Google Workspace のセキュリティ対策は信頼できる?
コラム更新日:2024.08.08
リモートワークなど働き方が多様化している今、グループウェア Google Workspace の導入を検討されている企業も多いと思います。 しかし、「クラウドサービスはセキュリティ面に不安を感じて一歩が踏み出せない」といったお悩みも多いのではないでしょうか。
Google Workspace は、全世界500万企業で導入されているクラウド型のグループウェアであり、セキュリティ対策は業界をリードするほどです。 今回は、Google Workspace のセキュリティについて解説していきます。安心して Google Workspace を導入できるよう、ぜひ参考にしてみてください。
株式会社TSクラウドでは、Google Workspace のサービスや導入するメリット、エディションごとの比較ができる資料をご用意しています。ぜひご活用ください。
⇒ 無料でダウンロードする
Google Workspace のセキュリティ対策は信頼できる!
Google Workspace(グーグルワークスペース)は、全世界500万企業で導入されているクラウド型のグループウェアです。 個人事業から大企業まで幅広い企業に導入されており、 日本では 全日本空輸株式会社 や 株式会社帝国ホテル 、 富士フイルムホールディングス株式会社 など、 多くの企業が業務に活用しています。数多くの企業に導入される理由のひとつはセキュリティ対策で、非常に高い評価を得ています。
Google Workspace の運営元である Google は、常に最新のセキュリティ対策を実施するだけでなく、 第三者機関による監査を定期的に受けており、徹底したセキュリティ対策を導入しています。 Google Workspace は Google の強力なセキュリティ基盤によって保護された安全なクラウドサービスとして利用することができ、信頼性も高いです。
➤Google のセキュリティ文化
Google はセキュリティを最も重要視し、全ての従業員が「セキュリティ第一」で考える文化があります。Google には情報やアプリケーション、ネットワークのセキュリティに関する分野で、世界をリードする専門家を含むセキュリティとプライバシーのエキスパートが従事しています。
万全の保護体制を維持するため、ソフトウェア開発の全プロセスにセキュリティ機能を組み込んでいます。Google Workspace においても、万が一、問題が確認された場合は、Google Workspace のインシデント管理チームが迅速な対処にあたり、分析や修復を踏まえたトータル的な問題解決に努め、ユーザーへの影響を最小限に抑えています。
➤堅牢なセキュリティのデータセンター
Google のデータセンターの設計における中心は「セキュリティとデータの保護」とされ、堅牢な仕組みが特徴です。データセンターにおける具体的なセキュリティ対策は、以下の動画をご覧ください。
➤回復力のあるインフラ
Googleのアプリケーションとネットワークのアーキテクチャは、信頼性と稼働時間の2つを重視して設計されています。Google の各サーバー、各データセンターに分散されたデータは、マシンに障害が発生した場合だけでなく、データセンター全体に障害が発生した場合でも引き続きデータにアクセス可能です。Google はデータセンターを世界各地に所有しているため、24時間、365日継続して利用できます。
Google がインフラストラクチャのセキュリティについて採用しているアプローチは統合的なもので、ハードウェアインフラストラクチャをはじめ、サービスの導入、ユーザー ID、ストレージ、インターネット通信、運用上のセキュリティなど、複数の層にわたって連携して機能しています。詳しくは、インフラストラクチャセキュリティ設計に関するホワイトペーパーをご覧ください。
➤データの暗号化
Googleは、メールの安全な接続方法である Transport Layer Security(TLS)使用において、業界をリードしてきました。Gmail ではデフォルトで TLS接続 が有効となっています。これにより、TLS接続 の有効なサーバーとのやり取りにおいて、送信と受信の両方のメールトラフィックでメールが暗号化され、第三者による盗聴や改ざんを防止します。
➤セキュリティチームによる監視
Google では、セキュリティおよびプライバシー専門家で構成するフルタイムの専任チームを採用しています。情報やアプリケーション、ネットワークセキュリティに関する世界有数の専門家を含んだセキュリティチームは、防衛システムの保守、セキュリティレビュー プロセスの開発、セキュリティインフラストラクチャの構築、企業のセキュリティポリシーの実装を担当しています。
また、商⽤ツールやカスタムツール、侵⼊テスト、品質保証(QA)対策、ソフトウェア セキュリティレビューを使⽤して、セキュリティの脅威となる対象を積極的にスキャンします。
株式会社TSクラウドでは、Google Workspace のサービスや導入するメリット、エディションごとの比較ができる資料をご用意しています。ぜひご活用ください。
⇒ 無料でダウンロードする
第三者機関によるセキュリティの定期監査
Google は、クラウドサービスを提供する上で、セキュリティ、プライバシー、コンプライアンスの管理を維持するため、継続的に第三者機関からの監査を受けています。複数の独立した第三者機関による監査の内容を一部ご紹介します。
➤ISO/IEC 27001
ISO/IEC 27001 とは、情報セキュリティマネンジメントシステム(ISMS)に関する国際規格で、情報の機密性や完全性、可用性の3種類をバランスよくマネンジメントし、情報を有効活用するための組織の枠組みを示すものです。Google では、Google Workspace の運用に必要なシステム、テクノロジー、プロセス、データセンターについて ISO/IEC 27001 の認証を取得しています。
➤ISO/IEC 27017
