログインしたままにしておくと、悪意のある行為にさらされる危険性が高くなります。 特権管理者は必要な場合にログインし、特定の業務を終えたらログアウトすることをおすすめします。日常の管理タスクには、管理者ロールが制限されているアカウントを使用してください。 |
|
|
アプリとインターネット ブラウザに対する自動更新を有効にする 最新のセキュリティ アップデートが適用されるようにするため、ユーザーがアプリおよびインターネット ブラウザに対して自動更新を有効にしていることを確認します。Chrome を使用している場合は、組織全体について自動更新を設定することができます。 自動更新ポリシー(Chrome) |
Gmail、カレンダー、ドライブ、ドキュメントを使用している場合
|
|
[メール配信前のスキャンの強化] を有効にする フィッシングとは、ユーザーを騙してパスワード、口座番号、個人情報などの機密情報を開示させようとするメールを送信する悪意のある行為のことです。 Google による受信メールのスキャンはフィッシング防止に役立ちます。フィッシング メールの可能性があると Gmail が判断すると、警告が表示されたり、メールが迷惑メールフォルダに移動されたりすることがあります。[メール配信前のスキャンの強化] を設定すると、これまでフィッシングとして判断されなかった可能性があるメールを検出できます。 |
 |
追加の Gmail の悪意のあるファイルとリンクのスクリーニングを有効にする Google は受信メールをスキャンして、コンピュータ ウイルスなど、悪意のあるプログラムに対する保護対策を行っています。添付ファイル、リンク、外部画像などに対して追加の安全性チェックを有効にすると、これまで悪意があると判断されなかった可能性があるメールを検出できます。 |
|
|
自分が送信したメールが受信者によって迷惑メールとして分類されないようにする 迷惑メールとは一括で送信される一方的なメッセージのことです。メーリング リストを管理する以外の運用コストがかからないため、通常、こうしたメッセージを送信しているのは悪質な広告主です。 SPF(Sender Policy Framework)は、社内のユーザーによって送信された正当なメールを認証するためのメール セキュリティ手段で、SPF レコードによって、どのメールサーバーがドメインの代理としてメールを送信できるかが指定されます。 ドメインで SPF を設定しないと、メールが返送されたり、迷惑メールに分類されたりする可能性があります。 |
|
|
社外のユーザーとのカレンダーの共有を制限する ユーザー カレンダーには機密情報が含まれている可能性があります。外部ユーザーとカレンダーを共有する場合、外部ユーザーに公開する情報は制限することをおすすめします。外部と共有するのは、予定の有無に関する情報だけにしましょう。 |
|
|
新しく作成したファイルを閲覧できるユーザーを制限する |
|
|
社外のユーザーとファイルを共有する場合に警告を表示する 社外ユーザーとファイルを共有できるようにする場合は、ファイルの共有時に警告が表示されるようにします。この警告では、ファイルを社外ユーザーと共有することの確認を求められます。 |
特別なセキュリティ要件があるかどうかの確認
10 人未満のビジネスでも、大企業と同じ情報セキュリティ要件が適用されることがあります。
たとえば、小規模な投資金融ビジネスや、健康情報を扱うビジネスには、特別な規制要件、プライバシー要件、セキュリティ要件が設けられている可能性があります。このような会社では、専任の IT 管理者がこうした追加の要件に対応していることがあります。
この場合は、中規模および大規模ビジネス(ユーザー数: 100 人超)向けのセキュリティ チェックリストに記載されているおすすめの方法に沿ってご対応ください。
