Google Workspace セキュリティ設定完全ガイド|管理者が最初にやるべき10項目
Google Workspace管理者が最初に行うべきセキュリティ設定10項目を解説。2段階認証・デバイス管理・DLP・アクセス制限まで実務向けに網羅。
目次 クリックで開く
Google Workspace セキュリティ設定完全ガイド|管理者が最初にやるべき10項目
Google Workspace管理者が最初に行うべきセキュリティ設定10項目を解説。2段階認証・デバイス管理・DLP・アクセス制限まで実務向けに網羅。
Google Workspaceはクラウドベースであるため、セキュリティ設定を適切に行わないと情報漏えいリスクが高まります。本記事では、管理者が導入直後に設定すべき10項目を優先度順に解説します。
1. 2段階認証(2FA)の強制
最も重要な設定です。管理コンソール > セキュリティ > 2段階認証 から「全ユーザーに強制する」を選択します。GoogleAuthenticatorまたはセキュリティキーの使用を推奨します。
2. 管理者ロールの最小権限設定
Google Workspaceの管理者権限は「スーパー管理者」「ユーザー管理者」「グループ管理者」などに分割できます。担当者ごとに必要最低限の権限だけ付与し、スーパー管理者は最大2名に限定します。
3. デバイス管理(MDM)の設定
モバイルデバイス管理を有効化し、会社のGoogle Workspaceアカウントにアクセスするデバイスを管理します。端末紛失時のリモートワイプ、スクリーンロックの強制、アプリのインストール制限が設定できます。
4. 外部共有の制限
| 設定箇所 | 推奨設定 |
|---|---|
| Driveの外部共有 | 「ドメイン内のユーザーのみ」または「承認済みドメインに限定」 |
| 公開リンクの作成 | 無効化(または管理者承認制) |
| 外部への転送(Gmail) | 管理者承認または禁止 |
5. DLP(データ損失防止)ルール
Business Plus以上のプランでは、GmailやDriveに機密情報(マイナンバー・クレジットカード番号など)が含まれる場合にアラートを出したり、送信をブロックするDLPルールを設定できます。
6. アラートセンターの確認と設定
管理コンソール > アラートセンター で、不審なログイン試行・大量ファイル削除・フィッシング検出などのアラートを受け取る設定をします。管理者メールへの通知を有効化しておきます。
7. ログ監査の定期確認
管理コンソール > レポート > 監査 から、管理者アクティビティ・Drive操作・Gmail操作のログを確認できます。月1回の定期確認を運用ルールとして設定することを推奨します。
8. グループポリシー(組織部門)の活用
部署ごとに組織部門(OU)を設定し、セキュリティポリシーを部門別に管理します。例えば「営業部門は外部共有OK」「経理部門は外部共有禁止」という使い分けが可能です。
9. Google Vaultの活用(証拠保全)
Business Plus以上に含まれるVaultを使うと、メールやチャットのアーカイブ・法的ホールド・eDiscoveryができます。コンプライアンス要件がある企業には必須の機能です。
10. セキュリティヘルス確認
管理コンソール > セキュリティ > セキュリティヘルス ページで、現在の設定に問題がないかGoogleが自動診断した結果を確認できます。「高」リスクの項目から優先的に対処します。
Google Workspace セキュリティは「契約直後の72時間」で守るべき項目が決まる
Google Workspace の初期設定は驚くほど無防備です。契約直後の72時間でやるべきセキュリティ設定を放置すると、外部からの不正アクセス・データ漏洩・フィッシング被害の標的になります。Microsoft 365 と比べてデフォルト設定が緩い項目があり、管理者の意識的な設定が必須です。
契約直後の必須10項目
- 管理者アカウントの2段階認証必須化:Super Admin が乗っ取られると全社崩壊、ハードウェアキー推奨
- 全ユーザーの2段階認証必須化:Workspace 設定で「強制適用」、SMS は脆弱なため OTP アプリ or セキュリティキー推奨
- パスワードポリシー:最低12文字、過去24回再利用不可、定期変更(または NIST 推奨の無期限+漏洩監視)
- セッション制限:管理コンソールで「Web セッション持続時間」を1〜8時間に短縮
- 外部共有制限:Drive・カレンダー・サイトの外部共有を「許可制」または「ホワイトリスト方式」に
- サードパーティアプリ制限:OAuth スコープでアクセスできるアプリを審査制に
- 不審なログインアラート:管理者通知 ON、Google セキュリティセンターのアラート設定
- 退職者アカウントの即時無効化フロー:HR システムとの連動、または退職時チェックリスト
- 監査ログ保管:Cloud Identity Premium または Workspace Enterprise でログ長期保管
- データロケーション:日本データセンター保管をオプション設定(業界要件次第)
プラン別のセキュリティ機能
| プラン | 主要セキュリティ機能 | 料金(ユーザー/月) |
|---|---|---|
| Business Starter | 2段階認証・基本管理 | $7.20 |
