丹羽 国彦(Yoshidumi)
Google Workspace Authorized Trainner |吉積情報
当Yoshidumi(吉積情報)の Google Workspace の最高技術責任者・業務変革のスペシャリスト。国内でも僅かなGoogle から正式に認定を受ける国内有数の Google Workspace に特化した Authorized Trainner として大規模な企業への導入や他パートナーへの支援を行っている。
西原 亮(cooker8 G神)
Youtuber|明治クッカー 代表
慶應義塾大学卒業後、コンサルティング会社へ務めるも、父の家業であった牛乳屋さんを引き継いで現職は株式会社明治クッカーの2代目社長。
GoogleWorkspaceをメインに、前職のコンサルティング会社の知見を元に明日から使えるビジネスの情報を伝えるYoutubeチャンネル cooker 8(クッカーエイト)を運営する「G神」。
https://www.youtube.com/c/cooker8/featured
西原(cooker8)
今回は Google Workspace のスペシャリスト丹羽さんにお越しいただきまして、 Google Workspace のセキュリティ、この辺りをちゃんと論じていきたいなと思います。
私の動画では、セキュリティ周りとか管理コンソールという高度な知識をあまり動画にしてこなかったんですね。
でも実際企業の方にお伺いすると、「クラウドってちょっと怖いよね」っていう風に言われる方、結構多いんですよ。
「もう自社の中から出したくない、外に出たらセキュリティ上どうなんだ、本当にセキュリティ大丈夫なのか」って方も多いと思うので、そこら辺をまず聞いていきたいなと思います。
まず、そもそもクラウドに業務ファイルをアップロードしてセキュリティとして大丈夫なのっていう声ってやはり結構ありますか?
丹羽(Yoshidumi)
数年前までの以前であれば、パブリックなSaaSクラウドのセキュリティそのものを不安視する声も多かったのですが、アフターコロナ以後ですと、いわゆるクラウドそもそものセキュリティリスクっていうものをとても懸念する企業さんは本当に少なくはなくなりました。
もちろん、機密ファイルが漏洩したら、などクラウドは公開・拡散性が高いので、それは今でも大変重要かつセンシティブなトピックではあるのですが、今はかなりそうした人為的ミスを発見したり、抑止する機能が充実してきているのですね。
クラウドのデータ漏洩防止の機能はこの数年間でAI判定や通知なども入ってきて、ハイテク化もしてきたのでだから、プランをちゃんと選び、適切な機能さえつければ、かなり安心になってきたというのもあります。
「当社ではどうやって運用して守ればいいんだろうね」という積極的な相談のお問い合わせ頂くものの、クラウド=危ない、という反応は本当に減りました。
クラウドが一般化しましたし、今のハイブリッドワークではそこをしっかりと利用していく上で覚悟せざるを得ないんだと思います。
西原(cooker8)
コロナ内の影響もとても加速してクラウド化を後押ししたということかもしれないですよね。
丹羽(Yoshidumi)
セキュリティにもいくつかの観点があって、1つは、外敵からの脅威ですね。これはもう有無を言わさず、やっぱり各 Google なのか、 Microsoft なのか、それぞれのSaaSベンダーが威信をかけてちゃんとセキュリティを守るということをしているわけで、ここはもう誰がどのプラン買っていただいても、非常に強いものを持っています。
むしろ普通の企業であれば、まず同じセキュリティを構築できないレベルですよね。ただ問題は人ですよね。
社内の人が情報を社外に漏らしてしまうっていうのはやはりどうしても懸念はされます。そこにも2パターンあって、いわゆるその人のセキュリティ意識の足らなさであったり、操作ミスという故意ではないミス・過失で発生するものが1つ。あともう1つは「悪意・意図をもってしっかりと機密情報を外に出す(故意の漏洩)」がありますよね。
我々が一番話し合うのは、この後者の「悪意・意図的な漏洩」っていうのをどれぐらいの割合で起こるものとして評価するかっていうことがあります。
例えば10人の企業さんとかだと、やっぱり各自顔を見える範囲であり、社内へのエンゲージが高いことが多くて、基本的に悪意を持った人間がいるっていうことを前提にしても、ということがあります。
私有のスマートフォンをすべて使えなくして、外部も共有できないみたいなことをするってそれも正解じゃないと思うんですね。
それに、中小規模であれば、こんなこというと社長様には怒られるかもしれませんがであれば、1、2件ぐらい内部資料を間違って外で漏洩してもよほどの情報でなければ、その影響度っていうのは限定的だとは思うんですね。
いわゆる1万人とか10万人の大企業さんが個人情報漏洩したっていうと社会的制裁がちょっと違うので、まず中小〜中堅規模はトレードオフとしては利便性側に傾けた方がいい場合は多いですよね。
逆に数万人の大企業さんとかだと、やっぱりエンゲージがやや少ないアルバイトの方や短期就業者さんが関わってくるので、当然意図しない漏洩はリスクとして考慮しなければいけないですよね。
どうしても共有関係のセキュリティは、機能制限をして利便性は落とすっていう形にならざるを得ないので、そのグラデーションをいかに我々が評価して、いかに作っていくかですね。
西原(cooker8)
Google Workspace 上のセキュリティを設定・計画する上で、管理コンソールの設定って難しそうっていうイメージがやっぱりあります。その操作性って実際どうなんですかね。
丹羽(Yoshidumi)
Google の場合は、GUIは非常にわかりやすいと思うんですが、年々管理の項目がすごい増えちゃってるっていうところがあって、、、、
西原(cooker8)
やっぱりそこら辺は専門家に頼んだ方が良いよねっていう話なんですね。
丹羽(Yoshidumi)
ええ、そう思います。自分でやっぱり勉強するっていうのは一個人としてはなかなか難しいんじゃないかなと思いますね。私達でも日々新機能は学んでいるわけですし。
全部理解する必要はないと思うんですが、そもそも管理コンソールで一体何ができるのかっていうのは、ただしく理解することを手伝ってくれるような方に支援してもらった方がいいと思いますね。
西原(cooker8)
ちょっと気になったのが、セキュリティを万全にしたい、といったとき、どういう観点でプランとかサービスを選んだ方がいいのでしょう?
