シリーズ: Google Workspace 活用シリーズ 第4回
前回: 第3回 ファイル共有の事故はなぜ繰り返されるのか——マイドライブと共有ドライブの正しい使い分け
Google Workspace を導入したものの、セキュリティ設定はほとんど手つかず、という会社は、実は珍しくありません。2026年、Google はすべての管理者アカウントに対して2段階認証(2SV)の強制適用を進めています。「通知が来てから考える」では間に合わない可能性もあります。この記事では、IT担当者がいない中小企業の管理者でも今日から一人でできる、最優先のセキュリティ設定5つを順番に解説します。
Google NotebookLMで記事の内容を動画にまとめました。併せてご覧ください。
なぜ「今すぐ」確認する必要があるのか
「うちは小さい会社だから狙われない」——そう思っていませんか。
残念ながら、攻撃者は企業規模を選びません。むしろ情シスがいない中小企業のほうが、設定の穴を突かれやすいというのが現実なんです。私がコンサルティングの現場でよく見るのは、次のおうなケースです。
- 退職した社員のアカウントが数ヶ月間、有効なまま放置されていた
- 「リンクを知っている全員」で共有した見積書が、検索エンジンにインデックスされていた
- 管理者アカウントのパスワードが、全社員が使う共有メモに書いてあった
どれも笑い話ではありません。Google Workspace は強力なツールですが、設定次第では情報漏洩の温床にもなりかねません。
そしていま、背景には「2026年の2SV強制適用」という具体的な期限があります。
Googleはすでに段階的なロールアウトを進めており、管理者アカウントへの2段階認証(2SV)の強制適用が順次拡大しています。
強制適用の通知が届いてから対応を始めると、最大30日でWebアプリへのアクセスが制限されてしまうことになります。
まずは設定を整えておきましょう。
Google Workspace のセキュリティ設定5選
設定1: 管理者アカウントへの2段階認証(2SV)を今すぐ有効にする
なぜ必要か
管理者アカウントは「組織の鍵束」です。ここが奪われると、全ユーザーのパスワードリセット、データの一括削除、外部への転送設定まで、何でもできてしまいます。
Googleは2024年から教育・非営利向け Workspace を皮切りに、管理者への2SV強制適用を段階的に進めています。
強制適用の通知が届くと、15日後にモバイルアプリへのアクセスが停止、30日後にWebアプリへのアクセスも停止というスケジュールで締め切りが訪れます。通知を受け取ってから慌てて設定する余裕はほとんどありません。
何をするか
- 管理者自身のアカウントに2段階認証(2SV)を設定する
- 組織内の他の管理者にも同様に設定させる
- 一般ユーザーへの2SV強制も、あわせて検討する
どうやるか
管理者自身が2SVを有効にする手順:
admin.google.comにログイン- 右上のアカウントアイコン > 「Googleアカウントを管理」
- 「セキュリティ」タブ >「2段階認証プロセス」>「使ってみる」
- スマートフォンへのプッシュ通知(Googleプロンプト)、またはGoogle AuthenticatorなどのTOTPアプリを登録
組織全体のユーザーへ2SVを強制する手順(管理コンソール):
admin.google.comを開く- 左メニュー「セキュリティ」>「認証」>「2段階認証プロセス」
- 「ユーザーが2段階認証プロセスを有効にできる」にチェック
- 強制適用する場合は「強制適用」を選び、適用日を設定
ポイント: 強制適用の前に、猶予期間(例:1〜2週間)を設けて社内に周知しましょう。
いきなり強制すると、ログインできなくなる社員が続出します。
私も一度、猶予なしで適用してしまい、月曜朝に「ログインできない」という苦情の電話が何本もあった経験があります……。
設定2: 管理者アカウントを「専用化」する
なぜ必要か
「管理者権限を持つアカウントで日常業務をしてはいけない」——これはLinuxユーザーの多くはうなずいていただけると思いますが、Google Workspaceに限らず、IT管理の鉄則です。
