Google Workspace「初期設定のまま」は危険？ まずやるべきセキュリティ設定5選

Google Workspace、契約した「だけ」になっていませんか？

「よし、会社としてGoogle Workspaceを導入したぞ！」 そう意気込んだものの、いざ「管理コンソール」という管理画面を開いてみると…

▼こんなお悩みありませんか？

• Google Workspaceを契約したのはいいものの、管理画面が複雑で、どこから設定すればいいか分からない…
• セキュリティ設定が不安。社員が勝手に社外秘データ（顧客情報や見積書など）を共有してしまったらどうしよう…
• 新しく取得したドメインのメール（Gmail）が、取引先に「迷惑メール」として届いていないか心配…

このようなお悩みを持つ、中小企業の経営者様や、他の業務と兼任されているIT担当者様は非常に多くいらっしゃいます。

ご安心ください。すべてを一気に設定する必要はありません。 まずは「最低限ここだけは押さえておけば大丈夫」というポイントから始めることが大切です。

▼この記事でわかること

• Google Workspace導入後、IT担当者が「最低限」チェックすべき5つの設定
• 「初期設定のまま」放置するセキュリティリスク
• 簡単な設定で、会社の情報資産を安全に守る第一歩が踏み出せること

はじめに

Google Workspaceを導入すると、Gmail、カレンダー、Google ドライブといった便利な機能を、会社の「独自ドメイン（@company.comなど）」で使えるようになり、色々な業務効率化への展望が見えてくることかと存じます。

しかし、多くの方がご存じないのですが、契約してアカウントを発行した「だけ」の状態では、便利な機能がフルに活用できないだけでなく、実はセキュリティ面で非常に危険な状態（いわば「家の鍵が開けっ放し」の状態）かもしれません。

IT専任者がいない、または兼任担当者様が忙しい中小企業様こそ、すべてを完璧にやろうとせず、**「まずここだけは押さえてほしい」**という最低限の設定（初期設定からの変更）を行うことが重要です。

この記事では、「なぜその設定が必要なのか？」という理由に焦点を当てて、分かりやすく解説していきます。

「初期設定（デフォルト）のまま」の危険性

まず、Google Workspaceを契約した直後の「初期状態」について知っておきましょう。

この初期状態は、ユーザーがすぐに使い始められるよう「最も使いやすい」設定になっている反面、「セキュリティが最も甘い」状態でもあります。

具体的には、以下のような危険性が潜んでいます。

• 危険性1: セキュリティの穴
• パスワードさえ分かれば、誰でも、どの端末からでもログインできてしまいます（2段階認証が強制されていません）。
• 社員が個人で使っているスマートフォンや、自宅のPCにも、簡単に会社のアカウントを追加できてしまい、情報漏洩のリスクが高まります。
• 危険性2: メールの信頼性
• 新しく取得したドメイン（@company.com）から送ったメールが、取引先のメールシステムから「なりすましメール」と判定され、迷惑メールフォルダに入ってしまったり、最悪の場合ブロックされて届かなかったりする可能性があります。
• 危険性3: データ共有のリスク
• Google ドライブ内のファイル（見積書や顧客リストなど）を、社員が簡単な操作で、社外の誰にでも（元従業員や無関係の個人アカウントにも）共有できてしまいます。

これらのリスクは、すべて「初期設定」のままだからこそ起こる問題です。

最低限のセキュリティを確保する「まずやるべき設定5選」

「初期状態」の危険性を回避するため、IT兼任担当者様でもすぐにできる「5つの設定」をご紹介します。 これらを見直すだけで、会社のセキュリティレベルは格段に上がります。

▼まずやるべき設定5選

1. 【セキュリティ】 2段階認証プロセスを「強制」する
2. 【メール】 Gmailの「なりすまし対策」（SPF・DKIM設定）
3. 【データ】 Googleドライブの「社外共有」を制限する
4. 【運用】 パスワードポリシーを「強化」する
5. 【運用】 「管理者権限」を見直す（最小限にする）

1. 【セキュリティ】 2段階認証プロセスを「強制」する

** 「2段階認証プロセス」とは、IDとパスワードでのログインに加えて、「本人のスマートフォン」など、持っているモノを使った認証を追加する仕組みです。**

万が一、社員のパスワードが流出してしまっても、攻撃者はその社員のスマホを持っていない限りログインできません。

初期設定では、この2段階認証は「任意（使っても使わなくてもよい）」になっています。しかし、セキュリティを本気で考えるなら、全社員に「強制」する設定が不可欠です。これは、会社の重要情報を守るための「必須の鍵」と言えます。

