Google Workspaceの管理
Google Workspaceとは
Google Workspace(旧G Suite)は、Googleが提供するクラウドベースの統合生産性プラットフォームです。Gmail、Google Drive、Google Docs、Google Sheets、Google Slides、Google Meet、Google Calendar、Google Chatなどのサービスで構成されています。
Microsoft 365と並ぶ主要なクラウドグループウェアとして、特にスタートアップやIT企業での採用が多く見られます。ひとり情シスとしては、自社がどちらを採用しているか(あるいは両方を使っているか)に関わらず、両方の基本的な管理知識を持っておくことが重要です。
エディション比較
| エディション | 主な特徴 | ストレージ | 月額目安(税抜/ユーザー) |
|---|---|---|---|
| Business Starter | 基本機能、カスタムメール、セキュリティ | 30GB/ユーザー | 約680円 |
| Business Standard | Starter+録画付きMeet(150人)、共有ドライブ | 2TB/ユーザー | 約1,360円 |
| Business Plus | Standard+Vault、高度なエンドポイント管理 | 5TB/ユーザー | 約2,040円 |
| Enterprise | Plus+DLP、S/MIME、高度なコンプライアンス | 無制限(5TB/ユーザー〜) | 要問合せ |
ポイント:中小企業にはBusiness Standardが最もバランスが良いエディションです。2TBのストレージと共有ドライブが使えるため、ほとんどの業務をカバーできます。Vaultによるデータ保持が必要な場合はBusiness Plusを検討しましょう。Business系エディションは300ユーザーまでの制限があり、それ以上はEnterprise系が必要です。
管理コンソール
Google Workspaceの管理は管理コンソール(https://admin.google.com)で行います。
管理コンソールの主な機能:
| カテゴリ | 機能 |
|---|---|
| ユーザー管理 | ユーザーの追加・削除、パスワードリセット、ライセンス割り当て |
| デバイス管理 | モバイルデバイス管理、Chrome OS管理、エンドポイント検証 |
| アプリ設定 | 各Googleサービスの有効化/無効化、設定変更 |
| セキュリティ | 2段階認証、SSO設定、パスワードポリシー、セキュリティセンター |
| ルールと監査 | アラートセンター、監査ログ、レポート |
| ドメイン管理 | ドメインの追加、DNS設定確認 |
組織部門(OU)構造
Google Workspaceの組織部門(OU:Organizational Unit)は、ユーザーとデバイスをグループ化して異なるポリシーを適用するための階層構造です。Active DirectoryのOUに似た概念です。
OU設計のポイント:
- 組織の部門構造に合わせたOU階層を作成(例:本社 → 営業部、管理部、開発部)
- 子OUは親OUの設定を継承(個別にオーバーライド可能)
- サービスの有効化/無効化をOUレベルで制御(例:開発部のみGoogle Cloud Platformを有効化)
- OU間のユーザー移動は管理コンソールから簡単に実行可能
📋 具体例
OU設計の実例:
会社名(ルート) ├── 経営層 → 全サービス有効、2段階認証必須 ├── 営業部 → Gmail、Drive、Calendar、Meet有効 ├── 管理部 │ ├── 経理課 → Sheets重視、外部共有制限 │ └── 総務課 → 標準設定 ├── 開発部 → 全サービス+GCP有効 └── アルバイト → Gmail、Calendarのみ、Drive制限
このように部門や雇用形態ごとにOUを作成し、利用可能なサービスや共有範囲を細かく制御できます。
Gmail管理設定
Gmailの管理設定は、組織のメールコミュニケーションのセキュリティと効率性に直結します。
主なGmail管理設定項目
- メールルーティング:受信メールの転送先、デュアルデリバリーの設定
- コンプライアンス:添付ファイルのコンプライアンス、コンテンツコンプライアンス
- スパムフィルター:許可リスト/ブロックリスト、内部送信者のスパムフィルターバイパス
- SPF/DKIM/DMARC設定:メール認証の設定(管理コンソール+DNSレコード)
- メール保持期間:Vault(Business Plus以上)でのメール保持設定
- メール委任:他のユーザーのメールを代理で送受信する設定
⚠️ 注意
Google WorkspaceでもSPF、DKIM、DMARCの設定は必須です。SPFはDNSレコードにv=spf1 include:_spf.google.com ~allを設定し、DKIMは管理コンソール(アプリ → Google Workspace → Gmail → メールの認証)から生成した公開鍵をDNSに登録します。DMARCも設定して、なりすましメールの送信を防止しましょう。
Google Drive共有設定
Google Driveの共有設定は、データのセキュリティに直結する重要な管理項目です。
| 共有設定レベル | 説明 |
|---|---|
| 組織内の全員 | リンクを知っている組織内のユーザーがアクセス可能 |
| 特定のユーザー | 指定したユーザーのみアクセス可能 |
| 組織外のユーザー | 外部ユーザーにも共有可能(管理者設定で制御) |
管理コンソールでの共有制御(アプリ → Google Workspace → ドライブとドキュメント → 共有設定):
- 外部共有のオン/オフ:組織外のユーザーとの共有を許可/禁止
- 共有の許可リスト:特定のドメインとのみ外部共有を許可
- 共有ドライブの作成権限:共有ドライブを作成できるユーザーを制限
- ファイルのダウンロード・印刷・コピーの制限:閲覧者のダウンロードを禁止可能
ひとり情シスの視点:外部共有は業務上必要な場面が多いですが、野放しにするとデータ漏洩リスクが高まります。推奨は「許可リストに登録したドメインへの外部共有のみ許可」とし、主要取引先のドメインを登録する運用です。共有ドライブの作成は管理者またはマネージャーに限定し、乱立を防ぎましょう。
セキュリティ設定
Google Workspaceのセキュリティ設定は、管理コンソールのセキュリティセクションで一元管理します。
主要なセキュリティ設定
- パスワードポリシー:最小文字数(8文字以上推奨)、パスワード強度の設定
- ログインチャレンジ:不審なログインに対する追加認証
- セッション管理:Webセッションの有効期間設定
- アプリのアクセス制御:サードパーティアプリのOAuth認可を制御
- APIアクセス制御:API経由のデータアクセスを管理
2段階認証の強制
Google Workspaceでは、管理コンソールから組織全体またはOU単位で2段階認証(2SV: 2-Step Verification)を強制できます。
2段階認証の展開ステップ:
- 準備期間:2段階認証の「許可」を有効にし、ユーザーに自主的な登録を案内
- 新規ユーザー登録猶予期間の設定:新規ユーザーに1週間の設定猶予を付与
- 強制適用:指定日以降、2段階認証未設定のユーザーはログイン不可に
- 許可する方法の制限:セキュリティキーのみ許可、SMS認証を禁止等
ポイント:Google Workspaceの2段階認証では、高度な保護機能プログラムを管理者やセキュリティキーを必要とするユーザーに適用できます。これにより、フィッシング耐性のあるセキュリティキーのみが認証方法として許可され、最高レベルのアカウント保護が実現します。少なくとも管理者アカウントにはセキュリティキーを必須にしましょう。
セキュリティセンターとアラート
Enterprise版ではセキュリティセンターが利用可能で、組織のセキュリティ状態のダッシュボード表示、脅威の分析、推奨アクションの提示が行われます。Business Plus以上ではアラートセンターが利用可能で、以下のようなセキュリティイベントの通知を受け取れます。
- 不審なログインアクティビティ
- マルウェアが検出されたメール
- ユーザーによる大量データのダウンロード
- DLPルール違反
- モバイルデバイスの不正な操作
✅ 完了済み