GoogleWorkSpace(GWS)を採用している企業は多いと思います。
基本的にGoogleのサービスは、何も設定せずに使用出来るんですが、適切な権限(ポリシー)を適用しないと情報漏えいにつながるので、今回はGoogleグループについて説明したいと思います。
GoogleWorkSpace(GWS)を利用している方
SaaSを管理しているAdminの方
情報セキュリティ部門の方
Googleグループ
GoogleAdminからグループを作成する場合、以下のような画面で権限を設定すると思います。
項目名でなんとなく理解できるものもありますが、正しい設定を行うため理解した上で設定することが重要になります。
それぞれの設定内容について、説明したいと思います。
①アクセスタイプ
結論からいうと、こちらの設定は不要です。
アクセスタイプは用途に応じていずれか選択することで「アクセス設定」と「グループに参加できるユーザー」を自動的に設定にしてくれる機能ですが、正直なところ全然適正な権限にならないので、ここでは何も行わず以下設定を手動で設定して下さい。
②アクセス設定
ここでグループに対する権限設定を行います。
いろんな会社を見ていますが、この設定は重要にもかかわらず、適切に設定出来ていないことが多いので公式マニュアルと合わせて以下参考に適切に設定しましょう。
グループのオーナーに連絡できるユーザー
グループのオーナーにメッセージを送信出来るユーザーを指定する項目です。
ここは外部の人を入れても問題ない(むしろ何かあった時連絡出来たほうがいい)のですべてにチェックして問題ありません。
グループのオーナーに連絡できるユーザーは「外部」で問題なし
会話を閲覧できるユーザー
WEB上でグループメール宛の受信メールを閲覧したり、返信出来るWebページをどのユーザーまで見せる(許可する)か設定します。
仮に「組織全体」や「外部」にチェックした場合、グループメールに参加していなくても受信メールが見えてしまいます。なので「外部」は絶対にチェックしてはいけません。社員でもメンバー以外が見ることはまず無いので必ず「グループのメンバー」までにしましょう。
会話を閲覧できるユーザーは「グループのメンバー」までにしか権限を与えない
投稿できるユーザー
作成したグループメールに対して返信が行えるユーザーを指定します。
ここは間違える人が多いんですが、外からメールを受けたい場合は「外部」にチェックを入れないとメールが届きません。
外部からメールを受ける場合は「外部」をふくむ全てに権限を与える
メンバーを表示できるユーザー
このグループに、誰が参加しているか見せるのをどこまで許可するか設定します。
こちらは「組織全体」までを推奨します。
よほど秘匿性の高いグループであれば「グループの管理者」や「オーナー」のみにしてもよいですがそうすると、Googleカレンダーでグループを招集する際、主催者に閲覧権限がないと正しいメンバーに通知が行われないためです。
秘匿性の高いものは「グループのメンバー」まで。それ以外は「組織全体」まで許可する。
メンバーの管理
グループ メンバーの追加と削除を行えるユーザーを指定できます。
グループはGoogleドライブのアクセス権でも使用することがあるため「オーナー」のみ、もしくは「オーナー」と「グループの管理者」の2つにチェックしましょう。
適切なアクセス権を維持するため、「グループの管理者」までにする
③グループに参加できるユーザー
ここではユーザーをグループに追加する方法を設定します。
設定内容はそれぞれ以下の通りです。
| 組織内のすべてのユーザーがリクエストできる | 組織(社内)ユーザーであれば参加リクエストすることが出来ます。管理者から承認されるとグループに参加できます | |
| 組織内のすべてのユーザーが参加できる | 組織(社内)ユーザーであれば各自でグループに参加できます | |
| 招待されたユーザーのみ | 管理者が設定した場合のみグループに参加できます。 |
この設定は、基本すべてのグループで「招待されたユーザーのみ」にしたほうがいいです。
まず、「組織内のすべてのユーザーがリクエストできる 」は「メンバーの管理」権限がある人が仕様を把握し、適切に運用しないと不要なユーザーを参加してしまう可能性があるためです。
次に、「組織内のすべてのユーザーが参加できる 」は、該当グループをGoogleドライブのアクセス権に使用していたり、外部とのメールやり取りをしている場合コントロール出来ないため、情報漏洩につながる可能性が高いです。
仮にこれを設定する場合は、Googleドライブのアクセス権設定に使用していない、かつ社内のサークル活動など、社内メンバーであれば誰に見られても差し支えないものに限定して下さい。
最後の、「招待されたユーザーのみ」ですが基本的に全グループこの権限でよいと思っています。
理由としては、社内メンバーの勝手な参加が出来ないことと、「メンバーの管理」権限を持たない人には追加作業が行えないため、Googleドライブのアクセス権に設定していても問題ないためです。
基本的に「招待されたユーザーのみ」を選択する
④組織外のメンバーの許可
ここはタイトル通り、グループに外部のメールアドレスを追加するか、しないかなので、不要であれば基本的にOFFにしましょう。
仮に業務委託(外部メールアドレス)や取引先等を追加する場合は、わかりやすいようにグループ名の頭にext_ extarnal_等を付与していもよいかもしれません。
パターン別おすすめ設定
外部からメールを受信する場合
外部からメールを受けられるように「投稿できるユーザー」は外部にチェック。
それ以外は推奨設定にしています。
Googleドライブ管理用(社内)
Googleドライブのアクセス権管理として使用するのであれば、「会話を閲覧出来るユーザー」と「投稿出来るユーザー」は必要最小限で良いと思います。
Googleドライブ管理用(社外)
外部を招待する場合は、上記と同じ権限で「外部メンバーの許可」にチェック。
グループ名の頭にExt_やExtarnal_を付与するのがおすすめです。
会社のサークル活動用など
基本社員の参加が自由、閲覧されても問題ないものであれば、社内メンバーの参加やメール内容を自由に見れるオープンな設定で良いと思います。
まとめ
Googleグループはなんとなくデフォルト設定でも使えてしまいますが、場合によっては情報漏えいの原因になるため、システム管理者が理解した上で使用する事が重要です。
もしすでに利用中であれば一度アクセス権を見直してもよいかもしれません。
コメント