Google Workspace および Cloud Identity の管理者向けの、セキュリティに関するおすすめの方法です。
管理者は、Google エンドポイント管理の機能と設定を使用して、ユーザー個人のデバイス(BYOD)上と会社所有デバイス上の仕事用データを保護することができます。他にも、アカウント保護の強化、きめ細かいアクセス制御、データ保護を実現するセキュリティ機能があります。組織のデバイス セキュリティ目標を確実に達成するために、次のチェックリストを使って設定をご確認ください。
すべてのモバイル デバイス
|
|
パスワードを必須にする 管理対象となるモバイル デバイス上のデータを保護するには、ユーザーによるデバイスの画面ロックまたはパスワードの設定を必須にします。詳細管理を適用したデバイスでは、パスワードの種類、強度、最小文字数も設定できます。 |
|
|
紛失したデバイスをロックする、またはデバイス上の仕事用データをワイプする デバイスを紛失した場合や従業員が離職した場合、デバイス上の仕事用データは危険な状態にあります。そのような場合は、デバイスからユーザーの仕事用アカウントをワイプすれば、仕事用データもすべて消去できます。詳細管理を適用したデバイスは、デバイス全体をワイプできます。この機能は、Cloud Identity 無償版ではご利用いただけません。 |
 |
仕事に使用する Android アプリを管理する 仕事に使用する Android アプリをウェブアプリとモバイルアプリのリストに追加して管理対象アプリにすることで、不正アクセスを防止します。管理対象セキュリティ アプリを強制的にインストールしたり、紛失したデバイスまたは盗難があったデバイスから管理対象アプリを削除したりすることができます。ユーザーが仕事用アカウントを削除すると、管理対象アプリはデバイスから自動的に削除されます。 |
詳細管理を適用したモバイル デバイス
|
|
デバイスの暗号化を必須にする 暗号化を使用すると、デバイスのロックが解除されている場合にのみ読み取れる形式でデータが保存され、デバイスのロックを解除すると、データの暗号化が解除されます。暗号化により、デバイスの紛失や盗難が発生した場合の保護が強化されます。 |
|
|
デバイスの制限を適用する Android デバイスや Apple iOS デバイスのデータをユーザーが共有またはバックアップする方法を管理できます。たとえば、Android デバイスでの USB ファイル転送や、iOS デバイスでの個人用クラウド ストレージへのバックアップを禁止することができます。また、デバイスやネットワークの一部の設定へのアクセスを制限することも可能です。たとえば、デバイスのカメラをオフにしたり、Android ユーザーが Wi-Fi 設定を変更できないようにしたりすることができます。 |
|
|
不正使用されたデバイスをブロックする 不正使用されている可能性のある Android デバイスや Apple iOS デバイスで、ユーザーの仕事用アカウントを同期しないようすることができます。デバイスで制限解除または root 権限取得といった処理が行われると、デバイスは不正使用されていると判断され、潜在的なセキュリティ上の脅威とみなされます。 |
|
|
ポリシー非準拠の Android デバイスを自動的にブロックする デバイスが組織のポリシーに準拠していない場合に、デバイスによる仕事用データへのアクセスを自動的にブロックし、ユーザーに通知することができます。たとえば、管理者がパスワードの最小文字数を 6 文字に設定したにもかかわらず、ユーザーがデバイスのパスワードを 5 文字に変更した場合、パスワード ポリシーに準拠していないためデバイスは非準拠と見なされます。 |
|
Android デバイスのアカウントの自動ワイプを有効にする 指定された日数にわたってアクティブでない Android デバイスから仕事用アカウントのデータと管理対象アプリが自動的に削除されるため、データ漏洩のリスクを軽減できます。 |
|
仕事に使用する iOS アプリを管理する 仕事に使用する iOS アプリをウェブアプリとモバイルアプリのリストに追加して管理対象アプリにすることで、不正アクセスを防止します。管理対象アプリは、紛失したデバイスまたは盗難にあったデバイスから削除できます。ユーザーが仕事用アカウントを削除すると、管理対象アプリはデバイスから自動的に削除されます。 |
|
危険性のある Android アプリをブロックする デフォルトでは、Play ストア以外の提供元不明のアプリを Android モバイル デバイスにインストールできないようになっています。アプリは Google Play プロテクトによって自動的にスキャンされ、危険性がある場合はブロックされます。これらの機能は、データ漏洩、アカウントへの不正アクセス、データの引き出し、データ削除、不正なソフトウェアのリスクを軽減できます。すべてのユーザーに対して [提供元不明のアプリのインストールをブロックする] がオンになっていて、[ユーザーが Google Play プロテクトをオフにできるようにする] がオフになっていることを確認してください。 |
