中規模および大規模ビジネス(ユーザー数: 100 人超)向けのセキュリティ チェックリスト

中規模および大規模ビジネスの IT 管理者向けにおすすめのセキュリティ対策をまとめましたので、企業データのセキュリティやプライバシー保護の強化にお役立てください。このチェックリストにある対策を講じるために、Google 管理コンソールで各種の設定を行います。

IT 管理者を置いていないビジネスでは、小規模ビジネス(ユーザー数: 1〜100 人)向けのセキュリティ チェックリストに記載されたおすすめの対策のほうが実践しやすい場合もありますので、併せてご確認ください。

: Google Workspace のエディションまたは Cloud Identity のエディションによっては、ここで説明する一部の設定が利用できない場合があります。

おすすめのセキュリティ対策 - 設定

ビジネスの保護のため、このチェックリストに記載されている設定の多くがデフォルトで有効になっています。

すべて開く  |  すべて閉じる

管理者アカウント

特権管理者には組織内のすべてのビジネス データと従業員データへのアクセスを管理する権限があるため、特権管理者のアカウントを保護することが特に重要です。

推奨事項の一覧については、管理者アカウントのセキュリティに関するおすすめの方法をご覧ください。

アカウント

多要素認証を適用する

ユーザーによる 2 段階認証プロセスを必須にする

2 段階認証プロセスを使用すると、ユーザーのパスワードが盗まれても不正アクセスされることのないように、ユーザー アカウントを保護できます。

2 段階認証プロセスでビジネスを保護する | 2 段階認証プロセスを導入する

管理者などの重要なアカウントには必ずセキュリティ キーを適用する

セキュリティ キーとは、フィッシング対策として 2 段階認証プロセスを実装する小さなハードウェア デバイスで、ログイン時に使用します。

2 段階認証プロセスを導入する

パスワードを保護する

パスワード アラートでパスワードの再利用を防止する

パスワード アラートを設定すると、ユーザーが他のサイトで会社のパスワードを使用しないよう注意を促すことができます。

パスワードの再利用を防止する

固有のパスワードを使用する

適切なパスワードの設定は、ユーザー アカウントと管理者アカウントを保護するうえでの最初の防衛ラインです。推測されにくい固有のパスワードを設定してください。メールやオンライン バンキングなどのさまざまなアカウントでパスワードを使いまわすことのないようにしてください。

安全なパスワードを作成してアカウントのセキュリティを強化する

アカウントの不正使用を防止する、不正使用されたアカウントを保護する

使用状況レポートやアラートを定期的に確認する

使用状況レポートでは、アカウントのステータス、管理者のステータス、2 段階認証プロセスの登録の詳細について確認できます。

アカウント アクティビティ レポート

管理者へのメール通知アラートを設定する

不審なログインの試み、モバイル デバイスの不正使用、別の管理者による設定変更など、リスクをはらむイベントに対してメール通知アラートを設定できます。

管理者へのメール通知アラート

ログイン時の本人確認方法を追加する

不審なログインが試みられた場合に備えて、ログイン時の本人確認を設定できます。ユーザーは、再設定用の電話番号または再設定用のメールアドレスに届いた確認コードを入力するか、アカウント所有者だけが知っている確認用の質問に答える必要があります。

セキュリティを強化して正当なユーザーであることを確認する | 「ログイン時の本人確認」方法として従業員 ID を追加する

不正使用されたアカウントを特定して保護する

アカウントの不正使用が疑われる場合は、アカウントを停止し、悪意のある行為がないか調べ、必要に応じて対処します。

  • アカウントに関連付けられているモバイル デバイスを確認する
  • メールログ検索を使用してドメイン内での配信の記録を確認する
  • セキュリティ レポートを使用して、ドメインがデータ セキュリティ上のリスクにさらされていないか確認する
  • 不正な設定が作成されていないか確認する

不正使用されたアカウントを特定して保護する

必要に応じて Google データのダウンロードを無効にする

アカウントが不正使用された場合またはユーザーが離職した場合は、そのユーザーが Google データ エクスポートを使用してすべての Google データをダウンロードできないようにします。

ユーザーに対して Google データ エクスポートを有効または無効にする

従業員が離職した後の不正アクセスを防止する

データ漏洩を防ぐために、ユーザーが離職するときに組織のデータへのユーザーのアクセスを取り消します。

従業員の離職後にデータのセキュリティを維持する

アプリ(Google Workspace のみ)

