Google Workspaceセキュリティ：2026年に向けたベストプラクティス

Google Workspace は、何百万もの組織にとって生産性の基盤となっています。メール、ドキュメント、カレンダー、ビデオ会議、タスク管理のすべてが単一のプラットフォームで実行されます。この一元化は、計り知れない利便性をもたらします。また、攻撃者、偶発的なデータ漏洩、内部関係者によるリスクに対する集中攻撃の標的にもなります。

Google Workspace のセキュリティは、一度限りの設定ではありません。管理者による制御、エンドユーザーの行動、サードパーティの統合、組織のポリシーにわたる継続的な実践です。このガイドでは、2026 年に最も重要なセキュリティ対策を、それぞれが適用される制御層ごとに整理して説明します。

Google Workspace のセキュリティが真剣な注意を払うべき理由

Google は、インフラストラクチャのセキュリティに多大な投資を行っています。転送中および保存時の暗号化、物理的なセキュリティを備えたデータセンター、継続的な脅威検出などです。Google が完全に保護できないのは、組織がプラットフォームをどのように構成し、使用するかということです。

Google Workspace で最も一般的なセキュリティインシデントは、Google のインフラストラクチャ侵害ではありません。それらは次のとおりです。

フィッシングによるアカウント乗っ取り — 攻撃者が従業員をだまして偽のログインページに認証情報を入力させる。
過剰な権限を持つ OAuth アプリ — Google Drive または Gmail へのアクセスを許可されたサードパーティアプリが、後に悪意のあるものになったり、信頼できない企業に買収されたりする。
偶発的な共有 — 特定の人物ではなく、「リンクを知っている全員」と共有された機密文書。
脆弱なパスワードまたは使い回されたパスワード — 特に2段階認証が設定されていないアカウントで。
侵害された管理者アカウント — どの Google Workspace 組織においても最もリスクの高いアカウントタイプ。

これらにはそれぞれ明確な軽減策があります。課題は、それらすべてを一貫して実装することです。

管理コンソール: Google Workspace セキュリティの基盤

Admin Console Controls

2-Step Verification enforcement

Password policy configuration

Session duration settings

Google 管理コンソールは、組織のセキュリティ設定が行われる場所です。ここで説明するすべてのセキュリティのベストプラクティスは、実装するために管理者アクセスを必要とします。

2段階認証を強制する

2段階認証（2SV）は、Google Workspace で利用できる最も影響の大きい単一のセキュリティ制御です。パスワードに加えて、コード、ハードウェアキー、または生体認証という第2の要素を必要とします。攻撃者がユーザーのパスワードを入手しても、第2の要素がなければアカウントにアクセスすることはできません。

強制する方法:

管理コンソールで、[セキュリティ] > [認証] > [2段階認証] に移動します。
すべてのユーザーに対して強制を有効にします（オプションではなく）。
ポリシーが有効になる前にユーザーが登録するための猶予期間（7〜30日）を設定します。
管理者などの特権アカウントには、ハードウェアセキュリティキー（FIDO2/WebAuthn）を要求することを検討してください。

最大限の保護のために、ハードウェアセキュリティキーはSMSコードや認証アプリよりもはるかにフィッシング耐性が高いです。Google自身の調査では、ハードウェアキーが自動ボット攻撃の100%、大量フィッシング攻撃の99%、標的型攻撃の90%をブロックしたことが判明しました。

強力なパスワードを要求する

最小パスワード長を12文字以上に設定し、再利用防止（過去10個のパスワードをブロック）を強制します。これを、Googleがセキュリティセンターに含めているHave I Been Pwnedスタイルの漏洩した認証情報検出と組み合わせます。

特権管理者アカウントを監査する

特権管理者アカウントは、Google Workspace 組織内のすべてのデータと設定に無制限にアクセスできます。ベストプラクティス：

特権管理者アカウントは2〜4個以下に維持します。
日常業務に特権管理者アカウントを使用しないでください。ルーチンの管理タスクには別の管理者アカウントを作成します。
すべての特権管理者アカウントに対して、ログインチャレンジを有効にし、ハードウェアセキュリティキーを要求します。
特権管理者のリストを四半期ごとに確認します。

ユーザーデータの保護: 共有とDLP

外部共有設定の監査

Googleドライブのデフォルトの共有設定では、ユーザーはリンクを知っている人なら誰とでも、組織外の人ともファイル共有できます。ほとんどの組織にとって、これは許可しすぎです。

