Google Workspace のセキュリティは本当に安全？検討すべきセキュリティ対策とは？

近年多くの企業で、リモートワークやハイブリッドワークの導入が進んでおり、Google Workspace の導入を検討されている企業の担当者様も多いと思います。

Google Workspace は、企業や組織で利用するグループウェアとして様々な機能が揃っているGoogle 社が提供するコラボレーションツールですが、クラウドサービスであるという点から、セキュリティ面に不安を感じる方もいらっしゃるのではないでしょうか。

本記事では、多くの企業に選ばれているGoogle Workspace のセキュリティ対策について、特徴を解説するとともに、Google Workspace を導入する際に検討しておくべきセキュリティ対策をご紹介します。

Google Workspace は安全なのか？

答えはYESです。Google Workspace は 、最新鋭のセキュリティ基盤・オペレーションセキュリティ・常に最新に更新されセキュリティ技術を用いたクラウドサービスであり、Google 社が利用するインフラストラクチャ上で運用されているため、Google のセキュリティ基盤の利点をそのまま享受することができます。すなわち、Google 社と同じセキュリティ環境のクラウドサービスであるということです。
以下では、セキュリティのポイントとなる項目をまとめています。

セキュリティとプライバシーを重視する Google の文化

Google では、すべての従業員がセキュリティとプライバシーを重要視している企業文化があります。
雇用プロセス、新入社員研修、継続研修などでもその文化の影響は見られ、リファレンスチェックなどを通し、徹底してその人物が信頼できるか確認してからでないと採用はされないそうです。
また、セキュリティとプライバシーに関する意識を高めるための全社規模のイベントもあり、継続的に最新のセキュリティ対策を学べる環境があります。

専任のセキュリティ チーム

Google には、情報セキュリティ、アプリケーション セキュリティ、暗号、ネットワーク セキュリティの分野における世界有数の専門家が在籍しています。
彼ら専門エンジニアチームは、アーキテクチャ分析、コードチェックを実施しセキュリティ上の脆弱性を日々改善しています。問題が発見された場合は専門のインシデント管理チームが迅速に対応・分析・修正を実施します。

インフラストラクチャのセキュリティ設計

Google は「チップから冷却装置まで」カスタム設計しており、自社でカスタマイズしたハードウェアに、セキュリティとパフォーマンスが最適化されたオペレーティングシステムとファイルシステムを搭載しています。
Google は自社でインフラを構築することで脅威や脆弱性のリスクにも即座に対応できるようにしています。
Google のネットワークは、独自のファイバーケーブル・海底ケーブルを利用して複数のデータセンターを繋いだグローバルインフラストラクチャであるため、高可用性・低レイテンシのサービスを提供することができます。

データの暗号化処理

Google Workspace のユーザーのデータは、ディスク上で暗号化されるだけでなく、バックアップ メディアへの保存時のほか、インターネット上やデータセンター間での移動時にも暗号化されます。すなわち、データが移動するすべての段階で暗号化されるため、ユーザーのデータが傍受される可能性が極めて低くなるということです。

物理的攻撃にも強い

Google Workspace のクラウドサーバは、安全な場所で物理的に何重にも保護され、24時間監視され、管理されています。
データセンターの外周はフェンスで囲まれ、金属探知機により外部の侵入を許しません。例え施設内に侵入したとしても、生体認証やレーザーによる侵入検出により、許可を得た人間しか入退することはできません。
これらの対策により、Google の社員であってもデータセンターに入れるのは1％に満たないといわれるほど、強固にサーバーが守られているのです。

第三者機関による定期的な監査

Google はセキュリティ、プライバシー、コンプライアンス管理を維持するために、継続的に第三者機関からの監査を受けています。どのような認証を受けているのか、その一部を紹介します。

ISO 27001

 ISO 27001は、情報セキュリティマネジメントシステムに関する国際規格です。Google Workspace  の運用に必要な基準（システム、テクノロジー、プロセス、データセンター）は全て ISO 27001 認証を受けています。

ISO 27017

 ISO 27017は、クラウドサービスプロバイダが、より安全なクラウド環境を構築し、セキュリティ問題のリスクを軽減するための国際規格です。

ISO 27018

 ISO 27018は、「ユーザーのデータを広告目的で使用しないこと」「サービス内のデータの所有者がお客様であること」「データの削除と書き出しを行える ツールを提供すること」「第三者から開示要請があった場合に情報を保護すること」「お客様のデータの 保管場所について透明性を確保すること」を保証するための国際規格です。

ISO 27701 

ISO 27701は、ISMS（情報セキュリティマネジメントシステム）の規格であるISO27001に付け加える「アドオン規格」として位置付けられています。個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項と、ガイドラインが規定されています。

Googleにデータを奪われたり、盗み見られることはないのか？

Google といえば検索エンジンや広告が有名ですね。ターゲティング広告やCookieという言葉をご存じの方は、「Google Workspace を通じて、個人情報や企業のデータが奪われたり、盗み見られたりすることがあるのではないか」と心配に感じることもあるかもしれません。