ISO/IEC 27017 とは、クラウドサービスに関連する情報セキュリティ管理策のガイドライン規格で、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を、クラウドサービスに特化して定めた国際規格です。Google の国際規格への準拠は、Dutch Accreditation Council(国際認定フォーラムのメンバー)により認証された ISO認証機関と、Ernst&Young CertifyPoint によって認定されています。
➤ISO/IEC 27018
ISO/IEC 27018 とは、クラウドサービス事業者がパブリッククラウド上で管理する個人情報の保護に焦点を当てた国際規格です。ISO/IEC 27018 のガイドラインには、「広告宣伝を目的としてお客様のデータを使用しない」「Google Workspace の各種サービスにおけるお客様のデータはお客様に帰属する」「データの削除と書き出しを行うためのツールをお客様に提供する」「第三者による開示要求からお客様の情報を保護する」「お客様のデータの保管場所について透明性を確保する」といった内容が定められています。
➤SOC 2/SOC 3
SOC は Service Organization Controls の頭文字で、サイバー攻撃の検出や分析を行い、対策のアドバイスなどを行う専門組織です。米国公認会計士協会(AICPA)が行う SOC 2 と SOC 3 の各監査フレームワークは、セキュリティ、可用性、処理の整合性、機密性に関するTrustサービスの原則と基準に基づいています。Google は SOC 2 と SOC 3 のレポートを取得しており、SOC 3 のレポートはダウンロードも可能です。
➤FedRAMP
FedRAMP(Federal Risk and Authorization Management Program)は、米国政府が採用するクラウドサービスに関するセキュリティ評価・認証の統一ガイドラインです。Google Workspace のサービスは、FedRAMP の要件に準拠しています。Google Workspace では、個人情報や管理対象非機密情報といった影響レベルが中程度のデータを、米国連邦政府機関が管理する際に利用できるサービスとして承認されています。また、英国政府のセキュリティ原則に従い、機密情報を含む公的な情報を使用する際にも適切であると評価されています。
➤PCI DSS
PCI SSC(Payment Card Industry Security Standards Council)は、サービスプロバイダや加盟店において、会員データを安全に取り扱うことを目的として策定されたセキュリティ基準です。国際カードブランド5社が共同で設立した PCI SSC によって運用されています。
Google Workspace ユーザーについては、データ損失防止(DLP)ポリシーを設定することで、支払いカード情報を含むメールが Google Workspace から送信されないようにすることが可能です。また、ドライブの監査が実行されるように Vault を設定し、カードの持ち主のデータが一切保管されないようにすることもできます。
Google Workspace の主なセキュリティ対策
Google Workspace では、利用状況に応じたセキュリティのカスタマイズも可能です。ここでは、Google Workspace の主なセキュリティ対策をご紹介します。
➤厳格な認証(2段階認証・セキュリティキー)
2段階認証とセキュリティキーを使⽤したアカウントのセキュリティの強化により、組織のアクセス制御の構成ミスや、攻撃者によるアカウントの不正利用のリスクを軽減できます。企業向けの高度な保護機能プログラムでは、登録ユーザーに対して、セキュリティキーの要求や信頼されていないアプリへのアクセスブロック、メールの脅威に対する高度なスキャンなど、厳選された強力なアカウントセキュリティポリシーを適用することができます。
➤不審なログインを監視
Google Workspace のアラートセンターでは、組織の管理者にドメイン内のアクティビティに関するアラートと実用的なセキュリティ分析情報を提供し、フィッシング、マルウェア、不審なアカウント、不審なデバイスアクティビティといった脅威をアラートします。管理者は、通知をアラートセンターで確認し、ユーザーへの教育や設定の変更などの対応をとることで、セキュリティ上の驚異から組織を保護することができます。
➤Gmail やチャット、Google ドライブ上のファイルを暗号化
Google Workspace のセキュリティ戦略において、暗号化は重要な要素です。メール、チャット、ビデオ会議、ファイルなどのデータ保護に役立っています。
ディスクまたはバックアップ メディアに保存された「静止状態」のデータを暗号化することで、攻撃者や物理的なアクセス権を持つ者がデータを保存しているストレージ機器を入手した場合でも、必要な暗号キーがないためデータを読み取ることはできません。
また、インターネット上やデータセンター間で送受信される、全ての転送中の顧客データも暗号化します。万が一、攻撃者が送信を傍受した際も、相手が取得できるのは暗号化されたデータのみです。
➤高度なメールセキュリティで迷惑メール検出の精度は99.9%
Gmail は、Google の機械学習モデルにより、スパムやフィッシング詐欺、マルウェアから受信メールを保護します。他の保護機能と組み合わせることで、Gmail の受信トレイに到達する迷惑メールの99.9%以上をブロックできます。
➤Gmail の添付ファイルをダウンロード前にウイルススキャン
マルウェア添付ファイルは、ユーザーのパソコンに悪意のあるソフトウェアをインストールし、個人情報や ID の盗難、他のパソコンへの攻撃を行います。Google の重要な保護手段のひとつに、添付ファイル用のマルウェアスキャナがあります。有害なコンテンツをブロックするために、毎週3000億を超える添付ファイルを処理しています。
Google Workspace のセキュリティに関するよくある質問
Google Workspace のセキュリティについて、よくある質問をまとめました。
➤データが消失する危険性はあるか?