2. 【メール】 Gmailの「なりすまし対策」（SPF・DKIM設定）

これは少し技術的な話に聞こえますが、非常に重要です。 新しいドメイン（@company.com）からメールを送る際、受信側（取引先など）のサーバーは「@company.comから送られた正規のメールか？」を疑っています。

SPFやDKIMという設定は、例えるなら**「ドメインの身分証明書」**のようなものです。 これを設定しておかないと、身元不明の怪しいメール（＝なりすましメール）と判断され、迷惑メールフォルダに振り分けられてしまいます。

「大切な取引先に見積書メールが届いていなかった…」という最悪の事態を防ぐため、最初に必ず設定しましょう。

※設定にはドメイン管理元での作業が必要な場合、ムームードメインで申し込んだ場合SPFレコードはすでに設定されている可能性があります。

3. 【データ】 Googleドライブの「社外共有」を制限する

Google ドライブのファイル共有は非常に便利ですが、初期設定では「社外の誰とでも」簡単に共有できてしまいます。

これが原因で、退職者が個人のGoogleアカウントに重要データをコピーして持ち出したり、操作ミスでうっかり無関係な人に機密情報を共有してしまったりする事故が起こりがちです。

まずは、**「社内（自社ドメインのアカウント）とだけ共有可能」**に設定を変更しましょう。これだけでも、情報漏洩リスクを大幅に減らせます。もし特定の取引先と共有が必要な場合は、「許可リスト制」にするなどの対応も可能です。

4. 【運用】 パスワードポリシーを「強化」する

初期設定では、パスワードのルールが比較的緩くなっています。「password」や「12345678」のような、簡単に推測できるパスワードが設定できてしまうかもしれません。

社員のセキュリティ意識に任せるのではなく、システム側で「最低8文字以上」「複雑さ（英数記号の組み合わせ）を要求する」といった**パスワードの最低ルール（ポリシー）**を設定しましょう。 これにより、会社全体のセキュリティの「底上げ」が可能です。

5. 【運用】 「管理者権限」を見直す（最小限にする）

** **Google Workspaceには、すべてを設定変更できる「特権管理者」という最も強い権限があります。

導入時によくあるのが、IT担当者だけでなく、念のため経営者や総務担当者など、複数の人にこの「特権管理者」権限を付与してしまうケースです。

しかし、特権管理者のアカウントが乗っ取られると、会社の全データが危険にさらされます。管理者は「本当に必要な人」だけに絞り、可能であれば「パスワードリセットだけ行う管理者」など、権限を細かく分離することが、安全な運用の鉄則です。

Googleでは特権管理者は2人以上（1人がログインできなくなってしまっても、もう1人が再設定をできる状態）にしておくことが推奨されています。

「初期状態」と「設定後」でこう変わる！

今回ご紹介した5つの設定を行うことで、会社のセキュリティはこれだけ変わります。

まとめ

Google Workspaceは非常に強力で便利なツールですが、導入しただけ、つまり「初期設定のまま」では、残念ながら「最低限のセキュリティ」は確保できていません。

IT担当者様が他の業務でお忙しい中でも、まずは今回ご紹介した5つの設定、特に**「1. 2段階認証」と「2. メール設定(SPF/DKIM)」**だけでも最優先で見直してみてください。

これらを設定するだけで、セキュリティ・運用レベルは格段に向上し、「まずこの設定をしておけば、最低限のセキュリティ・メール設定はOK！」という安心感を得ることができます。

今回は、Google Workspace導入後に「まずやるべき5つの設定」を、初期状態の危険性と比較しながらご紹介しました。

ムームードメインでは現在導入検討されている企業様へ無料相談を実施しております。

導入にあたっての疑問点・不安な点解消のお手伝いをさせていただきます。ぜひご気軽にご相談ください。

相談はこちら

ムームードメインではGoogleWorkspaceをお得に始められるキャンペーンを実施中！

【25%OFFキャンペーン実施中！】ムームードメインのGoogle Workspaceを詳しく見る