サードパーティ製アプリによるコアサービスへのアクセスを見直す

Google Workspace コアサービス(Gmail、ドライブなど)にアクセス可能なサードパーティ製アプリを確認し、承認します。

Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する

安全性の低いアプリへのアクセスをブロックする

安全性の低いアプリとは、最新のセキュリティ標準(OAuth など)に対応していないアプリを指します。このようなアプリを使うとアカウントとデバイスが不正使用されるリスクが高まります。

安全性の低いアプリへのアクセスを管理する

信頼できるアプリのリストを作成する

許可リストを作成して、Google Workspace コアサービスにアクセス可能なサードパーティ製アプリを登録します。

Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する

Google コアサービスへのアクセスを管理する

デバイスの IP アドレス、アクセス元の地域、セキュリティ ポリシー、OS に基づいて、Gmail、ドライブ、カレンダーなどの Google アプリへのアクセスを許可またはブロックできます。たとえば、特定の国 / 地域の会社所有のデバイスにのみパソコン版ドライブへのアクセスを許可するなどです。

コンテキストアウェア アクセスの概要

ユーザーのアプリデータに暗号化レイヤを追加する

組織で機密性の高い知的財産を扱う場合や、規制の厳しい業界で事業を運営している場合は、Gmail、Google ドライブ、Google Meet、Google カレンダーにクライアントサイド暗号化を適用できます。

クライアントサイド暗号化について

カレンダー(Google Workspace のみ)

外部カレンダーの共有を制限する

外部と共有するのは、予定の有無に関する情報だけにしましょう。これにより、データ漏洩のリスクを軽減できます。

カレンダーの公開および共有設定

ユーザーが外部ゲストを招待するときに警告する

デフォルトでは、ユーザーが外部ゲストを招待すると警告が表示されます。これにより、データ漏洩のリスクを軽減できます。この警告がすべてのユーザーに対して有効になっていることを確認してください。

Google カレンダーの予定で外部ゲストの招待を許可する

Google Chat と従来のハングアウト(Google Workspace のみ)

外部とチャットできるユーザーを制限する

組織外のユーザーにメッセージを送信したり、組織外のユーザーが参加するチャットルームを作成したりする必要があるユーザーのみを許可します。これにより、それまでの内部のディスカッションを外部ユーザーに見られるのを防ぐことができ、データ漏洩のリスクを軽減できます。

外部チャットのオプションを有効にする

ドメイン外のユーザーとチャットする際に警告を表示する(従来のハングアウトのみ)

ドメイン外のユーザーとチャットする際に警告を表示することができます。この設定を有効にすると、ドメイン外の 1 人目のユーザーがディスカッションに追加されたときに、グループ チャットの会話が分割されます。これにより、それまでの内部のディスカッションを外部ユーザーに見られるのを防ぐことができ、データ漏洩のリスクを軽減できます。

Chat では、外部ユーザーおよび外部ユーザー参加のチャットルームには常に「外部」マークが付きます。

外部チャットのオプションを有効にする

チャット招待ポリシーを設定する

コラボレーションに関する組織のポリシーに基づいて、チャットへの招待を自動的に承認できるユーザーを決定します。

チャットへの招待を自動的に承認する

Chrome ブラウザと ChromeOS デバイス

Chrome ブラウザと ChromeOS を最新の状態に保つ

ユーザーが確実に最新のセキュリティ パッチを適用できるように、更新を許可します。Chrome ブラウザの場合は、必ず更新を許可してください。デフォルトでは、Chrome の最新バージョンが利用可能になると ChromeOS デバイスで更新が行われます。すべての ChromeOS デバイス ユーザーに対して自動更新がオンになっていることを確認してください。

ユーザーまたはブラウザに Chrome のポリシーを設定する | ChromeOS デバイスの更新を管理する

強制的に再起動して更新を適用する

更新を適用するにはブラウザを再起動するか、デバイスを再起動する必要があることをユーザーに通知するよう Chrome ブラウザと ChromeOS デバイスを設定して、ユーザーがアクションを実行しない場合は設定した時間後に強制的に再起動するようにします。

