小規模ビジネス向けのセキュリティ チェックリスト(ユーザー数: 1〜100 人)

せっかく立ち上げたビジネスがセキュリティ リスクにさらされないように、次のセキュリティ対策を講じてビジネス情報を保護しましょう。

小規模ビジネス(ユーザー数が 1~100 人)の場合は専任の IT 管理者がいないと想定し、チェック項目を少なく抑えてあります。

アカウントの保護

固有のパスワードを使用する
適切なパスワードの設定は、ユーザー アカウントと管理者アカウントを保護するうえで最も重要です。推測しにくい一意のパスワードを設定してください。たとえば、長い文章を考えて、各単語の最初の文字をパスワードとして使用します。

また、メールやオンライン バンキングなど、さまざまなアカウントで同じパスワードを使用するのは避けましょう。

安全なパスワードを作成してアカウントのセキュリティを強化する

管理者および主要ユーザーには追加の本人確認操作を求める
パスワードが誰かに盗まれた場合は、2 段階認証プロセス(2SV)によって、自分のアカウントへの不正アクセスを防ぐことができます。

2 段階認証プロセスでは、自分が知っている情報(パスワードなど)と持っているもの(物理キーやアクセスコードなど)を使って本人確認を行う必要があります。

ビジネスに関与しているすべてのユーザーに 2 段階認証プロセスを適用することをおすすめしますが、管理者や、財務記録、従業員情報などの機密データを扱うユーザーにとっては、これが特に重要です。管理者や主要ユーザーには 2 段階認証プロセスを義務付けてください。

2 段階認証プロセスでビジネスを保護する | 2 段階認証プロセスを導入する

管理者は自身のアカウントに再設定オプションを追加する
管理者がパスワードを忘れた場合は、ログインページの [パスワードをお忘れの場合] をクリックすれば、Google から電話、テキスト、またはメールで新しいパスワードが送られてきます。そのため、アカウント再設定用の電話番号とメールアドレスを登録しておく必要があります。

管理者アカウントに再設定オプションを追加する

バックアップ コードを事前に入手する
2 段階認証プロセスが実施されている場合、ユーザーまたは管理者は、2 段階認証プロセスへのアクセスを失うと自分のアカウントにログインできなくなります。スマートフォンで 2 段階認証プロセスの確認コードを受け取るユーザーがスマートフォンを紛失した、セキュリティ キーを紛失した、といったケースがこれに該当します。

このような場合は、2 段階認証プロセスのバックアップ コードを使用できます。2 段階認証プロセスが有効になっている管理者やユーザーは、バックアップ コードを生成して印刷し、安全な場所に保管しておく必要があります。

バックアップ コードを生成して印刷する

追加の特権管理者アカウントを作成する
ビジネスでは複数の特権管理者アカウントを用意して、それぞれを別のユーザーが管理することをおすすめします。メインの特権管理者アカウントが失われたり不正に使用されたりした場合、そのメインのアカウントを復元する間に、バックアップの特権管理者アカウントで重要な業務を行うことができます。

特権管理者の役割を別のユーザーに割り当てることで、別の特権管理者を作成します。

ユーザーに管理者の役割を割り当てる

特権管理者のパスワードを再設定するための情報を手元に保管する
特権管理者がメールや電話の再設定オプションを使用してパスワードを再設定できず、他の特権管理者にパスワードを再設定してもらうこともできない場合は、Google サポートにご連絡ください。

本人確認を行うために、組織のアカウントに関する質問をさせていただきます。また、管理者はドメインの DNS 所有権を証明する必要もあります。アカウント情報と DNS 認証情報は、念のため安全な場所に保管しておくことをおすすめします。

管理者アカウントのセキュリティに関するおすすめの方法

特権管理者アカウントはログインしたまま放置しない
特権管理者はあらゆる場面で会社のアカウントを管理でき、すべてのビジネスデータや従業員データにアクセスできます。特定の管理業務を行わない間も特権管理者アカウントにログインしたままにしておくと、悪意のある行為にさらされる危険性が高くなります。

