Google Workspace 管理コンソールでのセキュリティ設定完全ガイド

管理コンソールへの安全なログインと「Security」メニューの位置付け

このセクションで扱う内容
- 管理コンソールへ安全にアクセスする方法
- 「Security」メニューがどこに配置されているかの全体像

重要性
最初のログイン手順が正しく行われなければ、以降の設定変更はすべて失敗リスクが高まります。特に MFA が有効化されていない場合や SSO 設定が不完全な場合は、権限の誤付与や情報漏洩につながります。

ログイン手順

1. admin.google.com にアクセスし、管理者アカウント（例：admin@yourdomain.com）でサインインします。
2. 組織で SSO が有効化されている場合は IdP の認証画面が表示されるので、指示に従ってログインしてください。
3. MFA が設定済みなら、Google Authenticator、セキュリティキー、または SMS などの二段階確認を完了します。

参考：Google Workspace Admin Help ―「管理者がサインインするには」[1]

Security メニューの配置（2024 年時点）

• 左側ナビゲーション → Security
• Access and data management
  • Data protection（DLP、Cookie リセット、パスワードポリシー等が集約）

画面上部の検索バーに「Data protection」と入力すれば直接遷移できます。メニュー構造は UI の更新に伴い変わることがありますので、最新情報は管理コンソール内の ヘルプ アイコンから確認してください。

認証基盤の強化：MFA・セキュリティキー・パスワードポリシー

このセクションで扱う内容
- MFA の全社適用手順と効果測定
- ハードウェアベースのセキュリティキー管理方法
- パスワードポリシー設定とユーザーへの再設定依頼フロー

重要性
認証段階での防御が最もコスト効率の高いセキュリティ対策です。Google の 2023 年版 Cloud Security Report によると、MFA を導入した組織は侵害リスクが 約 68 % 減少しています[2]。

MFA の全社強制適用

1. 管理コンソール → Security > Access and data management > Data protection > 2-step verification
2. 「Enforce」スイッチをオンにし、対象の組織単位（OU）または全ユーザーを選択。
3. 設定保存後、対象ユーザーには自動的に MFA 設定が求められます。

ポイント：設定変更は 24 時間以内に全員に反映されるため、導入直後はサポートデスクでの問い合わせが増えることがあります。

セキュリティキー（ハードウェアトークン）の管理

1. ユーザー詳細画面 → Security タブ → 「Security keys」
2. 「Add security key」ボタンをクリックし、USB‑C、NFC、または Bluetooth キーを登録。
3. 不要なキーは「Remove」から削除可能です。

ベストプラクティス：離職者やデバイス廃棄時は必ずキー一覧を確認し、該当ユーザーのキーを即座に削除してください[1]。

パスワードポリシー設定

設定手順は Security > Access and data management > Data protection > Password policy から行えます。変更後、ユーザーにはパスワード更新用のメールが自動送信されます。

パスワード再設定依頼フロー

1. ユーザー一覧画面で対象 OU を選択
2. 「アクション」メニュー → メールで通知 → テンプレート（例：Password reset required）を使用して一斉送信
3. 48 時間以内に変更が完了しない場合はリマインダーを再度送付

このフローは Google Apps Script 等で自動化でき、管理工数の削減につながります。

ログイン Cookie の即時無効化手順と活用シーン

このセクションで扱う内容
- ユーザー単位での Cookie リセット方法
- 具体的な利用ケースと期待効果

重要性
Cookie が流出すると、攻撃者は既存セッションを乗っ取るリスクがあります。管理者が迅速に無効化できれば被害拡大を防止できます。

Cookie リセット手順

1. 管理コンソール → ユーザー > 対象ユーザー選択
2. Security タブ → 「Sign‑in information」セクションの Reset sign‑in cookies ボタンをクリック
3. 確認ダイアログで「リセット」を選択すると、全端末で再サインインが必須になります。

操作は監査ログに自動記録されるため、証跡としても利用可能です[1]。

主な活用シーン

データ損失防止（DLP）ポリシーの作成とテンプレート活用

このセクションで扱う内容
- DLP ポリシー作成ウィザードの概要
- 中小企業向けにすぐ使えるテンプレート例

重要性
機密情報が外部へ流出すると、法的罰則やブランドイメージ低下につながります。Google の DLP 機能は Gmail、Drive、Chat など複数のサービスを横断して検知できるため、組織全体で一貫した情報保護が実現します。

ポリシー作成フロー

1. 管理コンソール → Security > Access and data management > Data protection > DLP
2. 「Create policy」ボタンをクリックし、ウィザードを起動
3. テンプレート（例：個人情報保護、財務データ共有制限）を選択
4. 対象サービス（Gmail、Drive、Chat など）と検知条件（キーワード・正規表現）を設定
5. アクション（警告、メール通知、共有ブロック、削除）を選び、必要に応じて コンテキスト例外 を追加（特定 OU やタグ付与ドキュメントなど）
6. 「Test」モードで影響範囲をシミュレーションし、問題なければ本番適用

