「Google Workspace を導入しているから安心」——そう思っていると見落としがちなのが、デフォルト設定のまま運用してしまうリスクです。Google Workspace は多くのセキュリティ機能を備えていますが、管理者が意図的に設定・確認しなければ機能しない項目が多数あります。
本記事では、Google Workspace 管理者が優先的に確認すべきセキュリティ設定を15項目のチェックリストにまとめました。項目ごとに管理コンソールの設定パスを示しています。定期的な棚卸しにご活用ください。
なぜ「設定の棚卸し」が必要か
Google Workspace のセキュリティ設定は「一度設定すれば終わり」ではありません。組織の拡大・人員の入れ替え・新機能のロールアウトによって、気づかないうちに意図しない状態になることがあります。
特に注意が必要な場面は次のとおりです。
- 新機能のデフォルト値が変更された(Googleのアップデートによる)
- 管理者アカウントが増えた・変わった(担当者交代やIT部門の再編)
- 外部共有の範囲が広がった(プロジェクト増加にともなう例外的な許可が蓄積)
以下のチェックリストを参考に、定期的に設定状態を確認することを推奨します。
認証・アカウント保護(項目1〜4)
1. 2段階認証の強制を有効にしているか
最優先で確認すべき項目です。2段階認証(2SV)が任意のままでは、パスワード漏洩時のアカウント乗っ取りを防げません。
設定パス: 管理コンソール → セキュリティ → 認証 → 2段階認証プロセス → 適用ポリシーを「強制」に変更
新規ユーザーには猶予期間(推奨: 1〜2週間)を設けてから強制適用すると、混乱を最小限に抑えられます。フィッシング耐性の高いパスキー(Passkey)や セキュリティキーを推奨オプションとして設定することも検討してください。
2. スーパー管理者アカウントを日常業務と分離しているか
スーパー管理者権限を持つアカウントを日常のメール送受信や業務に使用している場合、フィッシングや誤操作のリスクが大幅に高まります。
- スーパー管理者専用アカウントは管理業務専用とし、Google Workspace ライセンスを別途割り当てない
- 日常業務は通常の一般ユーザーアカウントで行う
- スーパー管理者アカウントにはメールを転送しない
3. 管理者ロールを最小権限で運用しているか
設定パス: 管理コンソール → アカウント → 管理者ロール
スーパー管理者が複数人いる組織では、担当業務に応じてロール(グループ管理者・ヘルプデスク管理者など)を分割し、必要最小限の権限のみを付与することが原則です。ロールの割り当てを定期的に棚卸しし、不要な権限を削除してください。
4. 非アクティブアカウントを無効化・削除しているか
退職者や長期休職者のアカウントが有効なままでは、第三者に悪用されるリスクがあります。
設定パス: 管理コンソール → ディレクトリ → ユーザー
最終ログイン日を確認し、一定期間(例:90日)ログインのないアカウントを停止または削除する運用フローを整備することを推奨します。
メール・Gmail のセキュリティ(項目5〜7)
5. SPF・DKIM・DMARC を設定しているか
なりすましメール対策の基本です。3つをセットで設定することで、送信ドメインの正当性を受信サーバーが検証できるようになります。
| 認証プロトコル | 設定場所 | 主な役割 |
|---|---|---|
| SPF | ドメインのDNS(TXTレコード) | 送信元IPアドレスの正当性確認 |
| DKIM | 管理コンソール → アプリ → Gmail → メールの認証 | デジタル署名でなりすましを防止 |
| DMARC | ドメインのDNS(TXTレコード) | SPF/DKIM失敗時の処理ポリシーを指定 |
GoogleはSPFまたはDKIMの設定を全送信者に求めており、1日5,000件以上送信する事業者にはSPF・DKIM・DMARC三点セットを義務化しています(2024年以降)。まだ未設定の場合は早急に対応してください。
6. Gmail の高度なフィッシング・マルウェア対策を有効にしているか
設定パス: 管理コンソール → アプリ → Google Workspace → Gmail → セーフティ
以下の項目が有効になっていることを確認してください。
- 添付ファイルのセキュリティ強化(スクリプト埋め込みファイル・異常な添付ファイルのブロック)
- リンクと外部画像のセキュリティ強化(スキャン後に表示)
- スプーフィングと認証の保護(類似ドメインの警告表示)
7. 迷惑メールフィルターの設定が適切か
設定パス: 管理コンソール → アプリ → Google Workspace → Gmail → 迷惑メール、フィッシング、マルウェア
ホワイトリスト(許可リスト)に不要なドメイン・IPが蓄積していないか定期的に確認しましょう。過去のプロジェクトで一時的に許可したアドレスがそのまま残るケースが多く見られます。
Drive・データ共有の制御(項目8〜10)
8. 外部へのドライブ共有を適切に制限しているか
設定パス: 管理コンソール → アプリ → Google Workspace → ドライブとドキュメント → 共有設定
「リンクを知っている全員」オプションを組織外に対して許可している場合、情報漏洩リスクが高まります。推奨設定は**「組織内のユーザーのみ」をデフォルト**にし、外部共有が必要な場合は特定ユーザーを明示的に招待する運用とすることです。
ドメイン外への共有を許可する場合でも、共有できるドメインをホワイトリストで限定することを検討してください。
9. ランサムウェア検出機能が有効か
2026年3月に正式公開(GA)されたGoogle Driveのランサムウェア検出・復旧機能は、デフォルトで有効ですが、OU(組織部門)単位で設定が変更されている場合があります。
