管理者アカウントのセキュリティに関するおすすめの方法

管理者アカウントだけではなく、ビジネス全体のセキュリティ強化に役立つおすすめの方法をご紹介します。

セキュリティに関するその他のベストプラクティスについては、セキュリティチェックリストをご覧ください。

管理者アカウントを保護する | 特権管理者アカウントを管理する | 管理者アカウントでのアクティビティをモニタリングする | 管理者アカウントを復元できるようにしておく

管理者アカウントを保護する

	管理者アカウントでの 2 段階認証プロセスを必須にする第三者が管理者パスワードを入手した場合に、不正なアクセスからアカウントを保護するには、2 段階認証プロセス（2SV）が役立ちます。とりわけ特権管理者アカウントでは組織のすべてのビジネスデータと従業員データへのアクセスを管理できるため、特権管理者は 2 段階認証プロセスを使用することが重要です。 2 段階認証プロセスでビジネスを保護する
	2 段階認証プロセスにセキュリティキーを使用する 2 段階認証プロセスには、セキュリティキー、Google からのメッセージ、Google 認証システム、バックアップコードなど複数の方法があります。セキュリティキーは、2 段階認証プロセスに使用される小さなハードウェアデバイスで、フィッシング対策として最も安全性が高いタイプの 2 段階認証プロセスです。 2 段階認証プロセスでビジネスを保護する - セキュリティキー
	管理者アカウントをユーザー間で共有しない各管理者に、それぞれを識別できる管理者アカウントを付与してください。個別に管理者アカウントを付与せず、管理コンソールへのログインに複数のユーザーで 1 つの管理者アカウント（例: admin@example.com）を使用すると、監査ログの特定のアクティビティについて責任を負うのがどの管理者かが不明確になります。
	標的型攻撃から保護するこの記事にある推奨事項の多くは、高度な保護機能プログラムに特権管理者アカウントやその他の機密性の高いアカウントを登録することで、まとめて適用できます。高度な保護機能プログラムでユーザーを保護する

特権管理者アカウントを管理する

	複数の特権管理者アカウントを設定する組織では複数の特権管理者アカウントを用意して、それぞれを別のユーザーが管理することをおすすめします（管理者アカウントの共有は避けてください）。1 つのアカウントが失われたり不正に使用されたりした場合でも、他のアカウントを復元する間に別の特権管理者が重要な業務を行うことができます。
	日常業務に特権管理者アカウントを使用しない特権管理者にはそれぞれ 2 つのアカウント（専用の特権管理者アカウントと、日常業務に使用する別のアカウント）を付与してください。2 段階認証プロセスの設定、請求の管理とユーザーライセンスの管理、別の管理者アカウントの復元のサポートなど、特権管理者業務を行う必要がある場合にのみ特権管理者アカウントにログインします。特権管理者が日常業務を行う際には、管理者以外のアカウントを使用します。たとえば、Maria と James が特権管理者である場合、2 人には以下のような管理者アカウントとユーザーアカウントをそれぞれ用意することをおすすめします。 admin-maria@example.com、maria@example.com admin-james@example.com、james@example.com
	管理者向けの重要なお知らせを確実に受け取るメインの管理者アカウントでログインすることが少ない場合、サービスに関する重要なお知らせを見逃してしまう可能性があります。このようなお知らせを確実に受け取るには、日常的に使用するアカウントを予備の連絡先メールアドレスとして設定します。お支払いとアカウントに関する通知を別の管理者に送信する
	特権管理者アカウントでログインしたままにしない特定の管理業務を行わない間も特権管理者アカウントにログインしたままにしておくと、フィッシング攻撃の増加を招きかねません。特権管理者は必要に応じてログインし、特定の業務を終えたらログアウトするようにしてください。
	管理者の日常業務には特権管理者以外のアカウントを使用する特権管理者アカウントは、必要な場合にのみ使用してください。一部の管理者ロールを持つユーザーアカウントに管理者タスクを委任します。通常の作業に必要なリソースとツールのみにアクセスできるよう、各ユーザーに最小限の権限を与えることを基本とします。たとえば、ユーザーアカウントの作成とパスワードの再設定を行う管理者権限を付与し、ユーザーアカウントを削除する権限は付与しないといったことが可能です。管理者ロールについて

管理者アカウントでのアクティビティをモニタリングする

管理者へのメールアラートを設定する

不審なログインの試み、モバイルデバイスの不正使用、別の管理者による設定変更など、特定のイベントに対して管理者へのメール通知アラートを設定することで、管理者のアクティビティをモニタリングし、セキュリティに関する潜在的なリスクを追跡できます。

アクティビティに関するアラートを有効にすると、そのアクティビティが発生するたびにメールが届きます。

管理者へのメールアラートとシステム定義ルール

管理コンソールの監査ログを確認する

管理コンソールの監査ログを使用すると、Google 管理コンソールで行われたすべてのタスクの履歴を、そのタスクを行った管理者、日付、管理者がログインした IP アドレスとともに確認できます。