特権管理者は必要な場合にログインし、特定の業務を終えたらログアウトすることをおすすめします。

既定の管理者の役割 | 管理者アカウントのセキュリティに関するおすすめの方法

アプリとインターネット ブラウザに対する自動更新を有効にする
最新のセキュリティ アップデートが適用されるようにするため、ユーザーがアプリおよびインターネット ブラウザに対して自動更新を有効にしていることを確認します。Chrome を使用している場合は、組織全体を対象として自動更新を設定することができます。

Chrome の更新を管理する

Gmail、カレンダー、ドライブ、ドキュメントを使用している場合

Gmail で不審なメールをチェックするよう設定する

メール配信前のスキャンの強化を有効にする

フィッシングとは、ユーザーを騙してパスワードや口座番号などの機密情報や、その他の個人情報を開示しようとするメールを送信する悪意のある行為のことです。

Google による受信メールのスキャンはフィッシング防止に役立ちます。フィッシング メールの可能性があると Gmail が判断した場合には、警告が表示されたり、メールが [迷惑メール] に移動されたりすることがあります。[メール配信前のスキャンの強化] を設定すると、これまでフィッシングとして判断されなかった可能性があるメールを検出できます。

メール配信前のスキャンの強化を設定する

追加の Gmail 安全性チェックを有効にする
Google は受信メッセージをスキャンして、コンピュータ ウィルスなど、悪意のあるプログラムに対する保護対策を行っています。添付ファイル、リンク、外部画像などに対して追加の安全性チェックを有効にすると、これまで悪意があると判断されなかった可能性があるメールを検出できます。

フィッシングと不正なソフトウェアからの保護を強化する

あなたからのメールがメールの受信者によって迷惑メールとして分類されないようにする
迷惑メールとは一括で送信される商業目的のメッセージのことです。メーリング リストを管理する以外の運用コストがかからないため、通常、こうしたメッセージを送信しているのは悪質な広告主です。

SPF(Sender Policy Framework)は、社内のユーザーによって送信された正当なメールを認証するためのメール セキュリティ手段で、SPF レコードによって、どのメールサーバーがドメインの代理としてメールを送信できるかが指定されます。

ドメインで SPF を設定しないと、メールが返送されたり、迷惑メールに分類されたりする可能性があります。

SPF でメールの送信者を承認する

社外のユーザーとのカレンダーの共有を制限する
ユーザー カレンダーには機密情報が含まれている可能性があります。外部ユーザーとカレンダーを共有する場合、外部ユーザーに公開する情報は制限することをおすすめします。外部と共有するのは、カレンダーの空き時間情報だけにしましょう。

カレンダーの可視性と共有の項目を設定する

新しく作成したファイルを閲覧できるユーザーを制限する
ユーザーが作成したファイルの閲覧を許可するユーザーを指定できます。作成中のファイルは、明示的に共有されるまでは作成者以外が開けないようにします。それには、リンクの共有をオフにします。

ドライブ ユーザーの共有権限を設定する

社外のユーザーとファイルを共有する場合に警告を表示する
社外ユーザーとファイルを共有できるようにする場合は、社外ユーザーとファイルを共有しようとしたときに警告が表示されるようにします。この警告では、ファイルを社外ユーザーと共有することの確認を求めるメッセージが表示されます。

ドライブ ユーザーの共有権限を設定する

特別なセキュリティ要件があるかどうか

10 人未満のビジネスでも、大企業と同じ情報セキュリティ要件が適用されることがあります。

たとえば、小規模な投資金融ビジネスや、健康情報を扱うビジネスには、特別な規制要件、プライバシー要件、セキュリティ要件が設けられている可能性があります。このような会社では、専任の IT 管理者がこうした追加の要件に対応していることがあります。

この場合は、中規模および大規模ビジネス向けセキュリティ チェックリスト(ユーザー数: 100 人超)に記載されているおすすめの方法に沿ってご対応ください。

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。