Google Workspace のセキュリティ対策を解説！信頼できる？よくある質問にもお答え

コラム更新日：2024.06.25

リモートワークなど、働き方が新しくなっている近年、働き方改革のために Google Workspace の導入を検討されている企業も多いと思います。

しかし、「クラウドサービスはセキュリティ面に不安を感じて一歩が踏み出せない」といったお悩みも多いのではないでしょうか。

本記事では、Google の提供するクラウドツール「Google Workspace」のセキュリティについて Google のセキュリティからグループウェアでのセキュリティ対策まで解説します。安心して Google Workspace を導入できるよう、ぜひ参考にしてみてください。

Google Workspace のセキュリティ対策は業界をリードする存在
Google が誇るセキュリティ対策
Google Workspace の主なセキュリティ対策
Google Workspace のセキュリティに関するよくある質問
第三者機関によるセキュリティの定期監査
Google Workspace のセキュリティに関するご質問はTSクラウドまで
参考サイト

Google Workspace の機能や料金がわかるサービス資料をダウンロードする

Google Workspace のセキュリティ対策は業界をリードする存在

Google Workspace（グーグルワークスペース）は、全世界500万企業で導入されているクラウド型のグループウェアです。個人事業から大企業まで幅広い企業に導入されており、日本では全日本空輸株式会社や株式会社帝国ホテル、富士フイルムホールディングス株式会社など、多くの企業が業務に活用しています。数多くの企業に導入される理由のひとつはセキュリティ対策で、非常に高い評価を得ています。

Google が誇るセキュリティ対策

Google Workspace のセキュリティを知る前に、運営する Google のセキュリティ対策について一緒に見ていきましょう。Google Workspace を運営する Google は、第三者機関によるセキュリティの監査を定期的に受けています。ここでは、徹底したセキュリティを導入している Google の具体的なセキュリティ対策をご紹介します。

対策①Google のセキュリティ文化
対策②堅牢なデータセンター
対策③回復力のあるインフラ
対策④データの暗号化
対策⑤セキュリティチームによる監視

➤対策①Google のセキュリティ文化

Google はセキュリティを最も重要視し、全ての従業員が「セキュリティ第一」で考える文化があります。Google には情報やアプリケーション、ネットワークのセキュリティに関する分野で、世界をリードする専門家を含むセキュリティとプライバシーのエキスパートが従事しています。

万全の保護体制を維持するため、ソフトウェア開発の全プロセスにセキュリティ機能を組み込んでいます。Google Workspace においても、万が一、問題が確認された場合は、Google Workspace のインシデント管理チームが迅速な対処にあたり、分析や修復を踏まえたトータル的な問題解決に努め、ユーザーへの影響を最小限に抑えています。

➤対策②堅牢なデータセンター

Google のデータセンターの設計における中心は「セキュリティとデータの保護」とされ、堅牢な仕組みが特徴です。データセンターにおける具体的なセキュリティ対策は、以下の動画をご覧ください。

➤対策③回復力のあるインフラ

Googleのアプリケーションとネットワークのアーキテクチャは、信頼性と稼働時間の2つを重視して設計されています。Google の各サーバー、各データセンターに分散されたデータは、マシンに障害が発生した場合だけでなく、データセンター全体に障害が発生した場合でも引き続きデータにアクセス可能です。Google はデータセンターを世界各地に所有しているため、24時間、365日継続して利用できます。

Google がインフラストラクチャのセキュリティについて採用しているアプローチは統合的なもので、ハードウェアインフラストラクチャをはじめ、サービスの導入、ユーザー ID、ストレージ、インターネット通信、運用上のセキュリティなど、複数の層にわたって連携して機能しています。詳しくは、インフラストラクチャセキュリティ設計に関するホワイトペーパーをご覧ください。

➤対策④データの暗号化

Googleは、メールの安全な接続方法である Transport Layer Security（TLS）使用において、業界をリードしてきました。Gmail ではデフォルトでTLS接続が有効となっています。これにより、TLS接続の有効なサーバーとのやり取りにおいて、送信と受信の両方のメールトラフィックでメールが暗号化され、第三者による盗聴や改ざんを防止します。

➤対策⑤セキュリティチームによる監視

Google では、セキュリティおよびプライバシー専門家で構成するフルタイムの専任チームを採用しています。情報やアプリケーション、ネットワークセキュリティに関する世界有数の専門家を含んだセキュリティチームは、防衛システムの保守、セキュリティレビュープロセスの開発、セキュリティインフラストラクチャの構築、企業のセキュリティポリシーの実装を担当しています。

また、商⽤ツールやカスタムツール、侵⼊テスト、品質保証（QA）対策、ソフトウェアセキュリティレビューを使⽤して、セキュリティの脅威となる対象を積極的にスキャンします。

Google Workspace の主なセキュリティ対策

Google のセキュリティ対策は、Google Workspace にも反映されています。Google Workspace の主なセキュリティ対策をご紹介します。

