「社長、会社用のスマホを落としてしまいました……」
「退職したAさんのアカウント、まだ誰かがログインできる状態になっていませんか?」
ランサムウェアや情報漏洩といったニュースを見るたびに「うちも対策しなければ」と焦るものの、ゼロトラストやMDMといった専門用語が並ぶパンフレットを見ても理解できない。不安に駆り立てられて、ITベンダーに勧められるがまま高価なセキュリティ機器を導入したものの、果たして費用対効果が見合っているのかよく分からない。その一方で、退職者のパスワード管理といった足元の運用はガバガバのまま……。
専任のシステム管理者(情シス)がいない中小企業では、このような「チグハグなセキュリティ対策」が非常によく見られます。
必要なのは、高額で難解なシステムではありません。誰でも簡単に設定でき、かつ「致命傷を防ぐ」ための基礎固めです。
今回は、Google Workspaceの標準機能を使って、追加費用なしで実現できる「中小企業が最低限守るべき3つのセキュリティ対策」を解説します。
「完璧なセキュリティ」を目指そうとすると、きりがありませんし、予算もいくらあっても足りません。中小企業にとって最も恐ろしいのは、高度なサイバー攻撃よりも「基本的な人為的ミスや管理の甘さ」による情報漏洩です。
これらの「足元の穴」を塞がないまま、どれほど高価なセキュリティ機器(UTMなど)を導入しても意味がないのです。Google Workspaceには、専門的なIT知識がなくても、こうした基本の穴を塞ぐための「管理コンソール」という強力な機能が標準で備わっています。
最も簡単で、かつ絶大な効果を発揮するのが「二段階認証(2段階プロセス)」です。
IDとパスワードの入力に加えて、手元のスマートフォン等に届く確認コードを入力しないとログインできない仕組みです。
仮に、社員のパスワードが何らかの理由で外部に漏洩してしまったとします。しかし、二段階認証を設定していれば、悪意のある第三者がログインしようとしても、社員のスマホが手元になければアクセスできません。これだけでアカウントの乗っ取りリスク(なりすまし)は劇的に低下します。
Google Workspaceの管理コンソールを使えば、「全社員に対して二段階認証を義務付ける(設定しないとログインできなくする)」というルールを数クリックで全社に適用できます。社員一人ひとりのリテラシーに依存するのではなく、システム側で強制的に安全基準を引き上げることが重要です。
ユーザーごとに2段階認証の有無を設定可能
社員の退職時に、パソコンや社員証は回収したけれど「クラウド上のアカウントやファイルへのアクセス権」を消し忘れていた、というのは非常によくあるケースです。
個人のチャットツール(LINEなど)で業務連絡を行っていると、退職後も会社の機密情報が個人のスマホに残り続けるという最悪の事態を招きます。
Google Workspaceの場合、管理コンソールからその社員のアカウントを「停止」または「削除」するだけで、メール、チャット、ドライブ上のすべてのファイルへのアクセス権を即座に(1クリックで)剥奪できます。
機密データは個人の端末ではなくGoogleのクラウド上に保管されているため、アカウントを遮断した瞬間に「情報を持ち出されるリスク」はゼロになります。
削除前に一旦停止しログインを停止
「移動中の電車に、会社のスマホ(またはPC)を置き忘れたかもしれない」
これは経営者にとって最も冷や汗をかく瞬間のひとつです。
Google Workspaceの管理機能(エンドポイント管理)を利用していれば、万が一端末を紛失した際でも、管理コンソールから対象の端末を選んで「アカウントのワイプ(遠隔消去)」を実行できます。
これを実行すると、紛失した端末内にある会社のアカウント情報や仕事用データだけが強制的に消去され、第三者に見られるのを防ぐことができます。端末が見つからなくても、データさえ守れれば最悪の事態(顧客情報の流出など)は回避できます。
今回ご紹介した3つの対策(二段階認証の強制、退職時のアクセス遮断、紛失時のリモートワイプ)は、どれもGoogle Workspaceの管理コンソールから簡単に設定できる基本中の基本です。
高度で高額なセキュリティツールを検討する前に、まずはこの「足元の穴」がしっかり塞がっているかを確認してください。費用をかけずとも、これだけで会社の安全性は格段に高まります。
次回は本シリーズの最終回、「個別最適から全体最適へ。Google Workspaceが実現する本当のDX」をテーマに、これまで紹介してきた各ツールの連携がもたらす最大の価値について総まとめを行います。
---
【宮城・仙台の中小企業様へ】
エスポイントでは、地元宮城・仙台を中心に、Google Workspaceの導入支援からセキュアな運用環境の構築までをサポートしています。
「管理コンソールの設定画面を見ても、どこをどう触ればいいか不安」「自社に合ったセキュリティルールの作り方が分からない」という企業様は、ぜひご相談ください。貴社の状況を丁寧にヒアリングし、過剰投資にならない「本当に必要な設定と運用ルール」の策定を伴走支援いたします。
← 前の記事: 「言った・言わない」のトラブルが消滅!Google ChatとMeetの正しい使い分け
次の記事: 個別最適から「全体最適」へ。Google Workspaceが実現する本当のDX →