注意点：ポリシー変更は最大 24 時間の遅延が発生することがあります。導入後は定期的にレポートを確認し、誤検知や過剰ブロックがないかチェックしてください。

推奨テンプレート例

これらは Google が提供するサンプルテンプレートをベースにカスタマイズすれば、数分で本番運用が可能です。

Security Advisor の活用と推奨設定の一括適用

このセクションで扱う内容
- Security Advisor の有効化手順
- 推奨設定項目を自動で適用する方法

重要性
Security Advisor は AI を活用して組織全体の設定ギャップを検出し、具体的な改善策を提示します。手作業でのチェックリスト管理に比べて、抜け漏れが大幅に減少します。

有効化手順

1. 管理コンソール → Security > Security Advisor
2. 「Enable」トグルをオンにするだけで自動分析が開始されます。初回分析は約 30 分程度で完了し、ダッシュボード上にリスクスコアと推奨項目が表示されます。

推奨設定の一括適用

• ダッシュボードの Recommendations タブから対象項目（例：MFA 強制、危険なサードパーティ アプリのブロック）を選択
• 「Apply now」ボタンをクリックし、確認ダイアログで「Yes, apply」を選ぶだけで全ユーザーに自動適用されます

ベストプラクティス：月に一度は Advisor のレポートをレビューし、新たな推奨項目が出ていないか確認してください。適用履歴は監査ログに記録され、コンプライアンス証跡として活用できます[2]。

OAuth アプリ制御・同意画面カスタマイズと監査レポート

このセクションで扱う内容
- サードパーティアプリのアクセス許可／ブロック手順
- 組織ロゴや利用規約を組み込んだ同意画面の設定方法
- 変更履歴の取得と定期レポート化

重要性
OAuth スコープ単位で権限管理できることは、最小権限の原則（Principle of Least Privilege）を実装する上で不可欠です。また、同意画面のカスタマイズによりユーザーへの透明性が向上し、フィッシングリスクも低減します。

OAuth アプリ許可／ブロック手順

1. 管理コンソール → Security > API controls
2. 「Manage Third‑party App Access」→「Add app」ボタンをクリック
3. アプリ名またはクライアント ID を入力し、Trusted（許可） または Blocked（ブロック） を選択
4. 必要に応じてスコープごとの Restrict access 設定を追加

ポイント：スコープ例 https://www.googleapis.com/auth/calendar.readonly のみ許可すれば、カレンダー閲覧は可能だが書き込みは不可になります。

同意画面のカスタマイズ

1. 同じく API controls から「OAuth consent screen」タブを開く
2. 「Edit」ボタンで組織ロゴ（推奨サイズ 120×120）と 利用規約 URL、プライバシーポリシー URL を入力
3. 保存後はプレビューで表示確認し、全ユーザーに適用されることを確認

監査ログの検索とレポート取得

1. 管理コンソール → Reports > Audit > Admin activity
2. フィルタ条件に「Event name = Security settings change」または「Event name = OAuth app access change」を設定
3. 結果一覧を Export CSV でダウンロードし、スプレッドシートや BI ツールで集計

推奨頻度：月次で監査ログを抽出し、経営層へサマリレポートとして提出。異常な権限付与が見られた場合は即座にブロック手続きを実施してください。

まとめ

• 安全なコンソールアクセス と「Security > Access and data management > Data protection」の位置把握は、以降の全設定作業の土台です。
• MFA の全社強制・ハードウェアセキュリティキー導入 により認証段階での防御が飛躍的に向上します（侵害リスク約 68 % 減少）。
• パスワードポリシー（12文字以上、90日有効期限） を設定し、自動再設定依頼フローを組むことで定期的な更新が保証されます。
• Cookie の即時リセット はデバイス紛失や不審ログイン時の第一防衛策として必須です。
• DLP ポリシーはテンプレート活用で数分で本番導入可能。コンテキスト例外を使い、業務フローへの影響を最小化してください。
• Security Advisor の有効化と推奨設定の一括適用 により、AI が提示する最新ベストプラクティスを漏れなく実装できます。
• OAuth アプリ制御・同意画面カスタマイズ で最小権限付与とユーザー透明性を確保し、監査ログの定期レポート によってコンプライアンスを可視化します。

これらの手順を チェックリスト化 し、組織全体で実行・レビューサイクルに組み込むことで、Google Workspace のセキュリティ水準は大幅に向上し、情報資産の保護につながります。

参考文献

※本稿は 2024 年 6 月時点の情報に基づいています。Google の製品・サービスは随時更新されるため、最新情報は公式ヘルプページをご参照ください。