クラウドサービスは安全?Microsoft 365・Google Workspaceのセキュリティ設定チェックリスト
「うちはクラウドを使っているから大丈夫」と思っていませんか?
Microsoft 365やGoogle Workspaceは確かに高いセキュリティ基盤を持っています。
しかし、初期設定のまま使い続けていると、実は危険な状態になっていることが多いのです。
情報漏えいの多くは、クラウドサービス側の欠陥ではなく、利用者側の設定ミスや設定不足が原因です。
この記事では、Microsoft 365・Google Workspaceそれぞれのセキュリティ設定チェックリストを、
中小企業の担当者でもわかりやすいように解説します。
「自社の設定が正しいか不安」という方は、ぜひ最後まで読んでチェックしてみてください。
なぜクラウドサービスでも情報漏えいが起きるのか?
クラウドサービスは、データセンターの物理的なセキュリティや暗号化通信など、
自社でサーバーを構築するよりも高いセキュリティ水準を持っています。
では、なぜ情報漏えい事故が起きるのでしょうか?
答えは「設定の問題」です。
よくある設定ミスのパターン
クラウドサービスの情報漏えいに多いのは、以下のようなケースです。
- パスワードだけで認証している(多要素認証が未設定)
- Googleドライブのファイルが「リンクを知っている全員」に共有されている
- 退職した社員のアカウントがそのまま残っている
- 管理者権限を必要以上の人数に付与している
- 外部アプリへのアクセスを無制限に許可している
どれも「設定すれば防げた」ケースばかりです。
まずは現状の設定を確認することから始めましょう。
Microsoft 365 セキュリティ設定チェックリスト
Microsoft 365(旧Office 365)は、多くの中小企業で使われているクラウドサービスです。
管理センター(admin.microsoft.com)から設定を確認・変更できます。
以下のチェックリストで、自社の設定状況を確認してみましょう。
① 多要素認証(MFA)の設定
| チェック項目 | 確認場所 | 推奨設定 |
|---|---|---|
| 全ユーザーにMFAを強制しているか | Microsoft Entra ID > セキュリティ | 必須化する |
| セキュリティの既定値群が有効か | Entra ID > プロパティ | 有効にする |
| 管理者アカウントにもMFAが設定されているか | Microsoft 365管理センター > ユーザー | 必須化する |
MFA(多要素認証)は、パスワードが漏れても不正ログインを防ぐ最も効果的な対策です。
まだ未設定の方は、今すぐ有効化することを強くおすすめします。
② 管理者権限・アカウント管理
| チェック項目 | 推奨設定 |
|---|---|
| グローバル管理者は2名以下に絞っているか | 最小限に絞る(1〜2名) |
| 退職者・異動者のアカウントを無効化・削除しているか | 退職時に即時無効化 |
| 管理者は専用アカウントを使っているか(通常業務と分けているか) | 管理用と業務用を分離する |
③ メール・外部共有のセキュリティ
| チェック項目 | 推奨設定 |
|---|---|
| 外部ドメインへのメール自動転送を制限しているか | Exchange管理センターで制限する |
| SharePoint・OneDriveの外部共有範囲を制限しているか | 「組織内のみ」または「特定のユーザー」に限定 |
| Microsoft Defenderのメールセキュリティ機能を有効化しているか | フィッシング・マルウェア対策を有効化 |
特に外部へのメール自動転送は、ビジネスメール詐欺(BEC)被害の入口となりやすいため、
設定での制限が非常に重要です。
④ 監査ログ・サインイン履歴の確認
Microsoft 365では、管理センターの「コンプライアンス」から監査ログを確認できます。
- 監査ログの記録が有効になっているか
- 不審なサインイン(海外IPや深夜帯)がないか定期確認しているか
- サインインリスクの高いアカウントへのアラートを設定しているか
月に一度でも確認する習慣をつけるだけで、不正アクセスの早期発見につながります。
Google Workspace セキュリティ設定チェックリスト
Google Workspaceは、管理コンソール(admin.google.com)からセキュリティ設定を一元管理できます。
以下のチェックポイントを確認しましょう。
① 2段階認証プロセスの設定
| チェック項目 | 推奨設定 |
|---|---|
| 2段階認証プロセスを全員に強制しているか | 管理コンソール > セキュリティ > 2段階認証プロセスで必須化 |
| 管理者アカウントも2段階認証を使っているか | 必須。セキュリティキーの利用推奨 |
② Google ドライブの共有設定
| チェック項目 | 推奨設定 |
|---|---|
| 「リンクを知っている全員」に公開のファイルがないか | 定期的に共有設定を棚卸しする |
| 組織外へのドライブ共有を制限しているか | 管理コンソールで外部共有を制限 |
