Google Apps ドメインを設定する際の重大なセキュリティ上の間違いトップ3

不適切なユーザーが機密ファイルにアクセスできる場合、一人の不機嫌な従業員やスピアフィッシング攻撃が情報漏洩につながる可能性があります。また、携帯電話の紛失や盗難も、その携帯電話が重要なデータにアクセスできるようになると大変なことになります。Google Appsのドメイン管理は、企業のデータセキュリティのためのきめ細かなコントロールを提供しますが、デフォルトの設定に頼っている管理者が多すぎます。ドメイン設定を改善することで、これら3つのGoogle Appsセキュリティの見落としを防ぐことができます。

組織単位では、Appsへのアクセスを制限したり、モバイルデバイスへのアクセスやGmailのリモートアクセスなどの機能を制限したりできます。まず組織を作成し、次に人を割り当てるのではなく、ユーザーの要件によって作成する組織を決めます：まずマスターリストを作成します。各人の名前、役職、役職に基づいてアクセスする必要があるApp、および各人の権限レベルをリストアップします。

似たような人材をグループにまとめます。マスターリストに基づいて、納得のいく方法で組織を作成します。最も管理しやすい方法によって、部門別または機能別に人を整理します。

サブ組織で微調整デフォルトでは、各サブ組織は親組織の設定を継承します。デフォルト設定をオーバーライドして、個々のアプリをオフにしたり、サブ組織のポリシーをカスタマイズしたりできます。

すべてのユーザーにモバイルパスワードを要求するなど、各組織およびサブ組織のモバイルポリシーを設定するには、［デバイス管理］＞［デバイス管理設定］に進みます。Appsへのアクセスと設定を管理するには、Appsをクリックし、カスタマイズしたいAppを選択します。例えば、Gmailの詳細設定では、自動転送とPOP/IMAPアクセスの両方を無効にして、データが組織外に送信されないようにすることができます。オフラインGmailを有効にする場合は、公共のコンピュータや共有のコンピュータにインストールしないようにユーザーに注意してください。

SSOに他の組織を使用している場合は、プロバイダでMFAを設定する必要があります。外部のプロバイダを利用しない場合は、管理コンソールで [セキュリティ] > [基本設定] をクリックし、[ユーザーが2段階認証をオンにすることを許可する] にチェックを入れることで、SSOを設定できます。

MFA導入のベストプラクティスの1つは、少人数の担当者を試験的な組織単位（サブ組織）に振り分けることです。ハイレベルの管理職をこの試験的組織に入れることで、会社の最も機密性の高いデータを即座に保護することができます。また、全社的にMFAを展開する際にも、経営陣がMFAを支持してくれるようになります。まず、試験的な組織でMFAを許可し、ユーザーにMFAを有効にするよう求め、テスト期間中にMFAを実施します。試験運用後、全社的な導入開始日を設定し、すべてのエンドユーザーにMFAを設定するようトレーニングします。

最後のヒント：実施日にはヘルプデスクへの問い合わせが増えることが予想されます。MFAを設定していないユーザーはアカウントからロックアウトされます。

オフラインのドライブにアクセスすることで、ユーザはリモートで作業を行うことができます。ただし、オンライン・ドライブ・アクセスを持つデバイスの紛失や盗難は、データ漏洩につながる可能性があります。オフラインDriveアクセスの正当な必要性は、各ユーザーの職種によって異なります。リモートアクセスを制限することで、Google Driveのセキュリティを向上させます。

アプリ] > [ドライブ] > [一般設定]で、ドライブへのオフラインアクセスを有効または無効にします。一般的な設定]では、ユーザーがGoogleドライブをダウンロードして端末にインストールできるかどうかも選択できます。同じメニューで、サードパーティのアプリがドライブにアクセスできるかどうかも設定できます。メールマージなどのアドオンを制限することで、Googleドキュメントのセキュリティを向上させることができます。

Google Appsのドメインを設定する際は、デフォルトの設定だけでは不十分です。MFAを有効にし、組織構造ツールを活用し、ドライブ設定をカスタマイズすることで、高額で恥ずかしいデータ漏洩を防ぐことができます。