仕事用データにアクセスするパソコン
|
|
Endpoint Verification を有効にする ノートパソコンやデスクトップ パソコンを Endpoint Verification で管理すると、コンテキストアウェア アクセスを使用して組織のデータを保護し、組織のデータにアクセスするデバイスの詳細情報を取得できます。 |
|
|
パソコン版 Google ドライブによる同期を会社所有のデバイスに制限する パソコン版ドライブを使用すると、Mac パソコンまたは Windows パソコン上でブラウザを使用せずにドライブ ファイルを操作できます。パソコン版ドライブを、デバイス一覧に登録されている会社所有デバイスのみに許可することで、組織のデータの公開を制限することができます。 |
|
|
Windows 用 Google 認証情報プロバイダ(GCPW)を設定する ユーザーは仕事用の Google アカウントを使用して Windows 10 パソコンにログインできるようになります。GCPW は、2 段階認証プロセスとログイン時の本人確認にも対応しています。また、Google Workspace のサービスと、その他のシングル サインオン(SSO)アプリにも、Google のユーザー名とパスワードを再入力することなくアクセスできます。 |
|
|
会社所有の Windows パソコンでユーザーの権限を制限する Windows デバイス管理を使用すると、会社所有の Windows 10 パソコンでユーザーが実行できる操作を制御できます。Windows に対するユーザーの管理者権限レベルの設定や、Windows のセキュリティ、ネットワーク、ハードウェア、ソフトウェアの設定を適用したりすることもできます。 |
全デバイスを対象としたその他のセキュリティ オプション
|
|
ユーザーのアカウントに対する不正アクセスを防ぐ ユーザーが 2 段階認証プロセス(2SV)で Google アカウントにログインするときに、追加の本人確認を必須とします。この確認方法には、物理的なセキュリティ キー、ユーザーのデバイスに組み込まれたセキュリティ キー、テキスト メッセージや電話に音声で届くセキュリティ コードなどがあります。 承認されていない人物がユーザー アカウントにアクセスしようとしている疑いがある場合、その人物に対して追加のセキュリティ保護用の質問や本人確認画面が表示されます。Google エンドポイント管理を使用する場合、管理対象のモバイル デバイス(仕事用アカウントにアクセスするために通常使用するデバイス)でユーザーに本人確認を行ってもらうことができます。追加の本人確認を設定することで、承認されていない人物がユーザー アカウントに不正アクセスする可能性が大幅に低下します。 |
|
|
コンテキストアウェア アクセスを使用して、Google アプリへのアクセスを条件付きで許可する ユーザーの ID とリクエストのコンテキスト(国や地域、デバイスのセキュリティ状況、IP アドレス)に基づいて、さまざまなアクセスレベルを設定できます。たとえば、モバイル デバイスが特定の国や地域の外部にある場合、またはデバイスが暗号化とパスワードの要件を満たさない場合は、モバイル デバイスからの Google アプリ(ウェブアプリとモバイルアプリ)へのアクセスをブロックできます。また、契約社員には会社が管理する Chromebook でのみ Google ウェブアプリへのアクセスを許可することも可能です。 |
|
|
Google Workspace データにアクセスできるアプリを管理する 組織で管理するモバイルアプリを設定します。アプリのアクセス制御を使用して、アプリがアクセスできるサービスを指定することもできます。これにより、ユーザーが悪意のあるアプリに誘導されて、仕事用データへのアクセスを誤って許可してしまうのを防げます。アプリのアクセス制御はあらゆるデバイスに有効で、BYOD デバイスと会社所有デバイスの両方で未承認のアプリによるアクセスをブロックします。 |
|
|
Google ドライブ、ドキュメント、スプレッドシート、スライド、Gmail の機密データを判別する データ損失防止(DLP)ポリシーを設定することで、政府機関発行の個人 ID などの機密データを保護できます。これらのポリシーでは多くの一般的なデータタイプを検出可能で、さらにカスタム コンテンツ検出項目を作成してビジネス固有のニーズを満たすこともできます。DLP は、ソースとアプリケーション レベルでデータを保護するもので、デバイスやアクセス方法全体に適用されます。 |
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。