【GoogleWorkspace】導入初期で検討すべきセキュリティ対策

皆さんはGoogle Workspaceをご存知でしょうか？
過去「Gsuite」という名称で提供されており、企業や組織で利用するグループウェアとして様々な機能が揃っているGoogleのクラウドサービスです。

簡単に言ってしまうと、1ユーザーごとに1つGoogle Workspaceライセンスを必要とする有料のGoogleアカウントです。
テレワーク環境が広がりつつあるなかで、社内の情報共有の利便性やスピード感を求めるユーザーのニーズに答えるため、当社でも本格的に導入を行いました。

しかし、利便性やスピード感を求めると往々にしてセキュリティ面で不安になる部分が増えてくると思います。
この記事ではGoogle Workspaceを導入する際に検討しておくべきセキュリティ対策について紹介していきます。

どんな機能があって、何ができるのか？

Google Workspaceは前述にもある通り様々な機能があります。

全てをここで紹介することは控えますが、多くの方がご自身の個人用Googleアカウントを利用したことがあると思いますので、おなじみの機能を例にしていくつか紹介します。

＊ユーザーアカウント管理＊

個人用Googleアカウントは自分で好きなメールアドレスを決めて、そのメールアドレスが一意のものであれば誰にでもユーザーアカウントが作成できると思います。

Google Workspaceでは「管理者ロール」という権限を管理する機能があり、ユーザーアカウントの作成や変更を「権限を持ったユーザー」だけに限定することができます。この機能によってGoogleアカウントを社員のユーザーアカウントとして管理、運用することができます。

＊Gmail＊

プライベートで使う無料のメールサービスとしてGmailを使っている方も多いと思いますが、個人用Googleアカウントのメールアドレスはドメインが必ず「gmail.com」となり、それ以外のドメインは利用できません。

Google WorkspaceではGmailを「gmail.com」以外の独自ドメインで利用することができます。これによって企業や組織のメール機能としてGmailを利用することができます。

＊Googleドライブ＊

私の見解ですが、個人用Googleアカウントでよく使う機能といえば、Googleドライブという気がしています。個人的なファイルや画像データなどを「マイドライブ」に保存することってありますよね？

個人用Googleドライブはその名の通り「マイドライブ」なので自分だけが管理できるストレージですが、Google Workspaceには「共有ドライブ」という「共有ファイルサーバー」のように利用できるストレージ機能があります。

「共有ドライブ」は複数作成することができ、それぞれに共有設定ができるため「営業部」「管理部」のように企業や組織の部門単位やチーム単位でデータ管理をすることができます。

ここで紹介した他にもGoogle Workspaceにはいろいろな機能がありますが、皆さんにとって身近に感じるであろう機能を紹介いたしました。

導入メリットと、セキュリティ面におけるデメリット

＊Google Workspace導入のメリット＊

Google Workspaceはひとつのサービスプラットフォームで様々な機能が利用できるという魅力がありますが、それ以上に魅力的なのが「インフラ環境を構築せずにいろいろできるようになる」ということです。

メール機能を使うとなればメールサーバーを構築する必要がありますし、社内の共有ファイルサーバーを使うとなればファイルサーバーを構築する必要があります。構築作業はオンプレであれクラウドであれ、それなりのコストと工数が発生しますし時間もかかります。

そういったリソースを最小限に押さえて、早期に導入できることこそがGoogle Workspaceの大きなアドバンテージだと思います。

＊セキュリティ面でのデメリット＊

そんな魅力的なGoogle Workspaceですが、良い部分ばかりではありません。

前述のとおり「ひとつのサービスプラットフォームで様々な機能が利用できる」ため、裏を返せば「ひとつのログイン情報ですべてのサービスプラットフォームが利用できてしまう」という大きなリスクがあります。

何の対策もせずにいるとログイン情報が漏洩してしまった場合、「誰でも」「どこからでも」「どのデバイスでも」、社内の情報にアクセスできてしまう危険性があります。

また「ドライブ」内のファイルはユーザーの権限によっては「ファイル単位」で外部と共有できてしまいます。ユーザーが利便性だけを優先して社内の情報を好き勝手に共有してしまうと管理側としては非常に厄介です。

検討しておくべきセキュリティ対策とは？

前述のようなリスクがありますが、Google Workspaceにはそういった事態に備えてセキュリティを強化するための機能ももちろん用意されています。

ここでは検討しておくべきセキュリティ対策についていくつか紹介いたします。

＊共有ドライブの共有設定＊

機能の一部で紹介したとおり、「共有ドライブ」はドライブごと共有設定ができます。「共有ドライブ」の権限は「閲覧者」「閲覧者（コメント有）」「コンテンツ管理者」「管理者」と設定することができ、ユーザーに共有ドライブへのアクセス権限を設定できるのは「管理者」権限のユーザーだけです。

安全な運用の一例として「管理者」権限を「特定の管理用ユーザーかグループ」のみに設定することで誰にでも好き勝手に共有する、というリスクは回避することができます。

＊アカウントログイン時の2段階認証＊

個人用のGoogleアカウントでも存在する機能ですが、ログイン情報の盗難や漏洩時に有効なのは「ログイン時の2段階認証」設定です。

Google Workspaceは管理コンソールでユーザーに対してログイン時の2段階認証を強制することができます。2段階認証の方法や認証情報の送り先はユーザーが設定する必要がありますが、ユーザーが安全性の低いパスワードを設定してしまったり、ログイン情報を漏洩してしまった場合のリスク回避ができます。

＊IPやデバイスによるサービス利用制限＊

コンテキスト アウェアアクセスという機能を利用することで企業や組織が設定したポリシーでドライブやGmailの利用を管理することができます。

例えば、特定のデバイスやIPアドレスからのみの利用を許可したり、逆に制限することができます。これにより、ユーザーが個人用のデバイスで社内のデータを持ち出してしまったり、セキュアな環境ではない公共のWi-Fiスポットからアクセスしてデータを盗み取られる、といったリスクを回避することができます。

＊ユーザーPWリセットや停止/削除＊

この方法は在籍している社員に対してというより、退職した社員に対するセキュリティ対策です。

最も簡単なのは管理コンソールからユーザーのログインパスワードを「再設定」もしくは「ユーザー停止」してしまうことです。この方法であれば退職したユーザーが残していったデータを保持したまま、外部からのアクセスを制限することができます。ただし、この方法だとライセンスを1つ使い続けている状態になります。

退職したユーザーのライセンスを再利用して他のユーザーに割り当てたい場合は「ユーザー削除」することとなりますが、削除されたユーザーが利用していたサービス（マイドライブ内のデータやGmailなど）も全て削除されてしまうため、データバックアップの方法を検討する必要があります。

まとめ

Google Workspaceの概要と導入初期で検討すべきセキュリティ対策について紹介しました。
ここで紹介した方法はほんの一例ですので、企業や組織の環境によって最適な方法があると思います。

ただ、設定や運用方法をがちがちに固め過ぎると利便性は低くなってしまうので、ポイントを押さえたセキュリティ対策を検討していく必要があります。

ブルームテクノロジーでは引き続き、利便性を損なうことなく安全に利用できる体制を整えるための施策を検討していきたいと思います。