①厳格な認証（2段階認証・セキュリティキー）
②不審なログインを監視
③Gmailやチャット、Google ドライブ上のファイルを暗号化
④迷惑メール検出の精度は99.9%
⑤Gmail の添付ファイルをダウンロード前にウイルススキャン

➤①厳格な認証（2段階認証・セキュリティキー）

2段階認証とセキュリティキーを使⽤したアカウントのセキュリティの強化により、組織のアクセス制御の構成ミスや、攻撃者によるアカウントの不正利用のリスクを軽減できます。企業向けの高度な保護機能プログラムでは、登録ユーザーに対して、セキュリティキーの要求や信頼されていないアプリへのアクセスブロック、メールの脅威に対する高度なスキャンなど、厳選された強力なアカウントセキュリティポリシーを適用することができます。

➤②不審なログインを監視

Google Workspace のアラートセンターでは、組織の管理者にドメイン内のアクティビティに関するアラートと実用的なセキュリティ分析情報を提供し、フィッシング、マルウェア、不審なアカウント、不審なデバイスアクティビティといった脅威をアラートします。管理者は、通知をアラートセンターで確認し、ユーザーへの教育や設定の変更などの対応をとることで、セキュリティ上の驚異から組織を保護することができます。

➤③Gmail やチャット、Google ドライブ上のファイルを暗号化

Google Workspace のセキュリティ戦略において、暗号化は重要な要素です。メール、チャット、ビデオ会議、ファイルなどのデータ保護に役立っています。

ディスクまたはバックアップメディアに保存された「静止状態」のデータを暗号化することで、攻撃者や物理的なアクセス権を持つ者がデータを保存しているストレージ機器を入手した場合でも、必要な暗号キーがないためデータを読み取ることはできません。

また、インターネット上やデータセンター間で送受信される、全ての転送中の顧客データも暗号化します。万が一、攻撃者が送信を傍受した際も、相手が取得できるのは暗号化されたデータのみです。

➤④迷惑メール検出の精度は99.9%

Gmail は、Google の機械学習モデルにより、スパムやフィッシング詐欺、マルウェアから受信メールを保護します。他の保護機能と組み合わせることで、Gmail の受診トレイに到達する迷惑メールの99.9%以上をブロックできます。

➤⑤Gmail の添付ファイルをダウンロード前にウイルススキャン

マルウェア添付ファイルは、ユーザーのパソコンに悪意のあるソフトウェアをインストールし、個人情報や ID の盗難、他のパソコンへの攻撃を行います。Google の重要な保護手段のひとつに、添付ファイル用のマルウェアスキャナがあります。有害なコンテンツをブロックするために、毎週3000億を超える添付ファイルを処理しています。

Google Workspace のセキュリティに関するよくある質問

Google Workspace のセキュリティについて、よくある質問をまとめました。

質問①データが消失する危険性はあるか？
質問②データが漏洩するリスクはあるか？
質問③データはどこに保存されているか？
質問④Google にデータを悪用される可能性はあるか？
質問⑤サービスのメンテナンスなどで使えなくなることはあるか？
質問⑥パソコンや USBメモリの紛失による情報漏洩を防止できるか？

➤質問①データが消失する危険性はあるか？

Google Workspace 内で作成されたデータは Google によって何重にもバックアップがとられ、世界各地のデータセンターに分散して保管されています。データ消失の可能性はゼロではありませんが、自然災害や停電による地域的な被害によるデータ消失のリスクはほとんどありません。また、Google の堅牢なデータセンターへ強盗が侵入しデータが盗まれるリスクも低いと言えるでしょう。

➤質問②データが漏洩するリスクはあるか？

データ漏洩には様々な要因があります。Google Workspace ではアカウントの二段階認証や不審なログインのアラート、Gmailの保護機能などといった多様なセキュリティ対策を備えることで、それらの要因によるデータ漏洩のリスクを低減しています。

Enterprise 以上のプランでは更に強固な情報セキュリティ機能の「DLP」を備えています。DLP を使用することで、企業内でのデータの流れを監査するだけでなく、警告やブロックを有効にしてユーザーが機密データを送信できないように設定できます。

➤質問③データはどこに保存されているか？

Google Workspace のデータセンターは世界各地にあり、アジア圏では台湾とシンガポールの2カ所にあります。現在は日本にデータセンターがないため、日本国内にデータを保管しなくてはならない場合は Google Workspace はおすすめできません。ただし、Google は2023年に日本初のデータセンターを開設することを公式発表しているため、将来的には日本国内でデータを保管することが実現するかもしれません。

特定のデータの保管場所を選択したい際は、Google Workspace のデータリージョンを選択することで、アメリカまたはヨーロッパ各地に保管できるだけでなく、世界各地に分散して保管することも可能です。サポート対象のエディションを使用していない場合、ポリシーの対象外となります。

Enterprise データリージョンは、Enterprise Plus に含まれており、Fundamental データリージョンは、Frontline、Business Standard および Plus、Enterprise Standard、Enterprise Essentials に含まれています。

