社員が便利ツールに会社のGmail・ドライブを丸ごと許可していませんか | GH Media
URLがコピーされました

社員が便利ツールに会社のGmail・ドライブを丸ごと許可していませんか

URLがコピーされました
社員が便利ツールに会社のGmail・ドライブを丸ごと許可していませんか

「新しく入ったマーケ担当が、便利だからと海外の議事録AIツールを使い始めました。『Googleでログイン』で入れるので手軽なのですが、あるとき管理画面を見たら、そのツールに会社のカレンダーとGmailへのアクセス権が渡っていました。名前も聞いたことのない会社です。悪いツールだとは思いませんが、こういうものが社内にどれだけ繋がっているのか、正直まったく把握できていません」——従業員40名ほどの会社で情シスを兼務する方から、こんな相談を受けました。クラウドで仕事を回すほど、社員が「良さそうなツール」を自分で見つけて繋いでいく。その一つひとつが、会社のデータへの入り口になっています。

「Googleでログイン」や「Googleでサインアップ」は、パスワードを新しく作らずに済む便利な仕組みです。しかしその裏側では、多くの場合、単なる本人確認だけでなく、そのツールに対して会社のGmail・ドライブ・カレンダーなどを読み書きする許可まで一緒に渡っていることがあります。本記事では、この「知らないうちに広がっている外部ツールへのアクセス権」を、会社としてどう握り直すかを整理します。

「Googleでログイン」の裏で渡っているもの

外部のツールに Google アカウントでログインするとき、画面には「このアプリが次へのアクセスをリクエストしています」という同意画面が出ます。多くの社員は中身を読まずに「許可」を押します。ここで渡る権限は、ツールによって大きく違います。本人のメールアドレスと名前だけの軽いものもあれば、Gmailの全メールを読む・ドライブの全ファイルにアクセスする・カレンダーを編集するといった強いものもあります。

問題は、この許可が一度きりではなく、社員が取り消すまで生き続けることです。そのツールを使わなくなっても、退職しても、アクセス権は残ります。冒頭の相談のように、誰も名前を知らないツールが、いまも会社のメールを読める状態でぶら下がっている、というのはよくあります。社員が良かれと思って導入した生成AIツールが会社の情報をどこまで持ち出せるかという論点は生成AI利用ガイドラインの記事でも扱いましたが、その技術的な「入り口」がまさにこの外部アプリ連携です。

管理者は「誰が何に何を許可したか」を後から見られる

ここで多くの経営者・IT担当が知らないのが、Google Workspace の管理者は、社内の誰がどの外部アプリに何のアクセス権を渡したかを一覧で確認できるという事実です。管理コンソールの「アプリのアクセス制御(App access control)」を開くと、社員が連携した外部アプリの一覧と、それぞれが要求している権限(Gmail・ドライブなど)、何人が使っているかが表示されます。

つまり、対策の第一歩は新しいツールを買うことではなく、いま何が繋がっているかを棚卸しすることです。ドライブの共有設定を棚卸しする話は共有ファイルの棚卸しの記事で整理しましたが、外部アプリ連携も同じ発想で、「見えていないアクセス権」をまず可視化するところから始まります。一覧を眺めると、たいてい「これは何だ」というツールがいくつも出てきます。

ブロック・信頼・スコープ限定 ― どこまで絞るか

棚卸しができたら、アプリごとに扱いを決めていきます。Google Workspace では、外部アプリの状態を大きく次のように分けて管理できます。

状態意味
信頼済み会社として使ってよいと認めたアプリ。社員は制限なく連携できる
ブロック会社データへのアクセスを禁止するアプリ。連携しようとしても止まる
制限付き未分類のアプリ全体に対する既定のふるまい(例: Gmail・ドライブなど機微なデータへのアクセスは既定で止める)

肝になるのは、「まだ分類していない未知のアプリ」を既定でどう扱うかです。ここを「制限付き」にしておくと、社員が新しいツールに会社のドライブやGmailへのアクセスを渡そうとしたとき、いったん止まり、管理者の承認待ちリストに回ります。管理者は業務で必要なものだけを承認し、それ以外は放置=許可しない、という運用にできます。2024年末には、アプリごとに「このAPIのこの範囲だけ」とスコープを絞って許可する設定も一般提供され、いっそう細かく握れるようになりました。

やりすぎると現場が「あれもこれも使えない」と不満を持つので、線引きは業務実態に合わせて決めるのが現実的です。会社のデータにどこからアクセスしてよいかを条件で絞る話はアクセス条件を絞る記事でも扱っていますが、外部アプリの制御も「便利さ」と「守り」のバランスを、会社ごとに決める設計作業です。

「便利ツールの入り口」を会社が持つ

社員が良いツールを見つけて使うこと自体は、生産性の面ではむしろ歓迎すべきことです。危ないのは、その入り口が会社の管理の外にあり、誰が何を許可したのか誰も把握していない状態です。「Googleでログイン」のワンクリックの先で、会社のメールやファイルがどこへ繋がっているか——ここを管理者が一覧で握り、未知のアプリは既定で止めておくだけで、退職者経由の漏洩や、無名ツールへの情報流出のリスクは大きく下がります。

「うちの社員がどんな外部ツールに会社のデータを繋いでいるか棚卸ししてほしい」「危ないものは止めつつ、業務で必要なツールはスムーズに使える形にしたい」「生成AIツールの利用ルールと、技術的なアクセス制御をセットで整えたい」——そうしたお悩みがあれば、グリームハブのGoogle Workspace運用支援からお気軽にお問い合わせください。会社のデータの「入り口」を、現場の便利さを損なわずに管理下へ戻すご支援をします。

Sources

URLがコピーされました

グリームハブ株式会社は、変化の激しい時代において、アイデアを形にし、人がもっと自由に、もっと創造的に生きられる世界を目指しています。

記事を書いた人

鈴木 翔

鈴木 翔

技術の可能性に魅了され、学生時代からプログラミングとデジタルアートの分野に深い関心を持つ

関連記事

「Google Workspace」の記事一覧を見る