Google Workspaceを導入し、日々の業務が便利になったと実感している方は多いでしょう。
しかし、その裏側にある「セキュリティ設定」、導入時のまま放置していませんか。
「うちは中小企業だから狙われない」「基本的な設定で十分」と思っていても、気づかぬうちに情報漏洩のリスクを高める設定になっているかもしれません。
私もお客様の管理コンソールを拝見する中で、意図しないファイル共有設定や、放置された退職者アカウントなど、セキュリティ担当者から見ればヒヤリとするような場面に遭遇することがあります。
この記事では、専門的なセキュリティ知識がなくても、自社のGoogle Workspace環境の安全性を確認できる「セルフセキュリティ診断」の具体的なチェックポイントと、その確認方法について解説します。
【ご注意】この記事の情報は2025年7月時点のものです。Google Workspaceの管理コンソールの機能やインターフェース、レポート項目は変更される可能性があります。最新情報はGoogle Workspace管理者ヘルプでご確認ください。
なぜ定期的な「セキュリティ診断」が必要なのか?
「一度設定すれば安心」ではないのが、セキュリティの世界です。定期的な診断が必要な理由は主に以下の通りです。
- 脅威の進化: フィッシング詐欺やマルウェアの手口は日々巧妙化しており、以前は安全だった設定が、今ではリスクになる可能性があります。
- 組織の変化: 従業員の入退社、組織変更、新しいツールの導入など、会社の変化に伴い、設定の見直しが必要になります。
- 意図しない設定変更: 管理者の操作ミスや、従業員の誤った設定変更により、気づかぬうちにセキュリティホールが生まれることがあります。
- 潜在的なリスクの可視化: 「問題が起きてから」ではなく、「問題が起きる前」に、自社の弱点を把握し、プロアクティブに対策を講じることができます。
定期的な健康診断と同じように、組織のIT環境も定期的なチェックが不可欠です。
管理コンソールで実践!セキュリティ診断5つのチェックポイント
Google Workspaceの管理コンソールにログインし、以下の5つのポイントをチェックしていきましょう。
チェックポイント1:ユーザーアカウントの健全性
見る場所: 管理コンソール > [ディレクトリ] > [ユーザー]、[レポート] > [ユーザーレポート] > [アカウント]
- 2段階認証プロセスの導入状況は100%か?
レポートで、2段階認証が「未登録」のユーザーがいないか確認します。未登録ユーザーは不正ログインのリスクが非常に高いため、最優先で設定を促すか、必須化しましょう。 - 休眠・退職者アカウントは放置されていないか?
「最終ログイン日時」を確認し、長期間(例: 90日以上)ログインのないアカウントや、退職済みにも関わらずアクティブなアカウントがないかチェックします。これらは無駄なライセンスコストとセキュリティリスクの原因です。 - 特権管理者アカウントの数は最小限か?
最も強い権限を持つ「特権管理者」は、必要最低限の人数(通常2〜3名推奨)に絞られているか確認します。権限の乱用やアカウント乗っ取り時の被害を最小化するためです。
チェックポイント2:データ共有設定の安全性
見る場所: 管理コンソール > [レポート] > [監査ログ] > [ドライブ]、[セキュリティ] > [アクセスとデータ管理] > [ドライブの設定]
- ファイルが意図せず外部に公開されていないか?
ドライブの監査ログで、「公開設定の変更」イベントをフィルタリングし、「リンクを知っている全員」などの広範囲に共有されているファイルがないか確認します。特に機密情報が含まれるファイルが公開状態になっていないか、重点的にチェックします。 - 組織外との共有は適切に制御されているか?
管理コンソールの共有設定で、組織外とのファイル共有がどのように設定されているか確認します。必要以上に緩い設定になっていないか、自社のポリシーと合っているかを見直します。
チェックポイント3:メールセキュリティ設定
見る場所: 管理コンソール > [アプリ] > [Google Workspace] > [Gmail] > [迷惑メール、フィッシング、マルウェア]
- なりすまし対策(SPF/DKIM/DMARC)は有効か?
自社ドメインになりすましたメールを防ぐためのSPF, DKIM, DMARCの設定が正しく行われているか確認します。管理コンソールには、これらの設定状況をチェックする機能もあります。 - 不審なメール転送設定はないか?