設定パス: 管理コンソール → アプリ → Google Workspace → ドライブとドキュメントの設定 → マルウェアとランサムウェア
この機能の詳細については Google Drive ランサムウェア検出が正式公開―管理者が知るべき設定と運用ポイント で詳しく解説しています。
10. 共有ドライブ(Shared Drives)の外部ユーザー追加を制限しているか
設定パス: 管理コンソール → アプリ → Google Workspace → ドライブとドキュメント → 共有設定 → 共有ドライブの設定
共有ドライブへの外部ユーザー追加を「管理者のみ許可」に設定することで、意図しないデータアクセスを防げます。メンバー全員が外部ユーザーを追加できる状態はリスクが高く、見落とされやすい設定です。
Meet・Chat のセキュリティ(項目11〜12)
11. Google Meet の外部参加者承認設定を確認しているか
会議URLが外部に流出した場合に不正参加されるリスクを抑えるため、以下の設定を確認してください。
設定パス: 管理コンソール → アプリ → Google Workspace → Google Meet → Meet の安全性設定
- 外部参加者へのノック:有効
- クイックアクセスのデフォルト:機密情報を扱う組織ではオフ推奨
Google Meet の参加者承認設定の詳細については Google Meet セキュリティ強化 ― 参加者承認機能の新しい設定方法 をご参照ください。
12. Chat の外部ユーザーとのスペース作成を制御しているか
設定パス: 管理コンソール → アプリ → Google Workspace → Google Chat → Chat の設定
外部ユーザーとの Chat スペース作成を許可するかどうかは、組織のポリシーに応じて明示的に設定する必要があります。許可範囲を特定ドメインに限定することも可能です。
エンドポイント・デバイス管理(項目13〜14)
13. エンドポイント管理(MDM)を有効にしているか
設定パス: 管理コンソール → デバイス → エンドポイントの管理
モバイルデバイスへの基本的な管理ポリシー(画面ロック・リモートワイプ)を適用するには、エンドポイント管理の有効化が前提です。BYODを許容している組織では、基本的なモバイル管理(Basic Mobile Management) を少なくとも有効にしてください。
企業所有デバイスにはより細かい制御が可能な高度なモバイル管理(Advanced Mobile Management) の適用を検討してください。
14. 管理対象外デバイスからのアクセスを制限しているか
設定パス: 管理コンソール → セキュリティ → アクセスとデータ管理 → Context-Aware Access
Context-Aware Access(コンテキストアウェアアクセス)を活用すると、デバイスの準拠状態・ロケーション・OSバージョンなどの条件に基づいてアクセスを制御できます。Enterprise プランで利用可能なこの機能は、ゼロトラストセキュリティの基盤となります。
サードパーティアプリの管理(項目15)
15. サードパーティアプリへの OAuth 連携を定期的に棚卸ししているか
設定パス: 管理コンソール → セキュリティ → API の制御 → アプリへのアクセスを管理
Googleアカウントに連携されているサードパーティアプリは、権限の範囲が広すぎるものや、長期間使われていないものがリスクとなります。
確認・対処の目安:
- 90日以上使われていないアプリは連携を解除する
- Drive・Gmail・Calendar へのフルアクセスを要求するアプリは利用目的を精査する
- 信頼できるアプリのみを許可するホワイトリスト運用(Google Workspace Enterprise)も検討する
チェックリストまとめ
| # | 項目 | カテゴリ |
|---|---|---|
| 1 | 2段階認証を全ユーザーに強制 | 認証 |
| 2 | スーパー管理者を日常業務と分離 | 認証 |
| 3 | 管理者ロールを最小権限で運用 | 認証 |
| 4 | 非アクティブアカウントを無効化 | 認証 |
| 5 | SPF・DKIM・DMARC を設定済み | メール |
| 6 | フィッシング・マルウェア対策を有効化 | メール |
| 7 | 迷惑メールフィルターのホワイトリストを棚卸し | メール |
| 8 | Drive 外部共有を適切に制限 | データ |
| 9 | ランサムウェア検出機能が有効 | データ |
| 10 | 共有ドライブの外部追加を制限 | データ |
| 11 | Meet の外部参加者承認設定を確認 | Meet/Chat |
| 12 | Chat の外部ユーザー制御を設定 | Meet/Chat |
| 13 | エンドポイント管理(MDM)を有効化 | デバイス |
| 14 | 管理対象外デバイスのアクセス制限 | デバイス |
| 15 | サードパーティアプリの OAuth 連携を棚卸し | アプリ |
まとめ
Google Workspace のセキュリティは、Google が提供する機能を「どう設定・運用するか」にかかっています。本記事の15項目は、Google の公式チェックリストや業界のベストプラクティスをもとにした最低限の確認事項です。
特に認証・メール認証・Drive 共有の3領域は、設定ミスが直接インシデントにつながりやすいため、優先度を上げて確認することを推奨します。また、設定は一度確認して終わりではなく、四半期に一度程度の定期的な棚卸しを習慣化することが重要です。
自社の Google Workspace 設定を見直したい、セキュリティポリシーを整備したいというお悩みがあれば、グリームハブへお気軽にご相談ください。管理コンソールの設定レビューから運用フローの整備まで、組織の規模とプランに合わせてご提案します。