Google は透明性を重視しています。透明性を通じてお客様と信頼関係を築き、それを維持するために真摯に取り組んでいます。お客様のデータは、Google ではなくお客様に帰属します。Google がお客様のデータを第三者に販売することはありません。また、Google Workspace に広告が表示されることはなく、Google が広告を目的に Google Workspace のサービスのデータを収集、利用することも一切ありません。
引用：https://workspace.google.co.jp/intl/ja/security/?secure-by-design_activeEl=data-centers
透明性　の項

上記のように明言されており、ビジネス版のGoogle Workspace では広告も表示されることもないため、ユーザーのデータが収集されることはありません。
また、無料版の Gmail でも下記のように明記されているため、メールの内容などが Google に盗み見られているということはありません。

Google が広告目的で Gmail のコンテンツを使用することはありません。
引用：https://www.google.com/intl/ja/gmail/about/

Google Workspace をより安全にするカスタム設定

Google Workspace は、世界でも最高水準の高いセキュリティ性を誇るグループウェアであるということを説明してきました。
デフォルトで多くのセキュリティ機能が備わっていますが、管理者は要件に応じてよりセキュリティの高い状態にするために、カスタム設定を行うことができます。
管理者は、認証・データ保護・運用管理を全て Google が提供する専用の管理コンソール※上で行うことができます。

※契約によって利用できる機能に制限があるため、企業のニーズに合ったエディションを選択する必要があります。詳しくは、こちらの記事をご覧ください。

2段階認証の強制

Google Workspace 管理者は２段階認証をユーザに強制することができます。これにより、未承認のアクセスを事前に防ぐことができます。

不審なアクセスの検出

Googleではアカウント内の設定変更等のアクションを常時監視しており、不審なログインを即座に検知することができます。不審アクセスが検知されると通知が届くため、管理者はアカウント保護に対する対応を即座に行うことができます。

シングルサインオンとの連携

Google Workspace はシングル サインオン（SSO）がサポートされているため、 他の企業向けアプリケー ションへのアクセスを統合することが可能です。さらに Identity and Access Management （IAM ） を利用することで、管理者はユーザーの認証情報や Google アプリケーションへのアクセスを一元管理することができます。

メールの署名・暗号化の強制

Google Workspace 管理者は、カスタムルールを設定することで、Secure/ Multipurpose Internet Mail Extensions （S/MIME）を利用したメール署名・暗号化をユーザに強制することができます。

データ損失防止（DLP）ポリシーの設定※

Google Workspace 管理者は、データ損失防止（DLP）ポリシーを設定することで Gmail 、Google ドライブ内の機密情報を保護することができます。例えば、Gmail の送信メールに含まれる機密情報をチェックしデータ漏洩を未然に防いだり、ドライブ上のコンテンツに機密情報が含まれるか否かを光学式文字認識（OCR）でチェックしたりすることができます。機密情報を社外共有できないように警告を出すことも可能です。

※ データ損失防止（DLP）ポリシーを利用するためには Google Workspace Enterprise の契約が必要です。

Google Workspace をもっとセキュアにする「CMOSY」

上記で説明してきたGoogle Workspace のセキュリティですが、運用の際に不完全なことが3つあります。

1つめは、「Google Workspace のアカウントを持っていない人に対してファイルやデータを共有する際に起こりうるデータ漏洩のリスク」
2つめは、「Google Workspace ユーザーがファイルなどをダウンロードした際に起こりうるデータ漏洩リスク」
3つめは、「増え続ける共有ドライブを管理コンソールだけで管理するのは難しいということ」

どのクラウドサービスを使っていても起こりうるセキュリティリスクですが、上記の3つの課題を解決する Google Workspace 拡張機能があります。

それは、弊社吉積情報株式会社が開発した CMOSY（クモシィ）です。
CMOSY（クモシィ）には、社内外にファイルを転送することが可能な「ファイル便」、Google アカウントを保持していなくてもファイル共有が可能な「共有便」、共有ドライブの利用状況（共有者一覧、ファイル数、最終更新日、共有先に社外の人間が含まれているか否か、など）を可視化する機能があります。

CMOSYを併用して使うことで、ファイルをダウンロードせずにクラウド上でデータの受け渡しが可能になり、よりセキュリティの高い Google Workspace の運用が可能になります。

まとめ

Google Workspace は、世界でも最高水準の高いセキュリティ性を誇るグループウェアといえます。
導入検討の際には、貴社のセキュリティポリシーに技術的な仕様やサービスの運用体制がマッチしているかを慎重に検討する必要もあります。

また、よりセキュリティを重視したい企業にはおすすめの「CMOSY（クモシィ）」というサービスを併せて紹介しました。

吉積情報株式会社は Google Workspace の代理店として、これまで数多くのお客様に Google Workspace を提供してきました。導入エンジニアはもちろん、セールス、サポートスタッフに至るまで、全員がGoogleの認定資格を有した高い対応品質です。

Google Workspace のセキュリティ面で不安のある企業様や、これからGoogle Workspace を導入したいと思っている企業様、またCMOSY（クモシィ）のお問い合わせも下記から受け賜っています。

無料相談はこちらから