理由はシンプルです。日常業務で使うアカウントは、フィッシングメールを受け取ったり、不審なサイトにアクセスしたりするリスクが毎日あります。もしそのアカウントに管理者権限がついていれば、アカウントが乗っ取られた瞬間に組織全体が危険にさらされるのです。
車の鍵に例えると分かりやすいでしょう。スペアキーを毎日持ち歩いて、カフェや電車に乗るたびに取り出すでしょうか。普段使いの鍵と、金庫の鍵は別々に管理するはずです。
何をするか
- 日常業務用アカウント(例:
yamada@example.com)と管理者専用アカウント(例:admin-yamada@example.com)を分離する - 管理者アカウントは管理コンソールへのアクセス専用とし、メールやGoogleドライブの業務利用には使わない
どうやるか
費用をかけずできる最低限の対処
管理者専用アカウントを別に作る余裕がない場合は、せめてスーパー管理者権限を持つアカウントで日常のメールや業務をしないことだけ守ってください。フィッシング詐欺でパスワードが盗まれたとき、そのアカウントが管理者権限を持っていると、組織全体が一瞬で乗っ取られます。
余裕があればやること
管理者専用アカウントを1つ別に作り、ライセンスを1つ追加することで、組織全体のリスクを大幅に下げられます。
管理者専用アカウントを作成する手順:
admin.google.com> 「ユーザー」>「新しいユーザーを追加」- 名前に「Admin」などを明示した専用アカウントを作成(例:
gws-admin@example.com) - 「ユーザー詳細」>「管理者の役割と権限」>「スーパー管理者」を付与
- 元のアカウントから管理者権限を外す(ただし、先に新アカウントでログインして動作確認してから)
注意: 管理者アカウントを新規作成したら、必ず設定1の2SVを最初に有効にしてください。
アカウント作成直後から2SV強制の対象になります。
設定3: 外部共有の設定を見直す
なぜ必要か
Google Workspace で最も頻繁に発生する情報漏洩の原因が、「意図しない外部共有」です。
「リンクを知っている全員が閲覧できる」という共有設定は非常に便利ですが、URLが転送されたり、検索エンジンにクロールされたりすれば、誰でも見られる状態になります。見積書、契約書、顧客リスト——こうした機密文書が外部に漏れたとしたら、どうなるでしょうか。
「うちの社員は大丈夫」ではなく、「設定として制限する」ことが重要です。ルールは人ではなく仕組みで守るのが基本なのです。
何をするか
- 組織外への共有を「許可しない」または「承認制」に変更する
- 「リンクを知っている全員」への共有を標準で禁止にする
- 例外的に外部共有が必要な場合の手順を決めておく
どうやるか
外部共有の制限設定手順:
admin.google.com> 左メニュー「アプリ」>「Google Workspace」>「ドライブとドキュメント」- 「共有設定」>「共有オプション」を開く
- 「組織外のユーザーとの共有」の設定を確認・変更する
設定の選択肢は以下の3段階です。
| 設定 | 内容 | 推奨度 |
|---|---|---|
| オフ(共有不可) | 組織外への共有を完全に禁止 | 機密情報が多い企業向け |
| オン(警告あり) | 外部共有時に警告を表示 | 多くの中小企業に適切 |
| オン(制限なし) | 自由に外部共有可能 | セキュリティリスクが高い |
現場の一言: 外部共有を完全に禁止すると「取引先にファイルを送れない」という声が必ず上がります。
その場合は「共有ドライブ単位で外部共有を許可する」という設定が使えます。
全体は禁止しつつ、外部共有が可能な共有ドライブを別途用意しておくわけです。
設定4: 退職者・離職者のアカウントを適切に処理する
なぜ必要か
退職した社員のアカウントが何ヶ月も有効なまま残っているケースは、新規で顧問契約した現場で本当によく見かけます。「後でまとめてやろう」と思っているうちに、忘れてしまうのだと思います。
しかし、放置されたアカウントは深刻なリスクです。元社員が悪意を持ってアクセスするケースだけではありません。そのアカウントへの不正アクセスを攻撃者が試みた場合、誰も気づかないまま数ヶ月間侵入され続ける可能性があります。
何をするか
退職者対応には順番があります。次の順序を必ず守るといいでしょう。
この対応については人事担当の業務のチェックリストに入れておくべきものと考えます。