監査ログやユーザー設定で、従業員が意図せず、あるいは悪意を持って、メールを外部の個人アドレスなどに自動転送する設定になっていないか確認します。これは情報漏洩の典型的な手口の一つです。
チェックポイント4:サードパーティアプリのアクセス権
見る場所: 管理コンソール > [セキュリティ] > [アクセスとデータ管理] > [APIの制御]
- 会社のデータにアクセスしているアプリは適切か?
従業員がGoogleアカウントで連携(OAuth認証)しているサードパーティ製のアプリ一覧を確認します。業務に関係のないアプリや、信頼性の低いアプリに過度なアクセス権限(例: 全てのメールやファイルへのアクセス)が与えられていないかチェックし、必要に応じてアクセスをブロックします。
チェックポイント5:モバイルデバイスの管理状況
見る場所: 管理コンソール > [デバイス]
- 管理下にない「野良デバイス」はないか?
会社のデータにアクセスしているにも関わらず、MDM(モバイルデバイス管理)の管理下にないデバイスがないか確認します。管理外のデバイスは、パスコードが設定されていないなど、セキュリティが甘い可能性があります。 - 長期間同期していないデバイスはないか?
紛失・盗難された可能性のあるデバイスが、アクティブなまま放置されていないか確認します。該当するデバイスは、遠隔でアカウントデータをワイプするなどの対応が必要です。
【私の視点】中小企業が見落としがちな「基本のキ」と対策
多くの機能がありますが、特にリソースの限られる中小企業では、まず以下の「基本のキ」を押さえることが、費用対効果の高いセキュリティ対策となると私は考えています。
- 「2段階認証プロセス」の導入率は、何をおいても100%を目指す: これが最も重要です。パスワードが漏洩しても、不正ログインを防ぐ最後の砦となります。管理者は、レポートで導入率を毎週チェックするくらいの意識を持つべきです。未設定者には根気よく設定を促し、最終的にはポリシーで必須化しましょう。
- 「共有ドライブ」をファイル管理の基本とし、個人ドライブからの外部共有を疑う: チームのファイルは、所有権が曖昧になりがちな個人の「マイドライブ」ではなく、管理しやすい「共有ドライブ」(※Standard以上)で管理するルールを徹底する。そして、監査ログでは「マイドライブからの外部共有」イベントを重点的にチェックします。ここにリスクが潜んでいることが多いです。
- 「ポリシー(ルール)」と「設定」を必ず連動させる: 例えば、「社内規程では外部共有は原則禁止」と定めているのに、管理コンソールの設定が「許可」のままでは意味がありません。定めたポリシー(ルール)が、技術的な設定で担保されているか、必ず確認しましょう。
- 管理コンソールの「セキュリティの状況」ページを月に一度は見る習慣をつける: 管理コンソールのホーム画面や、[セキュリティ] > [セキュリティの状況] ページには、Googleが推奨するセキュリティ設定や、組織の現在のリスク状況が分かりやすく表示されています。専門家でなくても、ここを見るだけで多くの問題点に気づくことができます。まずはここを定期的にチェックすることから始めましょう。
私がお手伝いしたある企業様では、この「セキュリティの状況」ページで推奨されていた設定を一つずつ潰していっただけで、セキュリティスコアが大幅に向上し、経営者が安心して本業に集中できるようになったという事例があります。
まとめ:定期的な診断で、会社の「健康状態」を維持しよう
Google Workspaceのセキュリティは、一度設定すれば終わり、というものではありません。組織の変化や新たな脅威に対応するため、定期的に自社の設定を見直し、健康状態をチェックする「セキュリティ診断」の習慣が不可欠です。
今回ご紹介した5つのチェックポイントを参考に、ぜひあなたの会社のGoogle Workspace環境のセルフ診断を実施してみてください。それは、会社の重要な情報資産と、従業員、そして顧客の信頼を守るための重要な一歩となるはずです。
このように自社のセキュリティ状態を可視化し、強化するための機能を提供するGoogle Workspace。信頼性と管理性を両立したこのビジネス基盤を、お得なプロモーションコードで導入しませんか?
当サイトでは、Google Workspaceの新規契約時に利用料金が最初の3ヶ月間15%OFFになるプロモーションコードを無料でご紹介しています。
▼ 安全なビジネス基盤を、お得なコストで!
Google Workspace プロモーションコード【最新2025年版】15%割引クーポン無料配布中
この記事が、あなたの会社のセキュリティ体制強化の一助となれば幸いです。