| Business Standard | + Vault(メール保管) | $14.40 |
| Business Plus | + 強化セキュリティ(高度な DLP) | $21.60 |
| Enterprise Standard | + DLP・S/MIME・コンテキストアウェアアクセス | 要見積($23〜) |
| Enterprise Plus | + セキュリティセンター・高度な調査ツール | 要見積($30〜) |
業務シナリオ別のリスクと対策
シナリオ1:Drive 共有による情報漏洩
- 典型リスク:「リンクを知る全員」共有の機微情報、共有設定の解除忘れ
- 対策:デフォルトを「制限付き」に、外部ドメイン共有はホワイトリスト、共有監査の月次レビュー
- 強化策:Business Plus 以上の DLP(クレジットカード番号・マイナンバーパターン検知)
シナリオ2:Gmail フィッシング被害
- 典型リスク:取引先になりすました送金詐欺(BEC)、業務連絡装ったマルウェア
- 対策:高度な迷惑メール検知 ON、外部送信者ラベル、添付ファイルのサンドボックス解析
- 強化策:SPF・DKIM・DMARC 設定、Enterprise の Security Sandbox
シナリオ3:退職者によるデータ持ち出し
- 典型リスク:退職前の大量ダウンロード、個人 Drive への移動
- 対策:退職予告から90日間は活動ログを強化監視、Drive Activity API でアラート
- 強化策:Cloud Identity Premium の Endpoint Management、データ DLP の異常検知
シナリオ4:BYOD(私物端末)からの漏洩
- 典型リスク:私物スマホに Drive データ残留、紛失時の情報漏洩
- 対策:Endpoint Management(モバイル管理)、リモートワイプ、業務アプリのコンテナ化
- 強化策:Context-Aware Access で「会社デバイスのみアクセス可」
シナリオ5:サードパーティアプリの過剰権限
- 典型リスク:ユーザーが無許可で外部 SaaS と Workspace を連携、データが第三者経由で漏洩
- 対策:OAuth Apps を管理者承認制に、定期的なアプリ棚卸し
業界別のセキュリティ要件
- 金融・保険:FISC ガイドライン、長期監査ログ保管、データロケーション
- 医療:三省二ガイドライン、診療情報の取り扱い、要配慮個人情報保護
- 製造業(防衛・原子力):機密情報・輸出管理、CUI・ITAR 対応
- 士業(弁護士・会計士):守秘義務、顧問先情報の分離
- EC・小売:PCI DSS、顧客個人情報、クレジットカード情報
Microsoft 365 との比較で意識すべき点
- セキュリティ機能の網羅性:M365 が老舗、Workspace は近年急速にキャッチアップ
- UX:Workspace の方が直感的、M365 はエンタープライズ向けの細かい制御
- ハイブリッド AD 統合:M365 は Entra ID で AD と密結合、Workspace は Cloud Identity
- 監査ツール:M365 Purview の方が成熟、Workspace は Security Center で対応
- 料金:機能対料金で Workspace の方が安価な場合多い
管理者の運用習慣化チェック
- 日次:セキュリティアラート確認、不審ログイン対応
- 週次:新規ユーザー追加・退職処理、共有設定変更レビュー
- 月次:監査ログ抜粋確認、サードパーティアプリ棚卸し、共有 Drive のアクセス権見直し
- 四半期:セキュリティポリシーレビュー、全社向けセキュリティ研修
- 年次:プラン見直し、脆弱性診断、ペネトレーションテスト
5年TCO 試算(中小50名規模・Business Plus)
| 項目 | 金額レンジ |
|---|---|
| 5年ライセンス(Business Plus 50名) | 650〜800万円 |
| 初期セキュリティ設定支援 | 50〜200万円 |
| 5年運用・改修(社内 IT or 外部委託) | 300〜800万円 |
| セキュリティ研修・脆弱性診断 | 100〜300万円 |
| 5年TCO | 1,100〜2,100万円 |
Google Workspace セキュリティの「層構造」を理解する
Google Workspace のセキュリティは、(1) アカウント認証層(パスワード・MFA・SSO)、(2) アクセス制御層(権限・組織単位・Context-Aware Access)、(3) データ保護層(暗号化・DLP・S/MIME)、(4) 監視・監査層(監査ログ・Security Center・Sentinel 連携)、の4層で構成されます。これらは独立した設定項目で、すべての層に対応しないと組織のセキュリティは確保できません。
多くの組織が「2段階認証を必須化したから安全」と誤解しますが、これは認証層のみの対策で、データ流出・内部不正・退職者対応のリスクは残ります。「4層すべてで段階的に強化する」のが、Google Workspace セキュリティの正しいアプローチです。
各セキュリティ層の重要な設定項目
認証層:パスワードレス化が次の標準