Google Workspace 内で作成されたデータは Google によって何重にもバックアップがとられ、世界各地のデータセンターに分散して保管されています。データ消失の可能性はゼロではありませんが、自然災害や停電による地域的な被害によるデータ消失のリスクはほとんどありません。また、Google の堅牢なデータセンターへ強盗が侵入しデータが盗まれるリスクも低いと言えるでしょう。
➤データが漏洩するリスクはあるか?
データ漏洩には様々な要因があります。Google Workspace ではアカウントの二段階認証や不審なログインのアラート、Gmailの保護機能などといった多様なセキュリティ対策を備えることで、それらの要因によるデータ漏洩のリスクを低減しています。
Enterprise 以上のプランでは更に強固な情報セキュリティ機能の「DLP」を備えています。DLP を使用することで、企業内でのデータの流れを監査するだけでなく、警告やブロックを有効にしてユーザーが機密データを送信できないように設定できます。
➤データはどこに保存されているか?
Google Workspace のデータセンターは世界各地にあります。
2023年4月13日には、国内初のデータセンターが千葉県印西市に開設されました。
参考:Google Japan Blog 「千葉県印西市にデータセンターを開設」
特定のデータの保管場所を選択したい際は、Google Workspace のデータリージョンを選択することで、アメリカまたはヨーロッパ各地に保管できるだけでなく、世界各地に分散して保管することも可能です。サポート対象のエディションを使用していない場合、ポリシーの対象外となります。
Enterprise データリージョンは、Enterprise Plus に含まれており、Fundamental データリージョンは、Frontline、Business Standard および Plus、Enterprise Standard、Enterprise Essentials に含まれています。
➤Google にデータを悪用される可能性はあるか?
クラウド化を敬遠している企業の中には、Google にデータを悪用される危険性がないか気になる方もいるようです。Google では、個人情報にアクセスできる担当者を、情報の処理のためにその情報を必要とする Google の社員、請負業者または業務委託先、および代理人に限定しており、いずれも、厳格な契約上の守秘義務を負っています。
また、Google によると、ユーザーのデータは Google ではなくユーザーに帰属するものとして、Google が第三者に販売することはありません。Google Workspace においては、広告が表示されない仕様になっており、Google が広告を目的に Google Workspace のサービスからデータを収集したり、利用したりすることも一切ありません。
➤サービスのメンテナンスなどで使えなくなることはあるか?
Google Workspace で使用するデータは、Google の各サーバー、各データセンターにバックアップされた状態で分散して保存されています。サーバーやデータセンターに障害が発生した場合でも、世界各地にあるデータセンターの存在により24時間365日継続して利用することが可能です。メンテナンス等でサービスが利用できなくなるということもありません。
➤パソコンやUSBメモリの紛失による情報漏洩を防止できるか?
Google Workspace を十分に活用すれば、パソコン本体や USBメモリなどローカルにデータを保存する必要性が低くなります。クラウド上にのみデータを保存していれば、USBメモリでデータを持ち運ぶ必要がないため紛失のリスクが減らせます。万が一、パソコンを紛失しても、Google Workspace では、管理者によってユーザーをログアウトさせたり、企業のデータをデバイスからワイプ(削除)することができます。
Google Workspace のセキュリティに関するご質問はTSクラウドまで
今回は、Google Workspace と、運営元の Google のセキュリティ対策についてご紹介しました。 Google Workspace は Google の強力なセキュリティ基盤によって保護されており、安心してご利用できるグループウェアです。 セキュリティ面の信頼性は高く、安全に利用できる Google Workspace ですが、標準機能以外にも管理者がカスタマイズできるセキュリティ項目も備えられています。 自社の利用状況に応じたセキュリティ対策を行えることは、企業にとって大きな利点となるでしょう。
参考サイト
Google Cloud「Google Workspace セキュリティホワイトペーパー」
Google Workspace「Google Workspace で仕事をより安全に」
Google Workspace 管理者 ヘルプ「高度な保護機能プログラムでユーザーを保護する」
Google Workspace 管理者 ヘルプ「データの地理的な保管場所を選択する」
Google データセンター「データセンターの所在地を見る」
Google Workspace 管理者 ヘルプ「安全な TLS 接続でメールを送信する」
Google Workspace 管理者 ヘルプ「データ リージョンの対象となるデータ」
Google ポリシーと規約
まずは無料トライアルから!
Google Workspaceにご興味のある方、
ご連絡ください。
Google Workspaceの質問から導入サポートまで、専門スタッフがご案内いたします
費用を発生させる前に、実際の動作環境を体験しましょう