➤質問④Google にデータを悪用される可能性はあるか？

クラウド化を敬遠している企業の中には、Google にデータを悪用される危険性がないか気になる方もいるようです。Google では、個人情報にアクセスできる担当者を、情報の処理のためにその情報を必要とする Google の社員、請負業者または業務委託先、および代理人に限定しており、いずれも、厳格な契約上の守秘義務を負っています。

また、Google によると、ユーザーのデータは Google ではなくユーザーに帰属するものとして、Google が第三者に販売することはありません。Google Workspace においては、広告が表示されない仕様になっており、Google が広告を目的に Google Workspace のサービスからデータを収集したり、利用したりすることも一切ありません。

➤質問⑤サービスのメンテナンスなどで使えなくなることはあるか？

Google Workspace で使用するデータは、Google の各サーバー、各データセンターにバックアップされた状態で分散して保存されています。サーバーやデータセンターに障害が発生した場合でも、世界各地にあるデータセンターの存在により24時間365日継続して利用することが可能です。メンテナンス等でサービスが利用できなくなるということもありません。

➤質問⑥パソコンやUSBメモリの紛失による情報漏洩を防止できるか？

Google Workspace を十分に活用すれば、パソコン本体や USBメモリなどローカルにデータを保存する必要性が低くなります。クラウド上にのみデータを保存していれば、USBメモリでデータを持ち運ぶ必要がないため紛失のリスクが減らせます。万が一、パソコンを紛失しても、Google Workspace では、管理者によってユーザーをログアウトさせたり、企業のデータをデバイスからワイプ（削除）することができます。

第三者機関によるセキュリティの定期監査

Google は、クラウドサービスを提供する上で、セキュリティ、プライバシー、コンプライアンスの管理を維持するため、継続的に第三者機関からの監査を受けています。複数の独立した第三者機関による監査の内容を一部ご紹介します。

➤ISO/IEC 27001

ISO/IEC 27001 とは、情報セキュリティマネンジメントシステム（ISMS）に関する国際規格で、情報の機密性や完全性、可用性の3種類をバランスよくマネンジメントし、情報を有効活用するための組織の枠組みを示すものです。Google では、Google Workspace の運用に必要なシステム、テクノロジー、プロセス、データセンターについて ISO/IEC 27001 の認証を取得しています。

➤ISO/IEC 27017

ISO/IEC 27017 とは、クラウドサービスに関連する情報セキュリティ管理策のガイドライン規格で、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を、クラウドサービスに特化して定めた国際規格です。Google の国際規格への準拠は、Dutch Accreditation Council（国際認定フォーラムのメンバー）により認証された ISO認証機関と、Ernst&Young CertifyPoint によって認定されています。

➤ISO/IEC 27018

ISO/IEC 27018 とは、クラウドサービス事業者がパブリッククラウド上で管理する個人情報の保護に焦点を当てた国際規格です。ISO/IEC 27018 のガイドラインには、「広告宣伝を目的としてお客様のデータを使用しない」「Google Workspace の各種サービスにおけるお客様のデータはお客様に帰属する」「データの削除と書き出しを行うためのツールをお客様に提供する」「第三者による開示要求からお客様の情報を保護する」「お客様のデータの保管場所について透明性を確保する」といった内容が定められています。

➤SOC 2/SOC 3

SOC は Service Organization Controls の頭文字で、サイバー攻撃の検出や分析を行い、対策のアドバイスなどを行う専門組織です。米国公認会計士協会（AICPA）が行う SOC 2 と SOC 3 の各監査フレームワークは、セキュリティ、可用性、処理の整合性、機密性に関するTrustサービスの原則と基準に基づいています。Google は SOC 2 と SOC 3 のレポートを取得しており、SOC 3 のレポートはダウンロードも可能です。

➤FedRAMP

FedRAMP（Federal Risk and Authorization Management Program）は、米国政府が採用するクラウドサービスに関するセキュリティ評価・認証の統一ガイドラインです。Google Workspace のサービスは、FedRAMP の要件に準拠しています。Google Workspace では、個人情報や管理対象非機密情報といった影響レベルが中程度のデータを、米国連邦政府機関が管理する際に利用できるサービスとして承認されています。また、英国政府のセキュリティ原則に従い、機密情報を含む公的な情報を使用する際にも適切であると評価されています。

➤PCI DSS

PCI SSC（Payment Card Industry Security Standards Council）は、サービスプロバイダや加盟店において、会員データを安全に取り扱うことを目的として策定されたセキュリティ基準です。国際カードブランド5社が共同で設立した PCI SSC によって運用されています。

Google Workspace ユーザーについては、データ損失防止（DLP）ポリシーを設定することで、支払いカード情報を含むメールが Google Workspace から送信されないようにすることが可能です。また、ドライブの監査が実行されるように Vault を設定し、カードの持ち主のデータが一切保管されないようにすることもできます。