丹羽(Yoshidumi)
セキュリティを充実させ、より便利・安全に運用できる範囲を増やすという意味で、小規模な企業さんでも実は、 Enterprise エディションを買っていただくのはお勧めですね。むしろ小規模な方たちほどコストメリットが高いと思うんです。
1人あたり1,000円ちょっとプラスで払えば、Google さらに上位のハイテクなセキュリティが手に入ります。
例えば、メールはどんなパソコンでも可能だけど、ドライブのファイルアクセスに関しては特定のパソコン(会社パソコンもしくは承認された自宅パソコンなど)からしかアクセスできない、みたいなこともできますし、スマートフォンの制限も効かせられます。
また、ドライブでもある特定条件(文字列やラベル)に適用する機密ファイルは、外部メンバーを振り落とすことができるとかそういう安全な機能が沢山あります。
西原(cooker8)
それ、すごいですね!
丹羽(Yoshidumi)
はい、だから私は、大規模な企業様だけでなく、5IDとか10IDとかのお客様にも最初は Enterprise っていうのを検討いただくってことをしていますね。
(※Enterprise エディションは契約アカウント数の制限の下限はありません)
西原(cooker8)
なるほど。よく Google Workspace のメニュー見ると、 Enterprise はお問い合わせくださいみたいな、ちょっと釣れない感じになってるんですよね。中小レベルでも、使うこともあるんですね。
丹羽(Yoshidumi)
さすがにBusiness Starter は個人的には容量も少なく、セキュリティも最低限で正直おすすめしませんが、共有ドライブを使える Business Standard からが検討でしょうか。ただEnterprise エディションで何ができるのかを知っていただくと選ばれる小規模企業様も少なくないです。
ただ、導入時に高度なセキュリティ機能がすべての企業さんにいるかっていうと、そんなことはないと思うので、そこがケース・バイ・ケースになりそうですね。
西原(cooker8)
例えばスプレッドシートで、何千件のお客さんの個人情報を使うとか、そういうお客さん情報とか会員情報とかそういうのを持っちゃってる会社さんとかはある程度セキュリティが高い方が良いですよね。
丹羽(Yoshidumi)
そうですね。例えばドライブの「リンクを知ってる人全員」っていう共有先が Google アカウントがなくても共有できる便利な共有機能があります。
ただこれ、実際にはほとんど制限している企業さんが多くて、特に機動力がものをいう中小企業さんには顧客が Google アカウントじゃないことが多いので、ぜひ使ってほしいと思うんですね。
この時、例えば Enterprise の一番最上位のプラン(Plus)だと、露見しているそのリンクを知っている全員の中でアクセスが高い順から表示してくれるんですよね。
細かいログとか見なくてもアクセスが集中してきているのが一覧ですぐ確認できて、危ないファイルであれば、管理者がすぐ共有を停止にできるんです。
だから実は、たった数百円を足すだけで10IDとか20IDの人もその機能を使えるとするとセキュリティっていうのは、ある程度 Enterprise の一番いいプランとかを選んでいただければ本当に十分なセキュリティを行えるんじゃないかなと。ただし、やや理解をいただくには自分だけでは難しいかもしれません(汗)
西原(cooker8)
マイクロソフト(Microsoft 365)など と比べるとセキュリティの良し悪しってあるんですか。
丹羽(Yoshidumi)
それで言うと、セキュリティっていうところで Microsoft365 が安全か Google が安全かっていう評価は殆ど無意味だと思っていますし、みんな安全だと思います。
クラウドのセキュリティが危ないって言ってる前にパソコンの方が危ないと思ってるんですよね。普通にダウンロードしてるファイルはどこにでも送れる訳なので(拡散性こそクラウドが高いものの)今が安全でクラウドが危険ということではないのかなと。
西原(cooker8)
僕も Google Workspace を使っていて、「あっ」て思ったのがメールで外部から送られてくると黄色く表示されたりとか深化していますよね。ベースのセキュリティも結構上がってきてますよね。そういう意味では結構安心ですよね。