パスワード + SMS 2段階認証は、もはや「最低限」です。2026年以降の標準は、(1) パスワードレス認証(Passkey)、(2) ハードウェアキー(YubiKey・Titan Security Key)、(3) リスクベース認証(不審ログインの自動検知)、です。Google Workspace Enterprise では、これらの高度な認証機能が標準提供されています。
アクセス制御層:Context-Aware Access の活用
Context-Aware Access(Enterprise プラン)は、ユーザー・端末・場所・時刻・リスクスコアの組み合わせで動的にアクセス制御する機能です。「会社デバイスからのみ Drive にアクセス可」「機密データは社内ネットワークからのみ」のような細かい制御が、コードを書かずに実装できます。
データ保護層:DLP(Data Loss Prevention)
DLP は、機密データ(クレジットカード番号・マイナンバー・社外秘文書)の自動検知・流出防止機能です。Business Plus 以上で利用可能で、Gmail 送信時・Drive アップロード時・外部共有時に、機密データを含むコンテンツを検知してブロック・警告・許可する設定ができます。
監視・監査層:Security Center / Sentinel 連携
Security Center は、組織のセキュリティ状況をダッシュボードで可視化する機能です。不審ログイン・異常な共有・マルウェア検知などのアラートを統合表示します。Enterprise Plus では、Microsoft Sentinel・Splunk・Chronicle などの SIEM と連携し、組織全体のセキュリティ監視を統合できます。
業界別のセキュリティ要件への対応
金融機関(FISC 安全対策基準)
金融機関の Google Workspace 利用は、FISC(金融情報システムセンター)の安全対策基準への対応が必須です。データセンター所在地、データ暗号化、アクセス制御、監査ログ保管、外部委託管理など、200項目以上のチェックリストに対応する必要があります。
Google Workspace で FISC 対応を実現するには、Enterprise プラン + Cloud Identity Premium + Vault(長期保管)+ 専用契約条項が必要です。年間1ユーザーあたり10〜20万円の追加コストが発生し、これは Microsoft 365 E5 と同等以上のコストです。金融機関は M365 が選ばれる構造的理由がここにあります。
医療業界(三省二ガイドライン)
医療機関の Google Workspace 利用は、医療情報システム安全管理ガイドライン(厚労省・経産省・総務省の三省二)への対応が必須です。データロケーション、要配慮個人情報の取扱い、外部委託管理など、医療業界特有の要件があります。Google Workspace は、医療機関での導入実績は限定的で、Microsoft 365 が選ばれる傾向が強くなっています。
公共・行政(政府クラウドサービス利用ガイドライン)
政府・自治体の Google Workspace 利用は、政府情報システムのためのセキュリティ評価制度(ISMAP)への対応が前提です。Google Workspace は ISMAP 認定を取得しており、政府機関での利用が可能ですが、Microsoft 365 と比較すると採用例は限定的です。
製造業(防衛・原子力・宇宙)
防衛・原子力・宇宙関連の製造業では、CUI(Controlled Unclassified Information)・ITAR(International Traffic in Arms Regulations)への対応が必要です。Google Workspace では、Assured Workloads・Sovereign Controls などの機能で対応しますが、要件が複雑で大手 SI の支援が必須です。
退職時の対応:技術と運用の両輪
技術的な対応(即時実行)
退職者発生時の技術的対応は、(1) アカウント無効化、(2) MFA トークン解除、(3) アプリパスワードの取り消し、(4) 共有 Drive の所有権移転、(5) Gmail の Vault 保管、(6) 端末のリモートワイプ(Endpoint Management 利用時)、の6項目です。これらは退職日当日に実行する必要があり、HR システム(SmartHR 等)との連携自動化が望ましい構造です。
運用的な対応(事前準備)
技術的対応だけでは不十分で、運用的対応も必要です。(1) 退職予告から無効化までのワークフロー文書化、(2) 退職者の業務引継ぎ(共有 Drive・カレンダー・連絡先)、(3) 退職前30日間の活動ログ監視強化、(4) 退職後のデータアクセスログの定期確認、です。「退職者経由のデータ漏洩」は、外部攻撃より頻度が高く、組織にとって現実的なリスクです。
BYOD(私物端末利用)への対応
テレワーク・私物スマホでの業務利用が増え、BYOD 対応がセキュリティの重要な論点になっています。Google Workspace の Endpoint Management(モバイル管理)機能で、(1) 私物端末の登録・管理、(2) アプリ単位のコンテナ化(業務データを業務アプリのみで利用)、(3) 紛失時のリモートワイプ、(4) 業務終了時のデータ自動削除、を実装できます。