再起動して保留中のアップデートを適用するようユーザーに通知する

ChromeOS デバイスと Chrome ブラウザの基本ポリシーを設定する

Google 管理コンソールで、次のポリシーを設定します。

  • パスワード マネージャーを許可する(デフォルトは許可)。
  • セーフ ブラウジングを常に有効にする。
  • 悪意のあるサイトにアクセスさせない(ユーザーがセーフ ブラウジングの警告を無視できないようにする)。

ユーザー用の Chrome ポリシーを設定する

Chrome ブラウザの詳細ポリシーを設定する

不正アクセス、危険なダウンロード、サイト間のデータ漏洩を防ぐため、次の詳細ポリシーを設定します。

  • AllowedDomainsForApps - 指定したドメインのアカウントにのみ、組織の Google サービスとツールへのアクセスを許可します。
  • DownloadRestrictions - 不正なダウンロードをブロックします。
  • SitePerProcess - 有効にすると、Chrome ブラウザの各サイトが個別のプロセスとして実行されます。この設定を使用すると、サイトで同一生成元ポリシーが無視された場合でも、追加のセキュリティによって別のウェブサイトからユーザーのデータが盗まれるのを防ぐことができます。

管理対象パソコンに Chrome ブラウザのポリシーを設定する | Chrome ブラウザの企業向けセキュリティ設定ガイド(Windows)

Windows デスクトップ ブラウザ ポリシーを設定する

組織で Chrome ブラウザを利用するにあたり、ユーザーがアクセスするウェブサイトやアプリが旧式で Internet Explorer が必要な場合、Chrome の「従来のブラウザのサポート」拡張機能を使用すれば、Chrome と代替ブラウザを自動的に切り替えることができます。従来のブラウザを必要とするアプリケーションについては「従来のブラウザのサポート」を使って対応します。

従来のブラウザのサポートWindows の場合:

モバイル デバイス、パソコン、その他のエンドポイント

Google エンドポイント管理を使用して、モバイル デバイス、タブレット、ノートパソコン、パソコン上のユーザー アカウントとその仕事用データを保護できます。

推奨事項の一覧については、デバイス管理セキュリティ チェックリストをご覧ください。

ドライブ

ドメイン外での共有と共同編集を制限する

組織外とのファイル共有のオプションの設定またはルールの作成

共有オプションを無効にするか、共有を細かく制御できる信頼ルールを作成することで、ファイル共有をドメイン内に制限します。データ漏洩およびデータの引き出しのリスクを軽減できます。組織外との共有が業務上必要な場合は、共有方法について個々の組織部門ごとに定義するか、許可リストでドメインを指定することで対応してください。

許可されたドメイン以外との共有を制限する | 組織外のユーザーとの共有を制限する | 外部共有を制限する信頼ルールを作成する

ドメイン外のユーザーとファイルを共有したときに警告を表示する

ドメイン外のユーザーとのファイル共有を許可している場合は、ユーザーがドメイン外のユーザーとファイルを共有する際に警告を表示できます。この警告によってユーザーはファイル共有が意図した操作であるかどうかを再確認できるため、データ漏洩のリスクを軽減できます。

ユーザーが外部と共有するときに警告する

ユーザーがウェブに公開できないようにする

ファイルのウェブ上への公開を無効にすることで、データ漏洩のリスクを軽減できます。

ユーザーにファイルの一般公開での共有を許可しない

ファイル共有の一般的なアクセス オプションを設定する

ファイル共有のデフォルトのアクセス オプションを [制限付き] に設定します。ファイルを明示的に共有しない限り、アクセスできるのはそのファイルのオーナーのみです。必要に応じて、部門のユーザーごとに異なるカスタム共有グループ(対象グループ)を作成します。

ファイル アクセス オプションを設定する

ファイルのアクセス権限を受信者のみに制限する

ユーザーが Google ドキュメントまたは Google ドライブ以外の Google サービス経由でファイルを共有した場合(Gmail にリンクを貼り付けるなど)、アクセス チェッカーを使用して、共有相手にファイルへのアクセス権があるかどうかを確認できます。アクセス チェッカーの設定は [受信者のみ] にすることをおすすめします。ドメイン内のユーザーによって共有されたリンクへのアクセスを制御できるため、データ漏洩のリスクを軽減することが可能です。