管理コンソールで以下を確認してください。

ドライブとドキュメント > 共有設定 > [あなたのドメイン]外での共有 — 特定の信頼できるドメインに制限するか、機密性の高い組織部門では外部共有を完全に無効にします。
機密データを扱う組織部門では、「誰でも」に設定されたリンク共有を無効にします。

データ損失防止 (DLP)

Google WorkspaceのDLPルールは、送信メールとドライブのファイル共有を自動的にスキャンし、機密データのパターン（クレジットカード番号、社会保障番号、国民ID番号、定義したカスタムパターン）を検出します。

DLPが機密パターンを検出すると、共有をブロックしたり、ユーザーに警告したり、管理者に通知したりできます。DLPはBusiness Plus、Enterprise、およびEducation Plusプランで利用可能です。

設定すべき主要なDLPルール:

クレジットカード番号を含むドライブファイルが外部に共有されるのをブロックする。
特定のキーワード（機密、専有、PII）を含むメールを送信する前に警告する。
不審な添付ファイルタイプを含むGmailメッセージを隔離する。

保管とeDiscoveryのためのVault

Google Vaultを使用すると、管理者はGmail、ドライブ、Chat、Meetの保持ルールを設定できます。これにより、ユーザーがデータを削除しても、必要な保持期間データが保持されることが保証され、法的およびコンプライアンス要件にとって重要です。

GDPR、HIPAA、または金融規制の対象となる組織にとって、Vaultはオプションのアドオンではなく、不可欠なインフラストラクチャです。

サードパーティアプリのアクセス管理

OAuthを介してGoogle Workspaceに接続するサードパーティアプリは、最も過小評価されているセキュリティリスクの1つです。ユーザーが「Googleでサインイン」をクリックしてアプリに権限を付与するたびに、そのアプリは付与されたデータへの継続的なアクセス権を取得します。これはユーザーが手動で取り消すまで続きます。

接続されているアプリの監査

管理コンソールで、セキュリティ > アクセスとデータ制御 > APIコントロール > アプリアクセス制御に移動し、組織のGoogle WorkspaceデータへのOAuthアクセスを許可されているすべてのサードパーティアプリを確認します。

このリストで以下を確認してください。

その機能が必要とするよりも広範な権限を要求するアプリ。
組織がもはや使用していないベンダーのアプリ。
現在使用しているユーザーがいないアプリ。
非推奨になったアプリ、またはベンダーが買収されたアプリ。

サードパーティアプリのアクセス制限

高セキュリティの組織では、Google Workspaceへの接続を許可するサードパーティアプリを完全に制限できます。2つのオプションがあります。

許可リストモード — 管理者によって明示的に承認されたアプリのみが接続できます。
未検証アプリの制限 — GoogleのOAuth検証プロセスを完了したアプリのみが機密スコープを要求できます。

許可リストアプローチは最も強力な保護を提供しますが、組織が新しいツールを採用するにつれて継続的なメンテナンスが必要です。

TasksBoardとOAuthセキュリティ

TasksBoardは、OAuthを介して公式のGoogle Tasks APIを使用し、Google Tasksデータのみへのアクセスを要求します。Gmail、ドライブ、またはカレンダーのコンテンツへのアクセスは要求しません。TasksBoardにアクセスを許可すると、Google Tasksの読み取りと書き込みのみが可能になり、それ以外のことはできません。この最小限の権限スコープは、最小権限の原則に従っています。

サードパーティのGoogle Workspaceアプリを評価する際は、アクセスを許可する前に要求される権限スコープを確認してください。「生産性を向上させる」ためにすべてのGmailデータへのアクセスを要求するアプリは、危険信号です。

メールセキュリティ: Gmail の保護機能

Security

Gmail

Users

Gmail には、管理者が設定および強化できるいくつかのセキュリティレイヤーが含まれています。

フィッシングおよびマルウェア対策

管理コンソールの [アプリ] > [Google Workspace] > [Gmail] > [安全性] で、以下を有効にします。

配信前メッセージの強化されたスキャン — メッセージがユーザーの受信トレイに届く前に、AI を活用した追加のスキャンを実行します。
添付ファイル: 信頼できない送信者からの添付ファイルから保護します。
リンクと外部画像: 短縮 URL の背後にあるリンクを特定します。
なりすましと認証: 認証されていないメールから保護します。

