Google Workspaceのセキュリティ: 2026年のベストプラクティス
Google Workspaceは、何百万もの組織にとって生産性の要となるプラットフォームであり、メール、ドキュメント、カレンダー、ビデオ会議、タスク管理のすべてを単一のプラットフォームで運用しています。この一元化は非常に大きな利便性をもたらす一方で、攻撃者にとっての標的が集中し、偶発的なデータ漏洩や内部不正のリスクも生じさせます。
Google Workspaceのセキュリティは、一度設定して終わりではありません。管理者による制御、エンドユーザーの行動、サードパーティとの連携、そして組織のポリシーにまたがる継続的な取り組みです。本ガイドでは、2026年における最も重要なセキュリティ対策を、適用される制御レイヤーごとに整理して解説します。
なぜGoogle Workspaceのセキュリティに真剣に取り組むべきなのか
Googleは、転送中および保存時の暗号化、物理的なセキュリティを備えたデータセンター、継続的な脅威検知など、インフラストラクチャのセキュリティに多額の投資を行っています。しかし、Googleが完全に保護できないのは、組織がどのようにプラットフォームを設定し、利用しているかという点です。
Google Workspaceで最も一般的なセキュリティインシデントは、Googleのインフラに対する攻撃ではありません。主に以下の通りです。
- フィッシングによるアカウント乗っ取り: 攻撃者が偽のログインページで従業員を騙し、認証情報を入力させる。
- 過剰な権限を持つOAuthアプリ: Google DriveやGmailへのアクセス権を付与されたサードパーティ製アプリが、後に悪意のあるものに変わったり、信頼できない企業に買収されたりする。
- 偶発的な共有: 機密ドキュメントが、特定の個人ではなく「リンクを知っている全員」に対して共有される。
- 脆弱または使い回されたパスワード: 特に2段階認証が設定されていないアカウントで顕著。
- 管理者アカウントの侵害: Google Workspace組織において最もリスクの高いアカウントタイプ。
これらにはそれぞれ明確な緩和策があります。課題は、それらすべてを一貫して実装することです。
管理コンソール: Google Workspaceセキュリティの基盤
Google Admin Consoleは、組織のセキュリティ設定を行う場所です。ここで説明するすべてのセキュリティベストプラクティスは、実装するために管理者権限を必要とします。
2段階認証の強制
2段階認証(2SV)は、Google Workspaceで利用可能な最も効果の高いセキュリティ制御です。パスワードに加えて、2つ目の要素(コード、ハードウェアキー、生体認証)を要求します。攻撃者がユーザーのパスワードを入手したとしても、2つ目の要素がなければアカウントにアクセスすることはできません。
強制する方法:
- 管理コンソールで、[セキュリティ] > [認証] > [2段階認証] に移動します。
- すべてのユーザーに対して強制を有効にします(任意設定にしないこと)。
- ポリシーが有効になる前に、ユーザーが登録するための猶予期間(7〜30日)を設定します。
- 管理者などの特権アカウントには、ハードウェアセキュリティキー(FIDO2/WebAuthn)の使用を義務付けることを検討してください。
最大限の保護のために、ハードウェアセキュリティキーはSMSコードや認証アプリよりもフィッシングに対して劇的に高い耐性を持っています。Google自身の調査によると、ハードウェアキーは自動化されたボット攻撃を100%、大量のフィッシング攻撃を99%、標的型攻撃を90%ブロックしました。
強固なパスワードの要求
パスワードの最小文字数を12文字以上に設定し、再利用防止(過去10回分のパスワードをブロック)を強制してください。これに加えて、Googleのセキュリティセンターに含まれている「Have I Been Pwned」形式の漏洩認証情報検知機能を併用しましょう。
スーパー管理者アカウントの監査
スーパー管理者アカウントは、Google Workspace組織内のすべてのデータと設定に対して無制限のアクセス権を持っています。ベストプラクティスは以下の通りです。
- スーパー管理者アカウントは2〜4つ以内に抑える。
- 日常業務にスーパー管理者アカウントを使用しない。日常的な管理タスク用には別の管理者アカウントを作成する。
- すべてのスーパー管理者アカウントに対して、ログインチャレンジを有効にし、ハードウェアセキュリティキーを必須にする。
- 四半期ごとにスーパー管理者のリストを見直す。
ユーザーデータの保護: 共有とDLP
外部共有設定の監査
Google Driveのデフォルトの共有設定では、リンクを知っている人であれば組織外の人間を含め、誰とでもファイルを共有できるようになっています。多くの組織にとって、これは許可範囲が広すぎます。
管理コンソールで以下を確認してください。
- ドライブとドキュメント > 共有設定 > [ドメイン名]外との共有: 特定の信頼できるドメインのみに制限するか、機密性の高い組織部門については外部共有を完全に無効にします。