アクセス チェッカーのオプションを選択する

外部ユーザーが組織のグループ メンバーを発見できないようにする、またはそのリスクを軽減する

Google Workspace を使用する別の組織のユーザーが、組織のグループ メンバーを発見できないようにするには、外部組織によるユーザーとのファイル共有を許可しないでください。このようなリスクを軽減するには、許可リスト登録済みドメインとの外部共有のみを許可するようにします。

Google ドライブの共有設定を使用する場合: このリスクから保護する組織部門ごとに、次のいずれかを行います。

  • このリスクを回避するには、外部共有を無効にし、外部ユーザーからのファイル受信をユーザーに許可するオプションのチェックボックスをオフにします。
  • このリスクを軽減するには、許可リスト登録済みドメインとの外部共有のみを許可します。

詳しくは、組織の外部共有を管理するをご覧ください。

ドライブの共有に信頼ルールを使用している場合: このリスクを軽減するには、まず次の設定で信頼ルールを作成します。

  • 範囲 - このリスクから保護する組織部門またはグループ
  • トリガー - Google ドライブ > ファイルの受け取り
  • 条件 - 許可リストに登録されているドメインまたは信頼できる外部組織
  • 操作 - 許可

詳細については、信頼ルールを作成するをご覧ください。

次に、[[デフォルト] 組織内のユーザーは、誰とでも相互に共有することができる(共有時には警告が表示される)] というデフォルトのルールを無効にします。詳しくは、信頼ルールの詳細を表示または編集するをご覧ください。

外部の共同編集者に Google へのログインを義務付ける

Google アカウントでのログインを外部の共同編集者に義務付けるように設定します。Google アカウントを持っていなくてもアカウントは無料で作成でき、データ漏洩のリスクを軽減できます。

ドメイン外の Google 以外のアカウントへの招待をオフにする

共有ドライブからコンテンツを移動できるユーザーを制限する​

組織内のユーザーのみに、共有ドライブ内のファイルを別の組織のドライブに移動することを許可します。

共有ドライブに保存されたファイルを管理する

新しい共有ドライブでコンテンツ共有を制御する

共有ドライブを作成したり、コンテンツにアクセスしたり、新しい共有ドライブの設定を変更したりできるユーザーを制限します。

共有ドライブでの共有を制御する

ドライブデータのローカルコピーを制限する

オフライン ドキュメントへのアクセスを無効にする

オフライン ドキュメントへのアクセスを無効にすると、データ漏洩のリスクを軽減できます。ドキュメントにオフラインでアクセスできる場合、そのドキュメントのコピーがローカルに保存されます。ビジネス上の理由でオフライン ドキュメントへのアクセスを有効にする場合は、リスクを最小限に抑えるために、組織部門単位でこの機能を有効にしてください。

ドキュメント エディタのオフライン利用を管理する

ドライブへのデスクトップ アクセスを無効にする

ユーザーはパソコン版 Google ドライブを使用して、ドライブへのデスクトップ アクセスを取得できます。ドライブへのデスクトップ アクセスを無効にすると、データ漏洩のリスクを軽減できます。デスクトップ アクセスを有効にする場合は、業務上必要性が高いユーザーに対してのみデスクトップ アクセスを有効にしてください。

組織で同期を無効にする

サードパーティ製アプリによるデータへのアクセスを制御する

Google ドキュメントのアドオンを許可しない

データ漏洩のリスクを軽減するには、アドオンストアからの Google ドキュメント アドオンのインストールをユーザーに許可しないようにしてください。業務上必要な場合には、組織のポリシーに合致する Google ドキュメント向けの特定のアドオンを管理者から展開することが可能です。

Google ドキュメント エディタのアドオンの有効化

機密データを保護する

機密データを含むファイルの共有をブロックまたは警告する

データ漏洩のリスクを軽減するには、データ損失防止ルールを設定して機密データを含むファイルをスキャンし、ユーザーが一致するファイルを外部と共有しようとしたときにアクションを実行するようにします。たとえば、パスポート番号を含むドキュメントの外部との共有をブロックして、メール通知アラートを受け取ることができます。

ドライブの DLP を使用してデータの損失を防止する

Gmail(Google Workspace のみ)

