情シス1人に「全部入り管理者」— その権限、部署ごとに絞れます | GH Media
URLがコピーされました

情シス1人に「全部入り管理者」— その権限、部署ごとに絞れます

URLがコピーされました
情シス1人に「全部入り管理者」— その権限、部署ごとに絞れます

「うちの管理コンソール、フルの管理者権限を持っているのは私と、あと前任の役員アカウントの2つだけです。役員のほうはもう誰も使っていないんですが、消すのが怖くて放置しています」——従業員60名ほどの会社の情シス担当から、こんな相談を受けました。管理者が少なすぎて属人化する一方で、使われていない特権アカウントが放置され、外部ベンダーには作業のたびに強い権限を渡したまま。この状態は「管理できている」ように見えて、実は最も事故が起きやすい構成です。特権を持つアカウントが一つでも乗っ取られれば、被害は全社に及びます。

Google Workspace には、管理者の権限を「必要な人に、必要な範囲だけ」割り当てる仕組みがあります。そして2026年7月、これまで難しかったモバイルデバイス管理(MDM)の権限も、組織部門(OU)単位で委任できるよう拡張されました。本記事では、なぜ「全部入り管理者」が危ないのか、どう役割を分ければよいのかを、導入を検討する立場で整理します。

「全部入り管理者」が抱える3つのリスク

一人の特権管理者にすべてを集約する運用は、次の問題を同時に抱えます。

  • 乗っ取り時の被害範囲:そのアカウントが突破されると、全ユーザーのメール閲覧・データ持ち出し・アカウント削除まで、攻撃者に何でもできてしまう
  • 内部不正と誤操作:意図的な持ち出しだけでなく、「触るつもりのなかった設定を変えてしまう」事故も、権限が広いほど起きやすい
  • 監査での指摘:取引先のセキュリティチェックや ISMS 監査では、「最小権限になっているか」「特権アカウントの棚卸しをしているか」がほぼ必ず問われる

とくに一つ目は、退職者アカウントのオフボーディング処理と並んで、セキュリティ診断で真っ先に見られる項目です。冒頭の「放置された役員の特権アカウント」は、まさに攻撃者にとって理想的な入り口になります。

2026年7月の変更 — 権限をOU単位で切り分ける

Google Workspace の管理者ロールは、あらかじめ用意された役割(ユーザー管理者、ヘルプデスク管理者など)に加えて、必要な権限だけを束ねたカスタムロールを作れます。さらにそのロールを、組織全体ではなく特定の組織部門(OU)に限定して割り当てられるのが要点です。「大阪支店のOUに属するユーザーのパスワードリセットだけできる担当者」といった、範囲を絞った管理者を作れます。

今回の2026年7月の更新では、これまで全体でしか扱いにくかったモバイルデバイス管理の権限についても、OU単位で委任できるようになりました。たとえば店舗ごとに配布したスマホやタブレットの管理を、その店舗の責任者に「自店の端末だけ」任せられます。全社の端末を情シスが一手に引き受ける構成から、現場に近い人へ範囲を区切って渡す構成へ移せるわけです。この考え方は、BYOD・エンドポイント管理の設計とセットで効いてきます。

誰に、どこまで渡すか

役割の分け方は会社ごとに違いますが、中小企業でよくある委任のパターンを挙げると、次のように整理できます。

渡す相手与える権限の範囲
ヘルプデスク担当・総務パスワードリセット、グループ追加など日常運用のみ。設定変更やデータ閲覧は不可
支店・店舗のリーダー自部門OUのユーザー・端末の管理のみ。他部門は見えない
外部の運用ベンダー作業に必要な権限を期間限定で付与。完了後に速やかに剥奪
情シス(特権管理者)最小人数に限定。全員に2段階認証を必須化し、棚卸し対象にする

肝心なのは、「便利だから」と広い権限を渡さないことです。日常業務でパスワードリセットしかしない担当者に、全社のデータ閲覧権限まで付いている必要はありません。権限を絞るほど、そのアカウントが突破されたときの被害も、うっかり操作のリスクも小さくなります。

委任を安全に回し続ける運用

権限を分けて終わり、ではありません。委任した権限が正しく使われているかを見続ける仕組みが要ります。管理コンソールの監査ログとアラートで「誰がいつどの管理操作をしたか」を追えるようにし、想定外の権限行使に気づける状態を作ります。あわせて、四半期に一度は「今この権限を持っている人は、まだその権限が必要か」を棚卸しし、退職・異動で不要になったロールを剥がします。冒頭の放置アカウントのような「誰も使っていない特権」を残さないことが、そのまま攻撃面を狭めることになります。

管理者権限の設計は、一度組めば長く効く「守りの土台」です。特権が一人に集中している、外部ベンダーに強い権限を渡したままになっている、退職者の管理者アカウントが消せずにいる——そうした不安があれば、グリームハブの Google Workspace 運用支援・IT 相談へお気軽にご相談ください。御社の組織構成に合わせて、最小権限のロール設計と棚卸しの回し方までご一緒に整えます。

Sources

URLがコピーされました

グリームハブ株式会社は、変化の激しい時代において、アイデアを形にし、人がもっと自由に、もっと創造的に生きられる世界を目指しています。

記事を書いた人

鈴木 翔

鈴木 翔

技術の可能性に魅了され、学生時代からプログラミングとデジタルアートの分野に深い関心を持つ

関連記事

「Google Workspace」の記事一覧を見る