Googleドライブ運用を、安全に。 DriveChecker-logo
資料請求
無料トライアル
  • トップ
  • Google WorkspaceのISMS対策!必須の運用ルール

    • 公開日:2020/10/12

    Google WorkspaceのISMS対策!必須の運用ルール

    PDFダウンロード
    PDF

    Google WorkspaceのISMS対策! 必須の運用ルール

    コンテンツをダウンロードする

    企業で幅広く利用されている「Google Workspace(旧G Suite)」。

    共同作業がスムーズで非常に便利ですが、セキュリティ担当者の方からは

    「ISMS(情報セキュリティマネジメントシステム)やPマーク(プライバシーマーク)の審査に対応できるの?」

    「情報漏えいリスクはない?」

    といった声がよく聞かれます。

    結論から言うと、Google Workspace自体は極めて高度なセキュリティ基準を満たしていますが、ISMSやPマークの監査をクリアするには「利用者側(企業側)の適切なアクセス管理」が不可欠です。

    この記事では、検索上位のセキュリティ解説を踏まえ、専門用語をできるだけ減らして「Google WorkspaceでISMS認証をクリアするための具体的な対策と運用ルール」をわかりやすく解説します。

    Google Workspace自体はISMS(ISO27001)に対応している?

    まず安心できる点として、Google Workspaceを提供するGoogleのクラウドインフラは、ISMSの国際規格である「ISO/IEC 27001」などの第三者認証を取得しています。

    データセンターの物理的セキュリティや、データ通信の暗号化など、インフラ部分の安全性は世界最高レベルで担保されています。そのため、「Google Workspaceを利用していること自体」がISMS審査でマイナスになることはありません。

    注意すべきは「責任共有モデル」

    しかし、ここで注意が必要なのがクラウドサービスにおける「責任共有モデル」という考え方です。

    • Googleの責任: クラウドインフラやシステムそのものを安全に保つこと
    • 利用企業(あなた)の責任: そのシステム上で「誰に・何のデータへのアクセスを許可するか」を正しく設定・管理すること

    つまり、システムがどれほど強固でも、「社外のだれでも閲覧できるリンクを発行したまま放置している」「退職者のアカウントを削除していない」といった運用上のミスがあれば、ISMSの審査では不適合(指摘事項)となってしまいます。

    ISMS・Pマーク審査で指摘されやすい3つのリスク

    特にGoogle Workspaceの要である「Google ドライブ」の運用において、ISMSやPマークの審査で指摘されやすいリスクは以下の3つです。

    1. 過剰な共有設定(リンクの全員共有)
      「リンクを知っている全員が閲覧可能」といった設定のまま、機密情報や個人情報を含むファイルが放置されている状態は、重大な情報漏えいリスクとみなされます。
    2. 退職者や異動者のアクセス権限の放置
      「とりあえず部署全員に共有」といった大雑把な権限付与をしていると、人事異動や退職の際にアクセス権限を消し忘れ、不要なアクセス権が残ったままになるリスクがあります。
    3. 個人情報の保管場所とアクセス範囲が不明確
      Pマークの審査などでは、「履歴書」や「顧客リスト」といった個人情報がどこにあり、誰がアクセスできるのかを厳格に問われます。権限が「必要最小限(Need to Knowの原則)」に絞られていないと指摘の対象になります。

    審査・監査を乗り切る!Googleドライブの具体的な対策ステップ

    では、ISMSやPマークの要件を満たし、安全にGoogle Workspace(Google ドライブ)を運用するにはどうすればよいのでしょうか。以下の3つのステップで対策を進めましょう。

    ① 社内ルール・ポリシーの明確化

    まずは、「社外共有する際のルール」や「個人情報を含むファイルの保管場所」を明確にルール化します。「機密ファイルは特定の共有ドライブにのみ保存し、社外共有は原則禁止とする」など、従業員全員が同じ基準で利用できるガイドラインを策定・周知することがすべての基本です。

    ② 定期的なアクセス権限の「棚卸し」

    ISMSでは「定期的な見直し」が求められます。半年に1回、あるいは1年に1回など定期的に、「退職者の権限が残っていないか」「不要な外部共有リンクがないか」をチェックします。

    この確認作業の記録(ログやチェックシート)を残しておくことで、監査時に「当社はしっかりとアクセス管理を運用している」という強力な証明になります。

    ③ ツールを使った自動化と可視化

    とはいえ、Google ドライブ内にある無数のファイルやフォルダを、手作業で一つずつチェックするのは時間も手間もかかり現実的ではありません。

    そこで推奨されるのが、専門のセキュリティ管理ツールによる自動化・可視化です。

    手間なくISMS運用を行うなら「DriveChecker」

    Google Workspaceの権限管理を手作業で行う限界を感じている企業様には、Google ドライブセキュリティ管理サービス「Drive Checker(ドライブチェッカー)」の活用をおすすめします。

    Drive Checkerを導入すると、ISMS運用における以下の課題をスムーズに解決できます。

    • セキュリティの穴を見つける: 誰がどのファイルにアクセスできるのか、社外共有されているファイルはどれかを一覧で可視化できます。
    • 定期的な棚卸しを効率化: アクセス権限の状況を簡単にレポート化できるため、監査前の確認作業の工数を大幅に削減します。
    • 退職者アカウントのリスク排除: 不要な権限を一括で確認・修正でき、個人情報の不適切なアクセスを防ぎます。

    まとめ:Google Workspaceを安全に管理して認証をクリアしよう

    Google Workspaceの利便性を最大限に活かしつつ、ISMS(ISO27001)やPマークの厳しい要件を満たすカギは、「責任共有モデルの理解」と「権限の可視化・定期的な見直し(棚卸し)」にあります。

    「手動での権限管理は限界」「次回の監査に向けて運用体制を整えたい」という方は、ぜひ「Drive Checker(ドライブチェッカー)」などの専用管理ツールの導入をご検討ください。無理のない効率的な運用で、安心・安全なクラウド環境を実現しましょう。

    Googleドライブお悩み解決はこちら
    資料請求

    資料ダウンロード(無料)
    自社のセキュリティ状況を簡単チェック
    無料トライアル

    無料トライアルはこちら