SPF、DKIM、DMARC の設定

これらのメール認証標準は、ドメインから送信されたメールが、実際に承認されたメールサーバーから発信されたものであることを確認します。

SPF (Sender Policy Framework) — DNS に承認された送信 IP アドレスをリストします。
DKIM (DomainKeys Identified Mail) — 送信メールに暗号署名を追加します。
DMARC — SPF/DKIM チェックに失敗したメールをどう処理するかを受信メールサーバーに指示します。

Google Workspace では、管理コンソールを通じて DKIM の設定を簡単に行うことができます。DMARC には DNS レコードが必要です。最初は監視のみを行う p=none ポリシーから始め、正当なメールが認証を通過することを確認した後、p=quarantine、最終的には p=reject に移行します。

セキュア LDAP と SSO

セキュア LDAP または SAML ベースのシングルサインオンを使用している組織では、SSO プロバイダーが Google Workspace と同じ 2 段階認証プロセス (2SV) ポリシーを適用していることを確認してください。SSO レイヤーで 2SV をバイパスすると、Google Workspace の 2SV 保護が無効になります。

エンドポイントとモバイルデバイス管理

Google Workspace にアクセスするすべてのデバイスは、潜在的な攻撃ベクトルとなります。モバイルデバイス管理 (MDM) を使用すると、管理者は組織データにアクセスするデバイスを制御し、ワイプすることができます。

基本的なデバイス管理と高度なデバイス管理

Google Workspace には、追加費用なしで基本的なデバイス管理が含まれています。高度なエンドポイント管理は、上位のプランで利用できます。主な機能は次のとおりです。

基本 (無料):

モバイルデバイスでの画面ロックの必須化。
リモートアカウントワイプ (デバイス全体のワイプなしで Google Workspace データを削除)。
デバイスインベントリ。

高度 (有料プラン):

承認済みアプリのみを必須化。
侵害されたデバイスからのアクセスをブロック。
デバイス全体のワイプ機能。
OS アップデート要件の強制。

Chromebook 管理

Chromebook を使用している組織は、Google 管理コンソールを通じて、USB ストレージのブロック、検証済みブートの強制、アプリインストールの制限、ネットワークアクセスポリシーの設定など、きめ細かなポリシー制御で管理できます。

セキュリティ監視とインシデント対応

セキュリティセンター

Google Workspace セキュリティセンター (Business Plus および Enterprise で利用可能) は、セキュリティ状態の指標、アラート、調査ツールのダッシュボードを提供します。監視対象:

ログイン失敗と不審なサインイン。
メールとドライブのアクティビティの異常。
サードパーティアプリの OAuth 許可。
データ流出の兆候。

優先度の高いセキュリティイベントに対してメールアラートを設定し、管理者チームに迅速に通知されるようにします。

アラートセンター

管理コンソールのアラートセンターは、Google Workspace 全体からのセキュリティアラート (アカウント侵害の警告、政府支援の攻撃通知、不審なログインアクティビティ、ドメインを標的としたフィッシングキャンペーンなど) を集約します。

アラートセンターを定期的に確認し、一般的なアラートタイプに対するインシデント対応ワークフローを確立します。

ログ保持と監査ログ

Google Workspace は、管理者アクション、ドライブアクティビティ、Gmail アクティビティなどの監査ログを生成します。これらのログは、あらゆるセキュリティ調査の基盤となります。

ほとんどのプランでは、監査ログは 180 日間保持されます。より長い保持期間が必要な組織は、Google Cloud Storage エクスポートまたは SIEM 統合を構成する必要があります。

エンドユーザー向けのセキュリティベストプラクティス

Secure Access

Protected Data

管理上の制御には限界があります。従業員のセキュリティ行動が、もう一方の重要な要素です。

定期的なセキュリティトレーニング

年次のセキュリティトレーニングは、多くの業界で規制上の最低要件ですが、最も効果的なプログラムは、継続的なシナリオベースのトレーニングを提供します。フィッシングの認識、安全なファイル共有の実践、パスワードの衛生状態に焦点を当てます。

