Google Workspaceのセキュリティ対策。具体的な対策事例やよくある質問
コラム更新日:2022.11.16
Google Workspaceのセキュリティ対策は業界をリードする存在
Google Workspace(グーグルワークスペース)は、全世界500万企業で導入されているクラウド型のグループウェアです。個人事業から大企業まで幅広い企業に導入されており、日本では全日本空輸株式会社や株式会社帝国ホテル、富士フイルムホールディングス株式会社など、多くの企業が業務に活用しています。数多くの企業に導入される理由のひとつはセキュリティ対策で、非常に高い評価を得ています。
Googleが誇るセキュリティ対策
Google Workspaceのセキュリティを知る前に、運営するGoogleのセキュリティ対策について一緒に見ていきましょう。Google Workspaceを運営するGoogleは、第三者機関によるセキュリティの監査を定期的に受けています。ここでは、徹底したセキュリティを導入しているGoogleの具体的なセキュリティ対策をご紹介します。
➤対策①Googleのセキュリティ文化
Googleはセキュリティを最も重要視し、全ての従業員が「セキュリティ第一」で考える文化があります。Googleには情報やアプリケーション、ネットワークのセキュリティに関する分野で、世界をリードする専門家を含むセキュリティとプライバシーのエキスパートが従事しています。
万全の保護体制を維持するため、ソフトウェア開発の全プロセスにセキュリティ機能を組み込んでいます。Google Workspaceにおいても、万が一、問題が確認された場合は、Google Workspaceのインシデント管理チームが迅速な対処にあたり、分析や修復を踏まえたトータル的な問題解決に努め、ユーザーへの影響を最小限に抑えています。
➤対策②堅牢なデータセンター
Googleのデータセンターの設計における中心は「セキュリティとデータの保護」とされ、堅牢な仕組みが特徴です。データセンターにおける具体的なセキュリティ対策は、以下の動画をご覧ください。
➤対策③回復力のあるインフラ
Googleのアプリケーションとネットワークのアーキテクチャは、信頼性と稼働時間の2つを重視して設計されています。Googleの各サーバー、各データセンターに分散されたデータは、マシンに障害が発生した場合だけでなく、データセンター全体に障害が発生した場合でも引き続きデータにアクセス可能です。Googleはデータセンターを世界各地に所有しているため、24時間、365日継続して利用できます。
Googleがインフラストラクチャのセキュリティについて採用しているアプローチは統合的なもので、ハードウェアインフラストラクチャをはじめ、サービスの導入、ユーザー ID、ストレージ、インターネット通信、運用上のセキュリティなど、複数の層にわたって連携して機能しています。詳しくは、インフラストラクチャセキュリティ設計に関するホワイトペーパーをご覧ください。
➤対策④データの暗号化
Googleは、メールの安全な接続方法であるTransport Layer Security(TLS)使用において、業界をリードしてきました。GmailではデフォルトでTLS接続が有効となっています。これにより、TLS接続の有効なサーバーとのやり取りにおいて、送信と受信の両方のメールトラフィックでメールが暗号化され、第三者による盗聴や改ざんを防止します。
➤対策⑤セキュリティチームによる監視
Googleでは、セキュリティおよびプライバシー専門家で構成するフルタイムの専任チームを採用しています。情報やアプリケーション、ネットワークセキュリティに関する世界有数の専門家を含んだセキュリティチームは、防衛システムの保守、セキュリティレビュー プロセスの開発、セキュリティインフラストラクチャの構築、企業のセキュリティポリシーの実装を担当しています。
また、商⽤ツールやカスタムツール、侵⼊テスト、品質保証(QA)対策、ソフトウェア セキュリティレビューを使⽤して、セキュリティの脅威となる対象を積極的にスキャンします。
Google Workspaceの主なセキュリティ対策
Googleのセキュリティ対策は、Google Workspaceにも反映されています。Google Workspaceの主なセキュリティ対策をご紹介します。
➤①厳格な認証(2段階認証・セキュリティキー)
2段階認証とセキュリティキーを使⽤したアカウントのセキュリティの強化により、組織のアクセス制御の構成ミスや、攻撃者によるアカウントの不正利用のリスクを軽減できます。企業向けの高度な保護機能プログラムでは、登録ユーザーに対して、セキュリティキーの要求や信頼されていないアプリへのアクセスブロック、メールの脅威に対する高度なスキャンなど、厳選された強力なアカウントセキュリティポリシーを適用することができます。
➤②不審なログインを監視
Google Workspaceのアラートセンターでは、組織の管理者にドメイン内のアクティビティに関するアラートと実用的なセキュリティ分析情報を提供し、フィッシング、マルウェア、不審なアカウント、不審なデバイスアクティビティといった脅威をアラートします。管理者は、通知をアラートセンターで確認し、ユーザーへの教育や設定の変更などの対応をとることで、セキュリティ上の驚異から組織を保護することができます。