認証とインフラストラクチャを設定する

SPF、DKIM、DMARC でメールを認証する

SPF、DKIM、DMARC は、DNS 設定を使用して認証とデジタル署名を行い、ドメインのなりすまし防止に役立つメール検証システムを確立します。

迷惑メールの送信者は、メールの「From」アドレスを偽装して、ドメイン内のユーザーから送信されたように見せかけることがあります。すべての送信メール ストリームに SPF と DKIM を設定することで、なりすましの被害を防ぐことができます。

SPF と DKIM の設定を終えたら、ドメインから送信されたように見せかけた未認証メールを Google や他の受信者がどう処理すべきかを DMARC レコードで定義できます。

迷惑メール、なりすまし、フィッシングを Gmail 認証で防止する

SPF と連携するように受信メール ゲートウェイを設定する

SPF は送信メールが迷惑メールに分類されるのを防ぐのに役立ちますが、その動作はゲートウェイによる影響を受ける可能性があります。メール ゲートウェイを使用して受信メールをルーティングする場合は、SPF(Sender Policy Framework)を適用できるよう正しく設定されていることを確認してください。

受信メールのゲートウェイを設定する

パートナーのドメインに TLS を適用する

TLS の設定で、パートナーのドメインとメールをやりとりする場合はプロトコルで保護された接続を通じてでないと送受信できないようにします。

メールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須にする

承認されたすべての送信者に対して送信者の認証を要求する​

迷惑メールの分類を適用しない承認済み送信者のアドレスリストを作成するときは、認証を要求します。送信者の認証が無効になっていると、本来の送信者によってメールが送信されたことを検証できません。認証を要求することで、なりすましフィッシング、ホエーリングのリスクを軽減できます。詳しくは、送信者の認証についてのページをご覧ください。

迷惑メールフィルタ設定のカスタマイズ

メールが正しく配信されるように MX レコードを設定する

Google Workspace ドメインのユーザーに正しくメールが配信されるように、MX レコードが Google のメールサーバーを最も優先値の高いレコードとして参照するよう設定することで、メール紛失によるデータ削除のリスクや不正なソフトウェアの脅威を軽減できます。

Google Workspace のメール向けに MX レコードを設定する | Google Workspace の MX レコードの値

ユーザーと組織を保護する

IMAP、POP アクセスを無効にする

IMAP と POP のデスクトップ クライアントを使えば、サードパーティ製メール クライアントから Gmail にアクセスすることが可能です。IMAP と POP の利用が明らかに必要なユーザー以外にはそれらによるアクセスを無効にすることで、データ漏洩データ削除データの引き出しのリスクを軽減できます。IMAP クライアントはファースト パーティ(自社)製クライアントと比べて保護機能が劣る可能性があるため、IMAP アクセスを無効にすることは攻撃の脅威の軽減にもつながります。

ユーザーに対して IMAP と POP の有効と無効の設定を切り替える

自動転送を無効にする

受信メールの別アドレスへの自動転送を禁止することで、メール転送を利用したデータの引き出しのリスクを軽減できます。メール転送は、攻撃者がデータを引き出すためによく利用する手法です。

自動転送を無効にする

包括的なメール ストレージを有効にする

包括的なメール ストレージにより、ドメイン内で送受信されたすべてのメール(Gmail 以外のメールボックスで送受信されたメールを含む)のコピーが、関連付けられているユーザーの Gmail メールボックスに確実に保存されます。この設定を有効にすると、データ削除のリスクを軽減できます。また、Google Vault を使用している場合は、メールが確実に保存されます。

包括的なメール ストレージの設定 | 包括的なメール ストレージと Vault

内部の送信者に対して迷惑メールフィルタをバイパスしない

グループに追加された外部アドレスはすべて内部アドレスとして扱われるため、[内部の送信者から受信したメッセージについて、スパムフィルタをバイパスします] を無効にしてください。これにより、ドメイン内の送信者からのメールも含めた全ユーザーのメールに迷惑メールフィルタが適用され、なりすましフィッシング、ホエーリングのリスクを軽減できます。

迷惑メールフィルタ設定のカスタマイズ

迷惑メールヘッダー設定をすべてのデフォルトのルーティング ルールに追加する

迷惑メールヘッダーを使用すると、ダウンストリームのメールサーバーのフィルタ機能を最大限に活用して、なりすまし、フィッシング、ホエーリングのリスクを軽減できます。デフォルトのルーティング ルールを設定するときに [X-Gm-Spam ヘッダーと X-Gm-Phishy ヘッダーを追加] チェックボックスをオンにすると、Gmail で迷惑メールとフィッシングのステータスを示すヘッダーが追加されます。