Googleは、管理者が従業員と共有できる無料のセキュリティトレーニングリソースをGoogle Workspace ラーニングセンターを通じて提供しています。

フィッシングシミュレーション

定期的なフィッシングシミュレーション（従業員に偽のフィッシングメールを送信し、誰がクリックするかを確認する）を実施することで、どの従業員やチームが追加のトレーニングを必要としているかに関するデータが得られます。これは、懲罰的な措置ではなく、学習ツールとして最も効果的です。

明確なデータ処理ポリシー

どの種類のデータを外部と共有できるか、どのデータが内部のみのアクセスを必要とするか、どのデータが暗号化または追加の制御を必要とするかを文書化し、伝達します。明確なポリシーがなければ、従業員は一貫性のない決定を下し、それが露出を生み出します。

よくある質問

最も重要なGoogle Workspaceのセキュリティ設定は何ですか？

すべてのユーザーに対して2段階認証を強制することが、単一で最も影響の大きいセキュリティ制御です。アカウント乗っ取りはGoogle Workspace環境で最も一般的な深刻なセキュリティインシデントであり、2段階認証は資格情報ベースの攻撃の大部分を防ぎます。

どのアプリがGoogle Workspaceにアクセスできるかを確認するにはどうすればよいですか？

管理コンソールで、「セキュリティ」>「アクセスとデータ制御」>「API制御」>「アプリアクセス制御」に移動します。これにより、組織のデータへのOAuthアクセスを持つすべてのサードパーティアプリが表示されます。個々のユーザーは、myaccount.google.com/permissionsで自分の接続済みアプリを確認することもできます。

Google WorkspaceはHIPAAに準拠できますか？

はい、適切な設定を行えば可能です。GoogleはGoogle Workspaceのお客様向けに事業提携契約（BAA）を提供しており、Gmail、Drive、Calendar、その他のコアサービスをカバーしています。HIPAA要件を満たすには、GoogleとBAAを締結し、適切な制御（暗号化、アクセス制御、監査ログ）を設定する必要があります。

Google Workspaceのデータ暗号化に対するアプローチは何ですか？

Googleは、転送中のデータ（TLS）と保存中のデータ（AES 256ビット）を暗号化します。顧客管理の暗号化キーを必要とする組織向けに、Google WorkspaceはEnterpriseおよびEducation Plusプランでクライアントサイド暗号化（CSE）を提供しています。これにより、Googleのサーバーに到達する前に、お客様が管理するキーでデータを暗号化できます。

Google Driveでの偶発的なデータ漏洩を防ぐにはどうすればよいですか？

主な制御は、管理コンソールで外部共有設定を制限すること、機密データのパターンを検出するためのDLPルールを実装すること、および共有のベストプラクティスについてユーザーを教育することです。機密性の高い組織の場合、「リンクを知っている全員」ではなく特定の人物にリンク共有を設定することを義務付けることで、最も一般的な偶発的な露出経路を排除できます。

TasksBoardはGoogle Workspaceのセキュリティをどのように処理しますか？

TasksBoardはGoogle Tasksのみにアクセスします。Gmail、Google Drive、またはタスク以外のGoogle Workspaceサービスへのアクセスは要求しません。TasksBoardは認証にOAuth 2.0を使用しており、Googleのパスワードを受け取ったり保存したりすることはありません。myaccount.google.com/permissionsにあるGoogleアカウントのセキュリティ設定から、いつでもTasksBoardのアクセスを確認および取り消すことができます。

単なる設定ではなく、セキュリティプログラムを構築する

最も回復力のあるGoogle Workspaceのセキュリティ体制は、一度限りの設定ではありません。それは、定期的なレビュー、継続的なユーザー教育、明確なインシデント対応プロセスを備えた生きたプログラムです。

高優先度の制御から始めましょう。2段階認証を強制し、スーパー管理者アカウントを監査し、外部共有設定を確認し、Gmail認証（SPF/DKIM/DMARC）を設定します。次に、低優先度の制御を体系的に実行します。

セキュリティは、組織のリスクプロファイルに比例している場合に最も効果的です。10人規模のスタートアップ企業と医療機関や金融サービス企業では、ニーズが異なります。このガイドをフレームワークとして使用し、各制御の厳格さを組織にとって実際に何が危機に瀕しているかに合わせて調整してください。

Google Workspaceの機能と能力に関する詳細なガイダンスについては、Google Workspaceチュートリアルを参照してください。