法人利用における Google ドライブ セキュリティの肝

Googleドライブは、ファイルの外部共有方法としてメジャーなサービス「OneDrive」や「Dropbox」などに並ぶサービスとして大きな企業にも利用されている様です。

背景として送信データの大容量化が避けられなくなった結果、メール送信では間に合わず、クラウドストレージ利用が避けられないことにあります。そうした中でGoogleドライブではオンラインでの同時編集（スプレッドシート、プレゼンデーテョン）などがある分、共有専用の他サービスよりも頭1つ抜けている印象があります。またGoogleアカウント同士であれば共有操作も更に簡単になるというのが魅力です。

では便利だからと言って、このままGogoleドライブを利用し続けても良いのでしょうか。

ここではGoogleドライブを法人利用でセキュリティを保ちながら利用する方法について紹介していきたいと思います。

法人利用におけるGoogleドライブのセキュリティ信頼性について

Googleのセキュリティ管理は関連サービスであるGoogleドライブにも及びます。

ここでは信頼性については下部のホワイトペーパーに説明を譲りますが、以下の様な特徴で安全に管理できる方法がございます。

上記の様な機能により機能上は安全に利用できると言えるでしょう。少なくとも共有事故発生後に原因を追及するという点では必要十分です。

Googleのセキュリティに関するホワイトペーパー
https://cloud.google.com/security/overview/whitepaper?hl=ja

では、何が課題となるのでしょうか？

どんなに安全に管理できるシステムであっても人間が使う以上、事故が発生する要因は無くなりません。人的な共有ミスについては、 Google Drive だけに限らず、クラウドストレージを使ううえでの課題なのです。

しかも、意図せずに社内機密に該当する様な漏洩事故では、ヒューマンエラーにより社員も会社もダメージを受け、社会的な信用を一瞬で失ってしまうことになりかねません。

Googleドライブは個々のファイル共有については管理者が十分に確認する機能が提供されていないため、結果的にシャドーITとなる可能性があります。

公的機関での利用におけるクラウドストレージでの事故例

2013年7月 各省庁「環境省、復興庁、農林水産省、国土交通省、厚生労働省」でクラウドストレージにおけるファイル共有設定のミス（ヒューマンエラー）により、内部のファイルがWeb上から誰でも閲覧できる状態となっていました。
これらの情報には各省庁の機密データだけでなく、医療機関の患者情報など、個人情報が含まれており、大きな批判を浴びたことは記憶に古くありません。
この様な例は便利であることと引き換えに、知らずに多大なリスクを引き受けてしまったと言えるでしょう。

法人利用におけるGoogleドライブの高いセキュリティで堅牢に運用する方法

弊社の推奨するGoogleドライブで最もセキュリティを高めると考える運用方法を記載します。

最強

Google Workspace（旧名称 G Suite）の2段階認証を利用し、外部共有を行わず、社内共有ツールとしてのみ利用。
＞ サービス提供側の Google 社にて問題が起きない限りまず安心です。

ただし、社外との共有は行えないため、利便性の低下は避けられません。

メモ
もちろん、安全度が高いことが要求されるのは当然ですが、外部共有を全く許可しない（外部共有制限）となると Google Drive のメリットを享受出来ていないかも知れません。ただし外部共有は行いませんから、セキュリティ管理に自信が無い企業、敢えて利便性よりも安全性に重点を置く企業はこの方法が一番安全であると言うことが出来ます。

二番手

Google Workspace（旧名称 G Suite）で「組織」を作成し、所属する人員を限定しながら、特定の組織にのみ外部共有を許可する「組織グループ」を作成。

併せて専用の外部共有管理ツールを利用する。

メモ
運用方法としては非常に望ましく、バランスの取れた方法です。標準ツールでは難しい専用の外部共有管理ツールを利用することで、運用上の課題もしっかりフォロー可能です。

※外部共有を制限した際は、過去に外部共有を行っていた既存ファイルも含めてアクセス不可となりますので、実施の際は十分ご注意ください。

推奨

社内での運用ポリシーを社内ルールとして定め、定期的に管理者による外部共有の見直しを行う。

メモ
社内での運用ルールを規定などに定めたうえで人力で運用管理する方法です。難があるとすれば、共有管理を見直す管理者様の負担がかなり大きい点でしょうか。

Google ドライブ セキュリティの肝（法人利用編）まとめ

ここでは「セキュリティの肝」について、記載いたします。
なお、 Google Drive を安全に法人利用するなら最低限これをやりましょう。

✔ 会社での運用ルールを作成する

✔ 全社のファイル数と共有数を把握する

✔ 退職者のファイル削除、外部への共有状態把握を行っている

✔ 定期的にファイル共有の見直しを行う

✔ 無理の無い見直しの運用方法を確立する

✔ 上記が部署毎に行う

チェックポイント 1

管理コンソール → アプリ → Google Workspace → 共有設定

✔ 「（ドメイン名）のユーザーが所有するファイルを （ドメイン名）の外部と共有するときに警告する。」

メモ
必ずしも必要ではありませんが、各人の共有設定を委ねる場合、通知機能を設定しておいたほうがベターです。

チェックポイント 2

管理コンソール → アプリ → Google Workspace → 共有設定

✔ 外す「ウェブ上でファイルを公開したり、一般公開ファイルや限定公開ファイルとして一般ユーザーが閲覧できるようにしたりすることを （ドメイン名）のユーザーに許可する。」

メモ
一般公開を意図しないのであれば、いたずらに公開設定をすべきではありません。

チェックポイント 3

Google Workspace Business Standard , Business Plus , Enterprise の場合

管理コンソール → アプリ → Google Workspace → ドライブとドキュメントの設定

✔ 「（ドメイン名）のユーザーが新しい共有ドライブを作成できないようにする」

メモ
この設定により各社員が勝手に共有ドライブを作成し、収拾が付かなくなることを防ぎます。

チェックポイント 4

誰がどのファイルにアクセスしているか判らない

管理コンソール → レポート → 監査ログ → ドライブ

メモ
直近で過去最大180日間のアクセス履歴などが確認できます。またダウンロードの履歴なども確認可能です。
180日以上の過去履歴については Google Vault で監査ログより確認ください。それ以上の確認は外部共有管理ツールの出番です。

チェックポイント 5

Drive の共有状況をサマリーで知りたい

管理コンソール → レポート → アプリレポート → ドライブ

メモ
対象画面で共有状況が一覧で確認出来ますので、直近の共有状況の変化を追うことができます。定期的に確認することが推奨されます。

チェックポイント 6

見直しのコツは？

ここまで記載の標準機能でも十分 Google ドライブ の安全性を確認することは出来ますが、専用のファイル共有管理ツールを導入するのも一案です。

チェックポイント 7

外部公開している対象ファイルが不明

直近で過去最大180日の対象ファイルを確認可能です。

管理コンソール → レポート → 監査ログ → ドライブ

メモ
例えば監査ログ画面で「フィルタを追加」を選択し、公開範囲を「リンクを知っている全員」とすることで過去最大180日以内で対象共有ファイルを出力可能です。
※180日以上の場合、専用のファイル共有管理ツールでの確認が必要です。

ここまで安全にご利用できる方法を紹介してきましたが、いかがでしたでしょうか。

注意点のポイントを掴めば、Googleドライブでは安全なクラウドストレージとして十分安心して活用できることがお判りになったかと思います。

皆様が安全なご利用で便利にクラウドストレージが利用出来ます様に。