| 共有ドライブの管理者を最小化しているか | 必要最小限のメンバーのみ管理者権限を付与 |
ドライブの共有設定は特に見落とされやすいポイントです。
「社内向けに共有したつもりが、実は外部からも見えていた」というケースは少なくありません。
③ サードパーティアプリの接続管理
Google Workspaceでは、外部アプリにGoogleアカウントの権限を与えることができますが、
放置すると不要なアクセスが残り続けます。
- 管理コンソール > セキュリティ > APIコントロールから接続済みアプリを確認する
- 不要なアプリは随時削除・アクセス拒否に設定する
- 従業員が個人的に連携したアプリも管理コンソールで把握できる
④ アカウント管理・ログ確認
| チェック項目 | 推奨設定 |
|---|---|
| 退職者アカウントを即時停止・削除しているか | 退職当日に停止、一定期間後に削除 |
| 管理コンソールの監査ログを定期確認しているか | 月1回以上確認する |
| 不審なログインアラートを設定しているか | 管理コンソール > アラートセンターで設定 |
M365 vs Google Workspace:セキュリティ機能比較
どちらのサービスを使っているか迷っている方のために、セキュリティ機能の主な違いをまとめました。
| 機能 | Microsoft 365 | Google Workspace |
|---|---|---|
| 多要素認証 | ○(全プランで設定可) | ○(全プランで設定可) |
| メールセキュリティ(標準) | Microsoft Defender(上位プランで強化) | Gmailの迷惑メール・フィッシング検出 |
| メールのサンドボックス | business premium以上で利用可 | business standard以上で利用可 |
| 監査ログ | 90日〜1年(プランによる) | 180日〜(プランによる) |
| 条件付きアクセス・ゼロトラスト | Entra ID(上位プラン)で充実(business premium以上) | コンテキストアウェアアクセスで対応(enterprise standard以上) |
| モバイル端末管理(MDM) | Intune(Business Premium以上) | エンドポイント管理(business premium以上) |
どちらも十分なセキュリティ機能を持っていますが、
「設定して初めて機能する」という点は共通です。
デフォルト設定のまま放置するのが最大のリスクになります。
中小企業が今すぐできる5つのアクション
難しそうに見えても、まずはこの5つを実施するだけでリスクを大幅に下げられます。
- 多要素認証(MFA)を全社員に設定する
最も効果が高く、無料でできる対策。今日中に対応してください。 - 退職者・異動者のアカウントを確認・削除する
「使われていないアカウント」は攻撃の入口になります。 - 外部共有ファイルを一覧で確認する
意図せず外部公開されているファイルを洗い出し、制限をかける。 - 管理者権限を最小化する
必要な人だけに必要な権限を。「とりあえず管理者に」はNGです。 - ログイン履歴・監査ログを月1回確認する習慣をつける
異常なサインインの早期発見が被害を最小化します。
よくある質問(FAQ)
Q. クラウドはオンプレミスよりセキュリティが低いですか?
いいえ。MicrosoftやGoogleのデータセンターは、個々の企業が構築するオンプレミス環境より
はるかに高い物理的・技術的セキュリティを持っています。
ただし、利用者側の設定が適切でなければ、そのセキュリティは活かされません。
Q. セキュリティ設定は専門知識がないとできませんか?
基本的な設定(MFAの有効化・共有設定の見直しなど)はIT担当者がいなくても対応可能です。
ただし、条件付きアクセスやゼロトラスト設定など高度な内容は、
専門家に相談することをおすすめします。
Q. セキュリティ強化にはお金がかかりますか?
MFAの設定や共有設定の見直しは追加費用なしで実施できます。
より高度な機能(Defender for Office 365、コンテキストアウェアアクセスなど)は
上位プランや追加ライセンスが必要ですが、まず無料でできることを優先しましょう。
Q. 設定変更したら社員の業務に支障が出ませんか?
MFAの設定などは、社員への事前周知と操作手順の共有が必要です。
急に変更すると混乱が生じる場合があるため、段階的な展開と事前説明を心がけてください。
専門家のサポートがあれば、スムーズな移行が可能です。
まとめ:クラウドは設定次第で「安全」にも「危険」にもなる
Microsoft 365やGoogle Workspaceは、適切に設定すれば非常に安全なサービスです。
しかし、初期設定のまま放置していると思わぬリスクを抱えることになります。
今回紹介したチェックリストを参考に、まずは多要素認証の有効化から始めてみてください。
「設定を確認したいけどどこから手をつければいいかわからない」
「自社の設定が正しいか不安」という方は、お気軽にご相談ください。
アーデントでは、無料でクラウドセキュリティの設定確認・アドバイスを行っています。