BYOD で見落とされがちなのが、退職時のデータ削除です。私物端末に残った業務メール・Drive データを、退職時に確実に削除する仕組みが必要です。これがないと、退職者の私物端末に組織のデータが残り続け、長期的なリスクになります。
シャドー IT への対応
Google Workspace の Marketplace・OAuth Apps で、ユーザーが個人的に外部アプリを連携できる構造があります。これが「シャドー IT」となり、組織のセキュリティポリシーに反するアプリで業務データが第三者に流出するリスクが発生します。
対策は、(1) OAuth Apps の管理者承認制、(2) Marketplace の制限、(3) 定期的なアプリ棚卸し、です。「ユーザーが自由に外部アプリを使える状態」を維持していると、3年後に必ずシャドー IT 事故が発生します。
セキュリティインシデント対応の体制
セキュリティ事故(マルウェア感染・不審ログイン・データ流出・退職者悪用)が発生した時の対応体制を、事前に整備しておく必要があります。Security Center のアラート → IT 担当者の即時対応 → 経営層への報告 → 顧客・取引先への通知(必要時)→ 再発防止策の策定、というフローです。
これを年1〜2回のセキュリティ訓練で実証することが、本当の対応力です。「セキュリティ設定はしたが、訓練していない」組織は、実際の事故時に対応が遅れます。
よくある質問(Google Workspace セキュリティ設定 管理者 初期設定 2段階認証 データ保護)
Q. Google Workspace管理者が最初に行うべきセキュリティ設定のトップ5は?
最初に設定すべき5項目は①2段階認証(2FA)の強制:管理コンソールの「セキュリティ→2段階認証」で全ユーザーへの2FA強制適用を設定。特権管理者はセキュリティキー(ハードウェアトークン)による認証を要求②Google Workspace の監査ログの保持・監視:管理コンソールの「レポート→監査ログ」でユーザーのログイン・ファイルアクセス・管理者アクションの監視設定。重要イベントのアラートも設定③外部共有の制限:Google DriveのデフォルトはGoogle Workspace外(組織外)への共有が可能。管理コンソールの「ドライブ→共有設定」で外部共有を「制限あり(管理者承認が必要)」に変更④セッション長の設定:GMailや管理コンソールのセッション継続時間を設定して長期間ログインしたままの状態を防止⑤OAuth第三者アプリの制限:未承認のGoogle Workspace連携アプリからのデータアクセスを制限、の5設定です。
Q. Google WorkspaceでMDM(モバイルデバイス管理)を使ったBYODセキュリティ管理とは?
BYODセキュリティ管理の設定は①基本MDMの有効化:Google Workspaceの管理コンソール「デバイス→モバイルとエンドポイント」で基本MDMを有効化。従業員が個人デバイスでGoogle Workspaceにアクセスした際に端末を管理下に登録②画面ロック・暗号化の強制:MDMポリシーでBYODデバイスへの画面ロック設定・デバイス暗号化を要求③紛失時のリモートワイプ:紛失・盗難時に管理コンソールから個人デバイスのGoogle Workspaceデータのみをリモートワイプ(個人データを削除せずに業務データのみ削除が可能)④アプリの承認管理:管理コンソールで業務に使用が承認されたモバイルアプリのリストを管理してポリシー外アプリを制限、の4設定がBYOD管理の基本です。
Microsoft 365・グループウェア活用のご相談
TeamsやSharePoint、Outlookを含むMicrosoft 365やグループウェアの導入・運用設計を、情報共有と権限管理の両面から支援します。今の設定で運用上の問題がないかを確認する、導入前後のセカンドオピニオンにも対応しています。
関連ガイド・クラスター
- Microsoft 365 vs Google Workspace 比較
- Auth0 / Firebase / Cognito 比較
- Claude Code セキュリティチェックリスト
- DXコンサル選び方完全ガイド
よくある質問
Google Workspaceで最初にやるべきセキュリティ設定は何ですか?
最優先は2段階認証の強制設定です。次に外部共有の制限・デバイス管理の有効化・管理者権限の最小化を行うことで、基本的なセキュリティリスクを大幅に下げられます。
Google WorkspaceのDLP機能は全プランで使えますか?
DLPはBusiness Plus以上のプランで利用可能です。Business StarterやBusiness Standardでは利用できないため、機密情報の取り扱いが多い企業はBusiness Plus以上の契約が必要です。
Google WorkspaceとActive Directoryは連携できますか?
はい。Google Cloud Directory Sync(GCDS)を使うことで、オンプレミスのActive DirectoryユーザーをGoogle Workspaceアカウントと同期できます。アカウント管理をAD側で一元管理したい企業に有効です。
グループウェア・コラボツール導入
Google Workspace・Microsoft 365の導入から社員研修・定着まで一貫対応。情報共有の分断を解消し、テレワークに対応した働き方を実現します。