Google Workspace の最新管理コンソールでパスワードポリシーと MFA を設定する方法

管理コンソールへのアクセスとナビゲーション

Google Workspace の管理画面は、2024 年 10 月に左側メニューがリニューアルされたことから、従来の手順だけでは目的の設定にたどり着きにくくなっています。本セクションでは、最新 UI における 「セキュリティ → 認証・パスワード管理」 へのアクセス方法を簡潔に解説します。

1. 管理者権限が付与されたアカウントで admin.google.com にサインイン
2. 左側メニューの上部に固定表示されている 「セキュリティ」 をクリック
3. 表示されたサブメニューから 「認証・パスワード管理」 を選択

この流れで、パスワードポリシーや多要素認証（MFA）の設定画面へ直接移動できます。最新 UI の詳細は Google の公式リリースノート（Google Workspace Admin Release Notes）をご参照ください。

認証設定：パスワードポリシーと多要素認証 (MFA)

パスワードポリシーの推奨構成

強固なパスワードは、総当たり攻撃や辞書攻撃による侵入リスクを大幅に低減します。以下は実務で即適用できる 最低限の推奨設定 です。

設定手順
1. 管理コンソール → セキュリティ → 認証・パスワード管理 → パスワード ポリシー を開く。
2. 上表の項目を入力し、「保存」 をクリック。

多要素認証（MFA）の全員適用

MFA はパスワードだけでは防げない認証情報漏洩に対する最も効果的な防御策です。Google の調査によれば、MFA を導入した組織の不正ログインは大幅に減少すると報告されています（※公式ドキュメント参照）。

導入フロー
1. 管理コンソール → セキュリティ → 認証・パスワード管理 → 2 段階認証 を選択。
2. 「全ユーザーに 2 段階認証を必須化」のトグルをオンにし、「保存」。
3. 初期は管理者と上位権限ユーザーで有効化し、1 週間程度の試験運用後に全員へ拡大する（Google が推奨する段階的ロールアウト）。

公式手順は Google のヘルプページ（ユーザーのセキュリティ設定を管理する）に詳しく掲載されています。

アプリ別セキュリティ設定

Gmail：送信ドメイン認証 (SPF / DKIM / DMARC)

メール偽装やフィッシングの防止には、送信ドメインを正しく認証することが不可欠です。以下の3点を DNS に設定すると、受信側サーバーがメールの真正性を検証できるようになります。

1. SPF：v=spf1 include:_spf.google.com ~all
2. DKIM：管理コンソール → アプリ > Google Workspace > Gmail > 認証 で自動生成された鍵（2048 ビット）を有効化。
3. DMARC：例 v=DMARC1; p=reject; rua=mailto:dmarc-agg@example.com; ruf=mailto:dmarc-forensic@example.com; pct=100

さらに、管理コンソールの 「セキュリティ > Gmail の保護」 で 「高度な保護」モード を有効にすると、AI が疑わしいメールを自動的に隔離します。

Google ドライブ：外部共有とダウンロード監査

情報漏洩の主因は不要な外部共有です。デフォルトで外部共有を 「オフ」 にし、例外は最小限に絞ることでリスクを抑えられます。

1. 管理コンソール → アプリ > Google Workspace > ドライブとドキュメント > 共有設定。
2. 「外部ユーザーへの共有」を 「オフ」 にし、必要な組織単位ごとに例外を追加。
3. 同画面の 「監査」タブ で 「ファイルのダウンロード」 をオンにすると、ダウンロードイベントが Security Center のログへ送信されます。

公式ガイドは Google Workspace Admin Help（Drive の共有設定）をご確認ください。

データ保護と監視：DLP・Security Center・ログ活用

DLP ポリシーの作成例

DLP は機密情報が外部に流出する前に検知・ブロックします。以下は代表的なテンプレートです。

設定手順
1. 管理コンソール → セキュリティ > データ損失防止 (DLP) を開く。
2. 「ルールの作成」→テンプレート選択またはカスタム正規表現を入力し、対象組織単位とアクションを設定して 「保存」。

Security Center のアラートとレビュー

重要なセキュリティイベントだけに絞ったアラートを設定すれば、インシデント対応のスピードが向上します。推奨する主なアラート項目は次の通りです。

• 不審な MFA 試行（失敗回数 > 5）
• 外部共有された機密ファイルのダウンロード
• 管理者権限の新規付与

設定手順
1. Security Center → アラートセンター → 「カスタム アラートを作成」。
2. 条件と閾値を入力し、通知先（メール・Chat）を指定。
3. ダッシュボードにウィジェットを追加して週次・月次でレビューする。

監査ログの BigQuery 連携

監査ログを BigQuery にエクスポートすれば、SQL クエリでリアルタイム分析が可能です。

1. 管理コンソール → セキュリティ > 監査ログ → 「エクスポート」タブで BigQuery データセット を作成。
2. エクスポート対象に「Admin Activity」「Data Access」を選択し、保存。
3. 以下のような標準クエリを作成し、Data Studio へ可視化すると日別の管理操作やログインイベントが一目で把握できます。

権限・デバイス管理と優先設定 3 つ

最小権限の原則（OAuth スコープ制御）

外部アプリに付与する OAuth スコープを必要最小限に絞ることで、情報漏洩リスクを抑えられます。

1. 管理コンソール → セキュリティ > API コントロール を開く。
2. 「サードパーティ アプリへのアクセス」一覧から不要なアプリを ブロック または 制限 に変更。
3. 必要なアプリについては、OAuth 同意画面でスコープを限定（例：https://www.googleapis.com/auth/drive.readonly のみ）。

デバイス登録・リモートワイプ・IP 制限

紛失や盗難時の不正アクセス防止には、認証済み端末のみが組織リソースに接続できるよう制御します。

1. 管理コンソール → デバイス > モバイル デバイス管理 で「デバイス登録」を有効化。
2. 新規端末は自動的に MDM に登録され、ポリシーが適用される。
3. 紛失時は 「リモートワイプ」 ボタンでデータを消去。
4. IP アドレス制限：Security > ネットワーク で社内ネットワーク（例：203.0.113.0/24）のみ許可する。

今すぐ導入できる優先設定

これらは管理コンソールの「パスワード ポリシー」「2 段階認証」「ドライブ 共有設定」から数クリックで完了します。導入後は Security Center のアラート と 監査ログ を定期的に確認し、設定が期待通り機能しているかをモニタリングしてください。

本記事の手順・設定例はすべて Google が提供する公式ドキュメント（Google Workspace Admin Help）に基づいています。最新情報は随時公式サイトをご確認ください。