- 機密データを扱う組織部門については、リンク共有を「全員」に設定することを無効化します。
データ損失防止(DLP)
Google WorkspaceのDLPルールは、送信メールやDriveのファイル共有を自動的にスキャンし、クレジットカード番号、社会保障番号、マイナンバー、その他定義したカスタムパターンなどの機密データがないか確認します。
DLPが機密パターンを検知すると、共有のブロック、ユーザーへの警告、または管理者への通知を行うことができます。DLPはBusiness Plus、Enterprise、Education Plusプランで利用可能です。
設定すべき主要なDLPルール:
- クレジットカード番号を含むDriveファイルを外部と共有することをブロックする。
- 特定のキーワード(機密、専有、個人情報など)を含むメールを送信する前に警告を表示する。
- 疑わしい添付ファイルを含むGmailメッセージを隔離する。
保持と電子情報開示のためのVault
Google Vaultを使用すると、管理者はGmail、Drive、Chat、Meetの保持ルールを設定できます。これにより、ユーザーがデータを削除しても、法的要件やコンプライアンス要件に必要な期間、データが確実に保持されます。
GDPR、HIPAA、または金融規制の対象となる組織にとって、Vaultはオプションの追加機能ではなく、不可欠なインフラです。
サードパーティ製アプリのアクセス管理
OAuthを介してGoogle Workspaceに接続するサードパーティ製アプリは、最も過小評価されているセキュリティリスクの一つです。ユーザーが「Googleでログイン」をクリックしてアプリに権限を付与するたびに、そのアプリはユーザーが手動で取り消すまで、付与されたデータへの継続的なアクセス権を得ることになります。
接続済みアプリの監査
管理コンソールで、[セキュリティ] > [アクセスとデータ管理] > [APIの制御] > [アプリのアクセス制御] に移動し、組織のGoogle WorkspaceデータへのOAuthアクセス権が付与されているすべてのサードパーティ製アプリを確認します。
以下の点に注意してリストを見直してください。
- 機能が必要とする以上の広範な権限を要求しているアプリ。
- 組織が既に使用していないベンダーのアプリ。
- 現在使用しているユーザーがいないアプリ。
- 非推奨になったアプリ、またはベンダーが買収されたアプリ。
サードパーティ製アプリのアクセス制限
セキュリティレベルの高い組織では、Google Workspaceに接続できるサードパーティ製アプリを完全に制限することができます。2つの選択肢があります。
- 許可リストモード: 管理者が明示的に承認したアプリのみが接続可能。
- 未確認アプリの制限: GoogleのOAuth検証プロセスを完了したアプリのみが、機密スコープを要求可能。
許可リスト方式は最も強力な保護を提供しますが、組織が新しいツールを採用するたびに継続的なメンテナンスが必要です。
TasksBoardとOAuthセキュリティ
TasksBoardはOAuthを介して公式のGoogle Tasks APIを使用し、Google Tasksデータへのアクセスのみを要求します。Gmail、Drive、Calendarの内容へのアクセスは要求しません。TasksBoardにアクセス権を付与しても、Google Tasksの読み書きができるだけで、それ以外には何もできません。この最小限の権限スコープは、最小権限の原則に従っています。
サードパーティ製のGoogle Workspaceアプリを評価する際は、アクセス権を付与する前に要求される権限スコープを確認してください。「生産性を向上させる」という理由でGmailの全データへのアクセスを要求するアプリは、危険信号です。
メールセキュリティ: Gmailの保護
Gmailには、管理者が設定および強化できるいくつかのセキュリティレイヤーが含まれています。
フィッシングおよびマルウェア対策
管理コンソールの [アプリ] > [Google Workspace] > [Gmail] > [安全性] で、以下を有効にしてください。
- 高度な配信前メッセージスキャン: メッセージがユーザーの受信トレイに届く前に、AIを活用した追加スキャンを行う。
- 添付ファイル: 信頼できない送信者からの添付ファイルから保護する。
- リンクと外部画像: 短縮URLの背後にあるリンクを識別する。
- なりすましと認証: 未認証のメールから保護する。
SPF、DKIM、DMARCの設定
これらのメール認証標準は、ドメインから送信されたメールが、実際に許可されたメールサーバーから発信されたものであることを検証します。
- SPF (Sender Policy Framework): 許可された送信元IPアドレスをDNSにリスト化する。
- DKIM (DomainKeys Identified Mail): 送信メールに暗号署名を追加する。