たとえば、ダウンストリーム サーバーの管理者であれば、この情報を使用して迷惑メールやフィッシング メールをクリーンなメールと区別して処理するルールを設定できます。

デフォルトの転送の設定

[メール配信前のスキャンの強化] を有効にする

この設定を行うと、フィッシングの可能性があるメールに対して Gmail で追加のチェックを行えるようになります。

メール配信前のスキャンの強化を設定する

外部受信者に関する警告を有効にする

メールの返信先が組織外部の普段やりとりしていない相手であったり、コンタクトに登録されていなかったりした場合に、Gmail で検出されます。管理者がこの警告を設定した場合、ユーザーには警告メッセージとその警告を無視するオプションが表示されます。

外部受信者に関する警告を設定する

添付ファイルに対する保護を強化する

悪意のある添付ファイルに対する保護設定が追加で有効になっているかどうかにかかわらず、マルウェアの被害に遭わないよう受信メールが自動的にスキャンされます。添付ファイルに対する追加の保護を有効にすると、それまでは悪意があると判断されなかったメールを検出できます。

添付ファイルに対する保護対策を有効にする

リンクと外部コンテンツに対する追加の保護を有効にする
悪意のあるリンクやコンテンツに対する追加の保護設定が有効になっていない場合でも、不正なソフトウェアの被害に遭わないよう受信メールが自動的にスキャンされます。リンクと外部画像に対する追加の保護を有効にすると、それまではフィッシングと判断されなかったメールを検出できます。

リンクと外部画像に対する保護対策を有効にする

なりすましに対する追加の保護を有効にする

なりすましに対する保護設定が追加で有効になっているかどうかにかかわらず、保護対策としてすべてのメールが自動的にスキャンされます。なりすましと認証に対する追加の保護を有効にすると、似たドメイン名または従業員名に基づくなりすましなどのリスクを軽減できます。

なりすましと認証に対する保護対策を有効にする

Gmail を使用する日常業務のセキュリティに関する考慮事項

迷惑メールフィルタをオーバーライドにする場合は慎重に検討する

迷惑メールの増加を避けるため、Gmail のデフォルトの迷惑メールフィルタをオーバーライドする場合は慎重に行ってください。

  • 承認済み送信者リストにドメインやメールアドレスを追加する場合は、認証を要求します。認証を要求しないと、認証されていない送信者に Gmail の迷惑メールフィルタが適用されない可能性があります。
  • メールの許可リストへの IP アドレスの追加は慎重に行ってください。特に、CIDR 表記で大量の IP アドレスを追加する場合は、十分にご注意ください。
  • 受信ゲートウェイを経由して Google Workspace ドメインにメールを転送している場合、受信ゲートウェイの IP アドレスを受信ゲートウェイの設定に追加します。追加先はメールの許可リストではないのでご注意ください。
  • コンプライアンス ルールをモニタリングして調整し、迷惑メールやフィッシングを防止します。

組織に合わせた Gmail の設定の調整

承認済み送信者リストにドメインを含めない

承認済み送信者を設定していて、[これらの承認済み送信者リストにあるアドレスまたはドメインから受信したメッセージについて、スパムフィルタをバイパスする] チェックボックスをオンにした場合は、承認済み送信者のリストからすべてのドメインを削除します。承認済み送信者リストからドメインを除外することで、なりすましフィッシング、ホエーリングのリスクを軽減できます。

迷惑メールフィルタ設定のカスタマイズ

IP アドレスを許可リストに追加しない

一般に、許可リストの IP アドレスから送信されたメールは迷惑メールに分類されません。Gmail の迷惑メールフィルタを最大限に活用して迷惑メール分類の精度を上げるために、メールを Gmail に転送する自社やパートナーのメールサーバーの IP アドレスは、IP 許可リストではなく受信メールのゲートウェイに追加してください。

Gmail で IP アドレスを許可リストに追加する | 受信メールのゲートウェイを設定する

機密データを保護する

機密データを含むメールをスキャンしてブロックする

データ漏洩のリスクを軽減するために、事前定義されたデータ損失防止の検出項目を使用して送信メールをスキャンし、ユーザーが機密性の高いコンテンツを含むメールを送受信したときにアクションを実行するようにします。たとえば、ユーザーがクレジットカード番号を含むメールを送信するのをブロックし、メール通知アラートを受け取ることができます。