➤③Gmailやチャット、Googleドライブ上のファイルを暗号化
Google Workspaceのセキュリティ戦略において、暗号化は重要な要素です。メール、チャット、ビデオ会議、ファイルなどのデータ保護に役立っています。
ディスクまたはバックアップ メディアに保存された「静止状態」のデータを暗号化することで、攻撃者や物理的なアクセス権を持つ者がデータを保存しているストレージ機器を入手した場合でも、必要な暗号キーがないためデータを読み取ることはできません。
また、インターネット上やデータセンター間で送受信される、全ての転送中の顧客データも暗号化します。万が一、攻撃者が送信を傍受した際も、相手が取得できるのは暗号化されたデータのみです。
➤④迷惑メール検出の精度は99.9%
Gmailは、Googleの機械学習モデルにより、スパムやフィッシング詐欺、マルウェアから受信メールを保護します。他の保護機能と組み合わせることで、Gmailの受診トレイに到達する迷惑メールの99.9%以上をブロックできます。
➤⑤Gmailの添付ファイルをダウンロード前にウイルススキャン
マルウェア添付ファイルは、ユーザーのパソコンに悪意のあるソフトウェアをインストールし、個人情報やIDの盗難、他のパソコンへの攻撃を行います。Googleの重要な保護手段のひとつに、添付ファイル用のマルウェアスキャナがあります。有害なコンテンツをブロックするために、毎週3000億を超える添付ファイルを処理しています。
Google Workspaceのセキュリティに関するよくある質問
Google Workspaceのセキュリティについて、よくある質問をまとめました。
➤質問①データが消失する危険性はあるか?
Google Workspace内で作成されたデータはGoogleによって何重にもバックアップがとられ、世界各地のデータセンターに分散して保管されています。データ消失の可能性はゼロではありませんが、自然災害や停電による地域的な被害によるデータ消失のリスクはほとんどありません。また、Googleの堅牢なデータセンターへ強盗が侵入しデータが盗まれるリスクも低いと言えるでしょう。
➤質問②データが漏洩するリスクはあるか?
データ漏洩には様々な要因があります。Google Workspaceではアカウントの二段階認証や不審なログインのアラート、Gmailの保護機能などといった多様なセキュリティ対策を備えることで、それらの要因によるデータ漏洩のリスクを低減しています。
Enterprise以上のプランでは更に強固な情報セキュリティ機能の「DLP」を備えています。DLPを使用することで、企業内でのデータの流れを監査するだけでなく、警告やブロックを有効にしてユーザーが機密データを送信できないように設定できます。
➤質問③データはどこに保存されているか?
Google Workspaceのデータセンターは世界各地にあり、アジア圏では台湾とシンガポールの2カ所にあります。現在は日本にデータセンターがないため、日本国内にデータを保管しなくてはならない場合はGoogle Workspaceはおすすめできません。ただし、Googleは2023年に日本初のデータセンターを開設することを公式発表しているため、将来的には日本国内でデータを保管することが実現するかもしれません。
特定のデータの保管場所を選択したい際は、Google Workspaceのデータリージョンを選択することで、アメリカまたはヨーロッパ各地に保管できるだけでなく、世界各地に分散して保管することも可能です。サポート対象のエディションを使用していない場合、ポリシーの対象外となります。
Enterpriseデータリージョンは、Enterprise Plusに含まれており、Fundamentalデータリージョンは、Frontline、Business Standardおよび Plus、Enterprise Standard、Enterprise Essentialsに含まれています。
➤質問④Googleにデータを悪用される可能性はあるか?
クラウド化を敬遠している企業の中には、Googleにデータを悪用される危険性がないか気になる方もいるようです。Googleでは、個人情報にアクセスできる担当者を、情報の処理のためにその情報を必要とする Google の社員、請負業者または業務委託先、および代理人に限定しており、いずれも、厳格な契約上の守秘義務を負っています。
また、Googleによると、ユーザーのデータはGoogleではなくユーザーに帰属するものとして、Googleが第三者に販売することはありません。Google Workspaceにおいては、広告が表示されない仕様になっており、Googleが広告を目的にGoogle Workspaceのサービスからデータを収集したり、利用したりすることも一切ありません。
➤質問⑤サービスのメンテナンスなどで使えなくなることはあるか?
Google Workspaceで使用するデータは、Googleの各サーバー、各データセンターにバックアップされた状態で分散して保存されています。サーバーやデータセンターに障害が発生した場合でも、世界各地にあるデータセンターの存在により24時間365日継続して利用することが可能です。メンテナンス等でサービスが利用できなくなるということもありません。
➤質問⑥パソコンやUSBメモリの紛失による情報漏洩を防止できるか?