- DMARC: SPF/DKIMチェックに失敗したメールの扱いを、受信側のメールサーバーに指示する。
Google Workspaceでは、管理コンソールを通じてDKIMの設定を簡単に行うことができます。DMARCにはDNSレコードが必要です。まずは監視のみを行う p=none ポリシーから開始し、正当なメールが認証を通過することを確認してから、p=quarantine、最終的に p=reject へと移行します。
セキュアLDAPとSSO
セキュアLDAPやSAMLベースのシングルサインオン(SSO)を使用している組織では、SSOプロバイダーがGoogle Workspaceと同じ2SVポリシーを強制していることを確認してください。SSOレイヤーで2SVをバイパスすると、Google Workspaceの2SV保護が無効になってしまいます。
エンドポイントおよびモバイルデバイス管理
Google Workspaceにアクセスするすべてのデバイスは、潜在的な攻撃ベクトルとなります。モバイルデバイス管理(MDM)を使用すると、管理者は組織のデータにアクセスするデバイスを制御し、ワイプすることができます。
基本デバイス管理と高度なデバイス管理
Google Workspaceには、追加費用なしで基本的なデバイス管理が含まれています。高度なエンドポイント管理は、上位プランで利用可能です。主な機能は以下の通りです。
基本(無料):
- モバイルデバイスでの画面ロックの要求。
- リモートアカウントワイプ(デバイス全体を消去せずにGoogle Workspaceデータのみを削除)。
- デバイスのインベントリ管理。
高度(有料プラン):
- 承認されたアプリのみを許可。
- 侵害されたデバイスからのアクセスをブロック。
- デバイス全体のワイプ機能。
- OSアップデートの要件を強制。
Chromebook管理
Chromebookを使用している組織は、Google管理コンソールを通じて、USBストレージのブロック、検証済みブートの強制、アプリインストールの制限、ネットワークアクセス権限の設定など、きめ細かなポリシー制御で管理できます。
セキュリティ監視とインシデント対応
セキュリティセンター
Google Workspaceセキュリティセンター(Business PlusおよびEnterpriseで利用可能)は、セキュリティの健全性指標、アラート、調査ツールのダッシュボードを提供します。以下を監視してください。
- ログイン失敗の試行と不審なサインイン。
- メールおよびDriveのアクティビティの異常。
- サードパーティ製アプリによるOAuth権限付与。
- データ流出の兆候。
優先度の高いセキュリティイベントに対してメールアラートを設定し、管理チームが迅速に通知を受け取れるようにします。
アラートセンター
管理コンソールの「アラートセンター」は、アカウント侵害の警告、政府が関与する攻撃の通知、不審なログインアクティビティ、ドメインを標的としたフィッシングキャンペーンなど、Google Workspace全体のセキュリティアラートを集約します。
定期的にアラートセンターを確認し、一般的なアラートタイプに対するインシデント対応ワークフローを確立してください。
ログの保持と監査ログ
Google Workspaceは、管理者の操作、Driveのアクティビティ、Gmailのアクティビティなどの監査ログを生成します。これらのログは、あらゆるセキュリティ調査の基盤となります。
ほとんどのプランでは、監査ログは180日間保持されます。より長い保持期間が必要な組織は、Google Cloud StorageへのエクスポートやSIEM統合を設定する必要があります。
エンドユーザー向けのセキュリティベストプラクティス
管理上の制御には限界があります。従業員のセキュリティ行動が、方程式のもう半分を占めています。
定期的なセキュリティトレーニング
年1回のセキュリティトレーニングは多くの業界で規制上の最低条件ですが、最も効果的なプログラムは、継続的かつシナリオベースのトレーニングを提供しています。フィッシングの認識、安全なファイル共有の実践、パスワードの衛生管理に焦点を当てましょう。
Googleは、管理者が従業員と共有できる無料のセキュリティトレーニングリソースをGoogle Workspaceラーニングセンターを通じて提供しています。
フィッシングシミュレーション
定期的にフィッシングシミュレーション(偽のフィッシングメールを従業員に送り、誰がクリックするかを確認する)を実施することで、追加のトレーニングが必要な従業員やチームに関するデータが得られます。これは懲罰的な手段ではなく、学習ツールとして実施するのが最も効果的です。
明確なデータ取り扱いポリシー
どの種類のデータを外部と共有可能か、どれが内部アクセスのみか、どれが暗号化や追加の制御を必要とするかを文書化し、周知してください。明確なポリシーがなければ、従業員は一貫性のない判断を下し、リスクを生じさせることになります。
よくある質問
Google Workspaceの最も重要なセキュリティ設定は何ですか?