データ損失防止(DLP)ルールを使用してメール トラフィックをスキャンする

Google グループ

セキュリティを重視して設計されたグループを使用する

セキュリティ グループを使用して選択したユーザーのみが機密性の高いアプリやリソースにアクセスできるように管理することで、データ漏洩のリスクを軽減できます。

データとリソースにより安全にアクセスできるようにする

管理者ロールにセキュリティ条件を追加する

特定の管理者のみがセキュリティ グループを管理できるようにし、その他の管理者がそれ以外のグループを管理できるようにすることで、データ漏洩悪意のあるインサイダー脅威のリスクを軽減できます。

特定の管理者ロールを割り当てる

グループへのアクセスレベルを [限定公開] に設定する

[限定公開] に設定することでドメインのメンバーのみがグループにアクセスできるように制限できるため(グループ メンバーはドメイン外からのメールを受信可能)、データ漏洩のリスクを軽減できます。

ビジネス向け Google グループの共有オプションの設定

管理者のみがグループを作成できるように制限する

管理者のみがグループを作成できるようにすることで、データ漏洩のリスクを軽減できます。

ビジネス向け Google グループの共有オプションの設定

グループのアクセス設定をカスタマイズする

おすすめ:

  • ドメイン外のメンバーやメッセージを許可または禁止する。
  • メッセージの管理を設定する。
  • グループの表示設定を設定する。
  • 会社のポリシーに応じて他の操作を行う。

閲覧、投稿、管理できるユーザーを設定する

内部グループに対して一部のアクセス設定を無効にする

次の設定を使用すると、インターネット上の誰もがグループに参加し、メッセージを送信し、ディスカッション アーカイブを閲覧できます。内部グループに対して次の設定を無効にしてください。

  • 公開アクセス
  • インターネット上のすべてのユーザーにもこのアクセス権を与えます
  • インターネット上のすべてのユーザーにもメッセージの投稿を許可します

グループにアクセスレベルを割り当てる

グループに対してスパム管理を有効にする

スパムの疑いがあるメッセージへの対応として、管理者に通知して(または通知せずに)メッセージを管理キューに送信する、スパム メッセージを即時拒否する、管理を適用せずメッセージを投稿できるようにする、から処理方法を選ぶことができます。

新しい投稿を承認またはブロックする

Google サイト(Google Workspace のみ)

ドメイン外とのサイト共有をブロックする
ドメイン外とのサイト共有をブロックすることで、データ漏洩のリスクを軽減できます。業務上必要性が高い場合には、ドメイン外のユーザーとの共有を有効にすることも可能です。その場合は、ユーザーがドメイン外のユーザーとサイトを共有するときに警告を表示するようにしてください。

Google サイトの共有オプションを設定する | 共有オプションの設定: 従来の Google サイト

Vault(Google Workspace のみ)

Vault 権限を持つアカウントを機密扱いにする

Vault の管理者ロールが割り当てられたアカウントは、特権管理者アカウントと同じ方法で保護してください。

管理者アカウントのセキュリティに関するおすすめの方法

Vault アクティビティを定期的に監査する

Vault の権限を持つユーザーは、他のユーザーのデータを検索して書き出したり、保持ルールを変更して保持する必要のあるデータを削除したりできます。Vault のアクティビティを監視して、承認されていないデータアクセスや保持ポリシーが発生していないことを確認してください。

Vault ユーザーが行った操作を監査する

次のステップ - 監視、調査、対応

セキュリティの設定を確認し、アクティビティを調査する

定期的にセキュリティ センターにアクセスして、セキュリティ対策を確認し、インシデントを調査し、その情報に基づいて対応してください。

セキュリティ センターについて

管理コンソールの監査ログを確認する

Google 管理コンソールの監査ログを使用すると、管理コンソールで行われたすべてのタスクの履歴を、そのタスクを行った管理者、日付、管理者がログインした IP アドレスとともに確認できます。

管理コンソールの監査ログ

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
検索
検索をクリア
検索を終了
メインメニュー
14229685099275301435
true
ヘルプセンターを検索
true
true
true
false
false