Google Workspaceを十分に活用すれば、パソコン本体やUSBメモリなどローカルにデータを保存する必要性が低くなります。クラウド上にのみデータを保存していれば、USBメモリでデータを持ち運ぶ必要がないため紛失のリスクが減らせます。万が一、パソコンを紛失しても、Google Workspaceでは、管理者によってユーザーをログアウトさせたり、企業のデータをデバイスからワイプ(削除)することができます。
第三者機関によるセキュリティの定期監査
Googleは、クラウドサービスを提供する上で、セキュリティ、プライバシー、コンプライアンスの管理を維持するため、継続的に第三者機関からの監査を受けています。複数の独立した第三者機関による監査の内容を一部ご紹介します。
➤ISO/IEC 27001
ISO/IEC 27001とは、情報セキュリティマネンジメントシステム(ISMS)に関する国際規格で、情報の機密性や完全性、可用性の3種類をバランスよくマネンジメントし、情報を有効活用するための組織の枠組みを示すものです。Googleでは、Google Workspaceの運用に必要なシステム、テクノロジー、プロセス、データセンターについてISO/IEC 27001の認証を取得しています。
➤ISO/IEC 27017
ISO/IEC 27017とは、クラウドサービスに関連する情報セキュリティ管理策のガイドライン規格で、ISO/IEC 27002に基づく情報セキュリティ管理の方法を、クラウドサービスに特化して定めた国際規格です。Googleの国際規格への準拠は、Dutch Accreditation Council(国際認定フォーラムのメンバー)により認証された ISO認証機関と、Ernst&Young CertifyPointによって認定されています。
➤ISO/IEC 27018
ISO/IEC 27018とは、クラウドサービス事業者がパブリッククラウド上で管理する個人情報の保護に焦点を当てた国際規格です。ISO/IEC 27018のガイドラインには、「広告宣伝を目的としてお客様のデータを使用しない」「Google Workspaceの各種サービスにおけるお客様のデータはお客様に帰属する」「データの削除と書き出しを行うためのツールをお客様に提供する」「第三者による開示要求からお客様の情報を保護する」「お客様のデータの保管場所について透明性を確保する」といった内容が定められています。
➤SOC 2/SOC 3
SOCはService Organization Controlsの頭文字で、サイバー攻撃の検出や分析を行い、対策のアドバイスなどを行う専門組織です。米国公認会計士協会(AICPA)が行うSOC 2とSOC 3の各監査フレームワークは、セキュリティ、可用性、処理の整合性、機密性に関するTrustサービスの原則と基準に基づいています。GoogleはSOC 2とSOC 3のレポートを取得しており、SOC 3のレポートはダウンロードも可能です。
➤FedRAMP
FedRAMP(Federal Risk and Authorization Management Program)は、米国政府が採用するクラウドサービスに関するセキュリティ評価・認証の統一ガイドラインです。Google Workspaceのサービスは、FedRAMPの要件に準拠しています。Google Workspaceでは、個人情報や管理対象非機密情報といった影響レベルが中程度のデータを、米国連邦政府機関が管理する際に利用できるサービスとして承認されています。また、英国政府のセキュリティ原則に従い、機密情報を含む公的な情報を使用する際にも適切であると評価されています。
➤PCI DSS
PCI SSC(Payment Card Industry Security Standards Council)は、サービスプロバイダや加盟店において、会員データを安全に取り扱うことを目的として策定されたセキュリティ基準です。国際カードブランド5社が共同で設立したPCI SSCによって運用されています。
Google Workspaceユーザーについては、データ損失防止(DLP)ポリシーを設定することで、支払いカード情報を含むメールがGoogle Workspaceから送信されないようにすることが可能です。また、ドライブの監査が実行されるようにVaultを設定し、カードの持ち主のデータが一切保管されないようにすることもできます。
Google Workspaceのセキュリティに関するご質問はTSクラウドまで
Google Workspaceと、運営元のGoogleのセキュリティ対策についてご紹介しました。Googleが制作したホワイトペーパーにも詳細がまとめてあります。Google Workspaceのセキュリティについて、さらに詳細を知りたい方はTSクラウドまでお問い合わせください。
参考サイト
https://static.googleusercontent.com/media/workspace.google.co.jp/ja/jp/files/google-apps-security-and-compliance-whitepaper.pdf
https://workspace.google.co.jp/intl/ja/security/?secure-by-design_activeEl=data-centers
https://workspace.google.co.jp/intl/ja/customers/
https://support.google.com/a/answer/9378686?hl=ja&ref_topic=9376233
https://support.google.com/a/answer/7630496?hl=ja
https://www.google.com/about/datacenters/locations/?_ga=2.243335501.990048692.1622852086-2066775523.1610663154
https://support.google.com/a/answer/2520500?hl=ja&ref_topic=2683828
https://support.google.com/a/answer/9223653?visit_id=638016668546074148-123459478&rd=1
https://policies.google.com/privacy?hl=ja#infosecurity
まずは無料トライアルから!
Google Workspaceにご興味のある方、
ご連絡ください。
Google Workspaceの質問から導入サポートまで、専門スタッフがご案内いたします
費用を発生させる前に、実際の動作環境を体験しましょう