すべてのユーザーに対して2段階認証を強制することが、最も効果の高いセキュリティ制御です。アカウントの乗っ取りはGoogle Workspace環境において最も一般的な深刻なセキュリティインシデントであり、2SVは認証情報に基づく攻撃の大部分を防ぎます。
どのアプリが自分のGoogle Workspaceにアクセスしているかを確認するにはどうすればよいですか?
管理コンソールで、[セキュリティ] > [アクセスとデータ管理] > [APIの制御] > [アプリのアクセス制御] に移動します。ここに、組織のデータに対してOAuthアクセス権を持つすべてのサードパーティ製アプリが表示されます。個々のユーザーは、myaccount.google.com/permissionsから自分の接続済みアプリを確認することもできます。
Google WorkspaceはHIPAAに準拠できますか?
はい、適切な設定を行えば可能です。GoogleはGoogle Workspaceの顧客向けに、Gmail、Drive、Calendar、その他の主要サービスを対象としたビジネスアソシエイト契約(BAA)を提供しています。HIPAA要件を満たすには、GoogleとBAAを締結し、適切な制御(暗号化、アクセス制御、監査ログ)を設定する必要があります。
Google Workspaceのデータ暗号化へのアプローチはどのようなものですか?
Googleは転送中のデータ(TLS)と保存時のデータ(AES 256ビット)を暗号化します。顧客管理の暗号化キーを必要とする組織向けに、Google WorkspaceはEnterpriseおよびEducation Plusプランでクライアントサイド暗号化(CSE)を提供しており、Googleのサーバーに到達する前に、管理者が制御するキーでデータを暗号化できます。
Google Driveでの偶発的なデータ漏洩を防ぐにはどうすればよいですか?
主な制御方法は、管理コンソールでの外部共有設定の制限、機密データパターンをフラグ付けするためのDLPルールの実装、そして共有のベストプラクティスに関するユーザー教育です。機密性の高い組織では、リンク共有を「リンクを知っている全員」ではなく「特定のユーザー」に設定することを必須にすることで、最も一般的な偶発的露出経路を排除できます。
TasksBoardはGoogle Workspaceのセキュリティをどのように扱いますか?
TasksBoardはGoogle Tasksのみにアクセスします。タスク以外のGmail、Google Drive、その他のGoogle Workspaceサービスへのアクセスは要求しません。TasksBoardは認証にOAuth 2.0を使用しているため、Googleのパスワードを受け取ったり保存したりすることはありません。TasksBoardのアクセス権は、Googleアカウントのセキュリティ設定(myaccount.google.com/permissions)からいつでも確認および取り消しが可能です。
設定だけでなく、セキュリティプログラムを構築する
最も強固なGoogle Workspaceのセキュリティ体制とは、一度限りの設定ではありません。定期的な見直し、継続的なユーザー教育、明確なインシデント対応プロセスを備えた、生きているプログラムです。
まずは優先度の高い制御から始めましょう。2段階認証の強制、スーパー管理者アカウントの監査、外部共有設定の見直し、そしてGmail認証(SPF/DKIM/DMARC)の設定です。その後、優先度の低い制御を体系的に進めてください。
セキュリティは、組織のリスクプロファイルに比例しているときに最も効果を発揮します。10人のスタートアップ企業と、医療機関や金融サービス企業ではニーズが異なります。このガイドをフレームワークとして使用し、組織にとって実際に何が重要であるかに合わせて、各制御の厳格さを調整してください。
Google Workspaceの機能や詳細については、Google Workspaceチュートリアルをご覧ください。
