Google Workspace管理の全体像
Google Workspaceは管理コンソール(admin.google.com)から全体を管理します。Microsoft 365の管理センターに相当する機能ですが、組織単位(OU)という概念でポリシーを階層的に適用する点が特徴です。
中小企業では初期設定のまま運用しているケースが多いですが、セキュリティ設定やアクセス制御を適切に構成しないと、情報漏洩やシャドーITのリスクが放置されたままになります。
組織単位(OU)の設計
組織単位(Organizational Unit)は、ユーザーをグループ化してポリシーを適用する階層構造です。
推奨OU構成例(100名規模)
| OU | 対象 | 主なポリシー |
|---|---|---|
| /経営 | 役員・経営層 | 全機能有効、セキュリティキー必須 |
| /管理部門 | 総務・経理・人事 | Drive外部共有制限、DLP有効 |
| /営業 | 営業・マーケティング | モバイルアクセス有効、外部共有は招待制 |
| /開発 | エンジニア | API利用許可、サードパーティアプリ許可 |
| /現場 | 工場・店舗スタッフ | Gmail + Chatのみ、Drive制限 |
| /外部委託 | 業務委託・派遣 | 最小権限、アーカイブ有効、退職時即無効化 |
💡 OUとグループの使い分け
OUはポリシーの適用単位(どの機能を使えるか)、Googleグループはアクセス権・メーリングリストの管理単位(誰がアクセスできるか)です。OUでセキュリティの枠組みを作り、グループで柔軟にアクセス制御します。
セキュリティ設定
最優先で設定すべき項目
| 設定項目 | 場所 | 推奨値 | 理由 |
|---|---|---|---|
| 2段階認証の強制 | セキュリティ → 2段階認証 | 全組織で「適用」 | アカウント乗っ取り防止の最重要設定 |
| パスワードポリシー | セキュリティ → パスワード管理 | 最小12文字、有効期限なし | NISTガイドライン準拠(定期変更は非推奨) |
| ログインのチャレンジ | セキュリティ → ログインのチャレンジ | 不審なログインに本人確認を要求 | 不正アクセスの自動検知 |
| 安全性の低いアプリ | セキュリティ → API制御 | ブロック | OAuth非対応の旧アプリからのアクセスを禁止 |
| サードパーティアプリ | セキュリティ → APIの制御 → アプリのアクセス制御 | 信頼済みアプリのみ許可 | シャドーITの防止 |
高度なセキュリティ設定
- コンテキストアウェアアクセス:デバイスの状態やIP、地域に基づいてアクセスを制御(Business Plus以上)
- 高度な保護機能プログラム:経営層にセキュリティキーを必須化し、最高レベルの保護を適用
- アラートセンター:不審なログイン、マルウェア検知、DLP違反をリアルタイム通知
- 監査ログ:管理者操作、ユーザーのログイン・ファイルアクセスの記録を確認
外部共有・DLP
Google Drive外部共有の制御
| 設定 | 推奨値 | 説明 |
|---|---|---|
| 外部共有 | 許可リスト内のドメインのみ | 取引先ドメインを許可リストに登録し、それ以外への共有をブロック |
| リンク共有のデフォルト | 「制限付き」 | 「リンクを知っている全員」をデフォルトにしない |
| ファイルの公開設定 | 「ウェブに公開」を無効 | 不特定多数への公開を防止 |
DLP(データ損失防止)
Business Plus / Enterprise以上で利用可能なDLP機能により、機密情報を含むファイルの外部共有を自動ブロックできます。
- マイナンバー検知:12桁の個人番号パターンを自動検知し、外部共有をブロック
- クレジットカード番号検知:16桁のカード番号パターンを検知
- カスタムルール:社内の機密キーワード(「社外秘」「極秘」等)を含むファイルの外部送信を制限
ディレクトリとグループ
- Googleグループ:メーリングリスト+アクセス権管理の両方を兼ねる。部門グループ(all-sales@)、プロジェクトグループ(pj-xxx@)の2軸で設計
- 共有ドライブ:チームで使うファイルは共有ドライブに格納。退職者が出てもファイルが残る
- ディレクトリ設定:社内ユーザー検索の範囲を制御。外部委託ユーザーを検索結果から除外可能
Microsoft 365との共存
M&A後や段階的移行中は、Google WorkspaceとMicrosoft 365が共存するケースがあります。
| 共存パターン | 概要 | 適したケース |
|---|---|---|
| メールの二重配信 | MXレコードは一方に向け、転送ルールで両方のメールボックスに配信 | 移行期間中の暫定対応 |
| カレンダー連携 | Google Calendar Interop for M365で予定表を相互参照 | 長期共存 |
| SSO統合 | Entra IDをIdPとしてGWSにSAML SSO設定 | 認証基盤をM365に統一する場合 |
| ファイル連携 | Google DriveデスクトップアプリでローカルのOfficeファイルを編集 | 両方のファイル形式を使う場合 |
情シス365の支援
BTNコンサルティングの情シス365では、Google Workspaceの管理・運用も対応しています。初期設定の最適化、セキュリティ設定の監査、Microsoft 365との共存設計まで、月額制でサポートします。
まとめ
Google Workspace管理は「OU設計 → 2段階認証の強制 → 外部共有制御 → DLP」の優先順位で整備します。M365と共存する場合はSSO統合(Entra ID → GWS)で認証を一元化し、段階的な統合を進めましょう。