特権管理者のアクティビティは、_SEED_ADMIN_ROLE の後にユーザー名が続く形式で [イベントの説明] 列に表示されます。

管理コンソールの監査ログ

管理者アカウントを復元できるようにしておく

	管理者アカウントに再設定オプションを追加する管理者は、管理者アカウントに再設定オプションを追加する必要があります。管理者がパスワードを忘れた場合は、[パスワードをお忘れの場合] をクリックすれば、Google から電話、テキスト、またはメールで新しいパスワードが送られてきます。そのため、アカウント再設定用の電話番号とメールアドレスを登録しておく必要があります。管理者アカウントへの再設定オプションの追加
	パスワードを再設定するための情報を手元に保管する特権管理者がメールまたは電話の再設定オプションを使用してパスワードを再設定することができず、他の特権管理者も対応できない場合は、再設定ウィザードを使用できます。本人確認を行うために、組織のアカウントに関する次のような質問をさせていただきます。アカウントの作成日。アカウントに関連付けられていた、元の予備のメールアドレス（お申し込みに使用したメールアドレス）。アカウントに関連付けられた Google 注文番号（該当する場合）。作成済みのユーザーアカウントの数。アカウントにリンクされている請求先住所。使用したクレジットカードの種類とカード番号の下 4 桁。 Google からはまた、ドメインの DNS 所有権を証明していただくようお願いするため、管理者はドメインの DNS 設定を登録事業者で編集するための認証情報を知っておく必要があります。管理者パスワードを再設定する - メールアドレスや電話番号を使ってパスワードを再設定できない場合
	予備のセキュリティキーを登録する管理者アカウントに複数のセキュリティキーを登録し、安全な場所に保管してください。こうすることで、メインのセキュリティキーを紛失したり盗まれたりした場合でも、アカウントにログインできます。アカウントにセキュリティキーを追加する
	バックアップコードを事前に保存するセキュリティキーやスマートフォン（2 段階認証プロセスのコードや Google からのメッセージを受け取ったデバイス）を紛失した場合は、バックアップコードを使用してログインできます。必要な場合に備えて、バックアップコードを生成して印刷しておくことをおすすめします。バックアップコードは安全な場所に保管してください。バックアップコードを生成、印刷する

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。

	複数の特権管理者アカウントを設定する組織では複数の特権管理者アカウントを用意して、それぞれを別のユーザーが管理することをおすすめします（管理者アカウントの共有は避けてください）。1 つのアカウントが失われたり不正に使用されたりした場合でも、他のアカウントを復元する間に別の特権管理者が重要な業務を行うことができます。
	日常業務に特権管理者アカウントを使用しない特権管理者にはそれぞれ 2 つのアカウント（専用の特権管理者アカウントと、日常業務に使用する別のアカウント）を付与してください。2 段階認証プロセスの設定、請求の管理とユーザーライセンスの管理、別の管理者アカウントの復元のサポートなど、特権管理者業務を行う必要がある場合にのみ特権管理者アカウントにログインします。特権管理者が日常業務を行う際には、管理者以外のアカウントを使用します。たとえば、Maria と James が特権管理者である場合、2 人には以下のような管理者アカウントとユーザーアカウントをそれぞれ用意することをおすすめします。 admin-maria@example.com、maria@example.com admin-james@example.com、james@example.com
	管理者向けの重要なお知らせを確実に受け取るメインの管理者アカウントでログインすることが少ない場合、サービスに関する重要なお知らせを見逃してしまう可能性があります。このようなお知らせを確実に受け取るには、日常的に使用するアカウントを予備の連絡先メールアドレスとして設定します。お支払いとアカウントに関する通知を別の管理者に送信する
	特権管理者アカウントでログインしたままにしない特定の管理業務を行わない間も特権管理者アカウントにログインしたままにしておくと、フィッシング攻撃の増加を招きかねません。特権管理者は必要に応じてログインし、特定の業務を終えたらログアウトするようにしてください。
	管理者の日常業務には特権管理者以外のアカウントを使用する特権管理者アカウントは、必要な場合にのみ使用してください。一部の管理者ロールを持つユーザーアカウントに管理者タスクを委任します。通常の作業に必要なリソースとツールのみにアクセスできるよう、各ユーザーに最小限の権限を与えることを基本とします。たとえば、ユーザーアカウントの作成とパスワードの再設定を行う管理者権限を付与し、ユーザーアカウントを削除する権限は付与しないといったことが可能です。管理者ロールについて

	管理者アカウントに再設定オプションを追加する管理者は、管理者アカウントに再設定オプションを追加する必要があります。管理者がパスワードを忘れた場合は、[パスワードをお忘れの場合] をクリックすれば、Google から電話、テキスト、またはメールで新しいパスワードが送られてきます。そのため、アカウント再設定用の電話番号とメールアドレスを登録しておく必要があります。管理者アカウントへの再設定オプションの追加
	パスワードを再設定するための情報を手元に保管する特権管理者がメールまたは電話の再設定オプションを使用してパスワードを再設定することができず、他の特権管理者も対応できない場合は、再設定ウィザードを使用できます。本人確認を行うために、組織のアカウントに関する次のような質問をさせていただきます。アカウントの作成日。アカウントに関連付けられていた、元の予備のメールアドレス（お申し込みに使用したメールアドレス）。アカウントに関連付けられた Google 注文番号（該当する場合）。作成済みのユーザーアカウントの数。アカウントにリンクされている請求先住所。使用したクレジットカードの種類とカード番号の下 4 桁。 Google からはまた、ドメインの DNS 所有権を証明していただくようお願いするため、管理者はドメインの DNS 設定を登録事業者で編集するための認証情報を知っておく必要があります。管理者パスワードを再設定する - メールアドレスや電話番号を使ってパスワードを再設定できない場合
	予備のセキュリティキーを登録する管理者アカウントに複数のセキュリティキーを登録し、安全な場所に保管してください。こうすることで、メインのセキュリティキーを紛失したり盗まれたりした場合でも、アカウントにログインできます。アカウントにセキュリティキーを追加する
	バックアップコードを事前に保存するセキュリティキーやスマートフォン（2 段階認証プロセスのコードや Google からのメッセージを受け取ったデバイス）を紛失した場合は、バックアップコードを使用してログインできます。必要な場合に備えて、バックアップコードを生成して印刷しておくことをおすすめします。バックアップコードは安全な場所に保管してください。バックアップコードを生成、印刷する