- サインアウト(強制ログアウト): 即日対応
- アカウントの停止: 即日〜翌日
- データの移管・バックアップ: 停止後、30日以内
- アカウントの削除: データ移管完了後
「停止」と「削除」は別物です。 停止はアカウントを凍結した状態で保持します。削除は完全に消去します。
削除後20日が経過すると、そのメールアドレスは再利用できなくなります(Googleの仕様)。
また、削除前にデータ移管をしないと、メール・ドライブのファイルがすべて失われます。
どうやるか
手順1: 強制サインアウト・アカウント停止
admin.google.com>「ユーザー」> 対象ユーザーをクリック- 「その他の操作」>「すべてのセッションをログアウト」
- 「ユーザーを停止」をクリック
手順2: ドライブデータを別ユーザーに移管
admin.google.com> 「ユーザー」> 対象ユーザーをクリック- 「データを転送」> 転送先のアカウント(後任者や管理者アカウント)を指定
- 「ドライブとドキュメント」にチェックを入れて転送実行
手順3: アカウント削除
データ移管が完了したことを確認してから削除します。
admin.google.com>「ユーザー」> 対象ユーザーをクリック- 「ユーザーを削除」> 確認画面でデータ移管先を再度指定して実行
チェックポイント: 退職者の処理を行う前に、そのアカウントで使われていた外部サービス(Slack、Zoom、各種SaaSなど)のGoogle認証(OAuth)も確認しておく必要があります。Google アカウントを削除すると、Googleで認証していた外部サービスも使えなくなります。業務で必要なサービスがあれば、あらかじめ引き継ぎ設定をしておく必要があります。とても面倒なのですが。。。
設定5: ログイン履歴・監査ログで不審アクセスを確認する
なぜ必要か
「うちのアカウントは安全なはず」——そう思っていても、実際には不審なアクセスが発生していることがあります。管理コンソールには、誰が、いつ、どこからログインしたかを確認できるログが記録されています。
セキュリティインシデントの多くは、「気づいたら被害が大きくなっていた」というパターンです。
定期的にログを確認する習慣をつけるだけで、早期発見・早期対応につながります。
監査ログの保持期間は最大180日(約6ヶ月)です。それ以前のログは自動的に削除されます。
何をするか
- 月に一度、不審なログインがないか確認する
- 国外や見慣れない場所からのアクセスに注意する
- 「不審なログイン」イベントのアラートを設定する
どうやるか
ログイン履歴の確認手順:
admin.google.com> 左メニュー「レポート」>「監査と調査」>「ユーザーログイベント」- 「フィルタを追加」>「イベント名」>「不審なログイン」で絞り込む
- ログイン元IPアドレス・国・デバイス情報を確認する
特定ユーザーのログイン履歴を確認する手順:
admin.google.com>「ユーザー」> 確認したいユーザーをクリック- 「セキュリティ」タブ > 最近のアクティビティを確認
不審なログインのアラートを設定する手順:
admin.google.com> 「レポート」>「アラートセンター」- 「ルールを管理」> 「不審なログインのアラート」を有効化
- 通知先メールアドレスを管理者のアドレスに設定
見るべきポイント: 日本国内のアクセスが中心であれば、突然「US」「ナイジェリア」「ロシア」などのアクセスが現れたら要注意です。また、深夜の時間帯に大量のログインが記録されていた場合も、何らかの異常が発生している可能性があります。
まとめ
この記事でお伝えした5つの設定をまとめます。
- 2段階認証(2SV): 2026年の強制適用を待たず、今すぐ管理者アカウントに設定する
- 管理者アカウントの専用化: 日常業務用と管理用を分ける。鍵の使い分けと同じ考え方
- 外部共有の制限: デフォルトの「リンクを知っている全員」設定を見直す
- 退職者アカウントの処理: 停止→データ移管→削除の順番を守る
- ログの定期確認: 月に一度、監査ログを確認する習慣をつける
Google Workspace のセキュリティ設定は、一度整えてしまえばあとは維持するだけです。まず今日、設定1の2段階認証から始めてみてください。
コメント