2025.10.19
Microsoft 365/Google Workspaceの安全設定チェックリスト
- GoogleWorkspace
- IT_MITENA
- セキュリティ
- 情シス代行
クラウド環境での業務が一般化した今、企業の多くは Microsoft 365 または Google Workspace を業務基盤として利用しています。
これらのサービスは強力なセキュリティ機能を備えていますが、「初期設定のまま」「運用ルールが不明確」といった状態では、本来の安全性を十分に発揮できません。
特に中小企業やスタートアップでは、導入時に設定を任せきりにしてしまい、結果として「知らないうちに情報が外部に共有されていた」「退職者のアカウントが残っていた」といったリスクが生じることもあります。
この記事では、両サービスを利用する企業が 最低限チェックしておきたいセキュリティ設定項目 を、実務的な観点で整理します。
なぜ「設定の見直し」が重要なのか
Microsoft 365もGoogle Workspaceも、デフォルト設定は「利便性重視」で構成されています。
つまり、使いやすい反面、「セキュリティ上の穴」が残るケースが少なくありません。
典型的なリスク例を挙げると:
-
共有ドライブが「全員閲覧可」になっていた
-
退職者のアカウントが無効化されていない
-
外部とのファイル共有が制限されていない
-
MFA(二要素認証)が設定されていない
-
管理者権限が複数の個人に付与されている
これらは、いずれも「設定を見直すだけで防げる」トラブルです。
定期的な棚卸しとチェックリスト運用が、最も効果的なセキュリティ対策といえます。
Microsoft 365:確認しておきたい5つの設定
Microsoft 365(旧Office 365)は、エンタープライズ向けの高度な管理機能が特徴です。
ただし設定項目が多く、初期構築時に見落としやすい部分もあります。
1. 多要素認証(MFA)の有効化
最優先項目といえる設定です。
Microsoft Entra ID(旧Azure AD)で「全ユーザーにMFAを強制」するポリシーを設定することで、不正ログインの大半を防げます。
チェックポイント:
-
管理者・一般ユーザー全員にMFAを適用
-
SMSよりもAuthenticatorアプリでの認証を推奨
-
ログイン地域・デバイス制限を設定
2. 管理者アカウントの最小化
管理者権限が多すぎると、乗っ取り時の被害が拡大します。
-
グローバル管理者は最小限に
-
日常運用は「特権ロール」や「条件付きアクセス」で制御
-
管理者用アカウントと業務用アカウントを分ける
3. 共有設定とOneDrive/SharePointの制御
共有フォルダやファイルが「リンクを知っていれば誰でも閲覧可」になっていないかを確認します。
-
外部共有の許可範囲を限定(特定ドメイン・個別ユーザーのみに)
-
社内共有も「閲覧」「編集」を明確に分離
-
ファイルアクセスログを定期監査
4. メールとTeamsのセキュリティ
Exchange Onlineでは、フィッシング対策と送信ドメイン認証(SPF/DKIM/DMARC)の設定が必須です。
-
不審メール隔離(Quarantine)設定
-
Teamsゲストアクセスの範囲確認
-
外部ユーザーのチャット履歴・ファイル共有制御
5. 監査ログとアラートの設定
Microsoft PurviewやDefenderを活用し、ユーザー行動を可視化します。
-
監査ログの保存期間延長(90日→365日など)
-
不審操作時の自動アラート設定
-
管理者メールへの定期レポート送信
Google Workspace:見直しておきたい5つの設定
Google Workspaceは直感的に使いやすい反面、共有や権限設定が緩いまま運用されがちです。
1. 二段階認証の必須化
全ユーザーに対して二段階認証を義務化します。
-
管理コンソール>セキュリティ>認証設定
-
スマートフォンアプリ(Google Prompt)での認証を推奨
-
バックアップコードを安全に管理
2. 外部共有の制御(Drive/Docs)
Googleドライブは便利な反面、「リンク共有=公開状態」になることが多いです。
-
外部共有は特定ドメイン・指定ユーザーのみに制限
-
社外との共同編集は共有フォルダ単位で管理
-
「社外ユーザー含むファイル」をレポートで確認
3. 管理者権限の分離
スーパーユーザーを1人に限定し、日常運用は役割ベースの管理者権限で対応します。
-
管理者アカウントを個人ではなく専用アカウントに設定
-
権限ごとの操作範囲を分ける(ユーザー管理/グループ管理など)
4. アカウントライフサイクルの管理
退職・異動時のアカウント削除やデータ移行のルールを明文化します。
-
自動アーカイブポリシーを設定
-
退職時にメール転送やDrive共有を停止
-
アカウント削除までの手続きフローを標準化
5. ログ監査とアラート
管理コンソールの「監査ログ」「アラートセンター」で不審な操作を検出します。
-
不正ログイン・大量共有・権限変更などの監視
-
アラート通知を管理者メールやチャットに自動送信
-
APIアクセスやサードパーティ連携の確認
共通して押さえるべきポイント
どちらのプラットフォームでも共通して重要なのは、運用ルールと定期チェックです。
| 項目 | 内容 | チェック頻度 |
|---|---|---|
| MFA設定 | 全ユーザーに適用されているか | 半年ごと |
| 共有設定 | 外部共有ファイル・フォルダの確認 | 四半期ごと |
| アカウント棚卸し | 不要・退職者アカウントの削除 | 毎月または都度 |
| 管理者権限 | アクセス権限の過剰付与確認 | 半期ごと |
| ログ監視 | 不審アクセス・異常行動の確認 | 週次または自動化 |
さらに、これらを運用マニュアルやチェックシートとして社内に共有しておくと、担当者交代時にも対応しやすくなります。
チェックリストの運用を「仕組み化」する
セキュリティチェックは“担当者の努力”に頼ると継続が難しくなります。
そのため、チェックリストを自動でリマインドする仕組みを持つことが効果的です。
例:
-
Googleフォーム+スクリプトで定期チェックを自動化
-
Notionやスプレッドシートで履歴を蓄積
-
チェック項目をチケット化してSlackに通知
こうした小さな自動化でも、「見直し忘れ」を防げます。
まとめ:設定を整えることが最大の防御
Microsoft 365やGoogle Workspaceは、強力なセキュリティ機能を備えています。
しかし、その力を発揮するには「設定を整える」「ルールを定める」「定期的に見直す」ことが不可欠です。
設定のひとつひとつが、企業を守る“防波堤”になります。
導入後の運用までを意識し、セキュリティと利便性の両立を目指すことが重要です。
lanitechの IT MITENA では、Microsoft 365やGoogle Workspaceを中心としたクラウド基盤のセキュリティ設定見直し・運用ルール整備などの相談を受け付けています。
「今の設定が安全か不安」「初期導入後に放置してしまっている」などの課題をお持ちの際は、ぜひご相談ください。
