スポンサーリンク

(GWS)Googleグループの権限を理解してセキュリティを強化しよう

GoogleWorkSpace(GWS)を採用している企業は多いと思います。

基本的にGoogleのサービスは、何も設定せずに使用出来るんですが、適切な権限(ポリシー)を適用しないと情報漏えいにつながるので、今回はGoogleグループについて説明したいと思います。

この記事はこんな方にオススメ

GoogleWorkSpace(GWS)を利用している方

SaaSを管理しているAdminの方

情報セキュリティ部門の方

Googleグループ

GoogleAdminからグループを作成する場合、以下のような画面で権限を設定すると思います。
項目名でなんとなく理解できるものもありますが、正しい設定を行うため理解した上で設定することが重要になります。

それぞれの設定内容について、説明したいと思います。

①アクセスタイプ

結論からいうと、こちらの設定は不要です。

アクセスタイプは用途に応じていずれか選択することで「アクセス設定」と「グループに参加できるユーザー」を自動的に設定にしてくれる機能ですが、正直なところ全然適正な権限にならないので、ここでは何も行わず以下設定を手動で設定して下さい。

②アクセス設定

ここでグループに対する権限設定を行います。
いろんな会社を見ていますが、この設定は重要にもかかわらず、適切に設定出来ていないことが多いので公式マニュアルと合わせて以下参考に適切に設定しましょう。

閲覧、投稿、管理できるユーザーを設定する - Google グループ ヘルプ
職場または学校のアカウントにログインしている場合は、表示されるオプションが異なる場合があります。詳しくは、管理者の方にお問い合わせください。 権限の設定によ

グループのオーナーに連絡できるユーザー

グループのオーナーにメッセージを送信出来るユーザーを指定する項目です。
ここは外部の人を入れても問題ない(むしろ何かあった時連絡出来たほうがいい)のですべてにチェックして問題ありません。

POINT

グループのオーナーに連絡できるユーザーは「外部」で問題なし

会話を閲覧できるユーザー

WEB上でグループメール宛の受信メールを閲覧したり、返信出来るWebページをどのユーザーまで見せる(許可する)か設定します。

仮に「組織全体」や「外部」にチェックした場合、グループメールに参加していなくても受信メールが見えてしまいます。なので「外部」は絶対にチェックしてはいけません。社員でもメンバー以外が見ることはまず無いので必ず「グループのメンバー」までにしましょう。

POINT

会話を閲覧できるユーザーは「グループのメンバー」までにしか権限を与えない

投稿できるユーザー

作成したグループメールに対して返信が行えるユーザーを指定します。
ここは間違える人が多いんですが、外からメールを受けたい場合は「外部」にチェックを入れないとメールが届きません

POINT

外部からメールを受ける場合は「外部」をふくむ全てに権限を与える

メンバーを表示できるユーザー

このグループに、誰が参加しているか見せるのをどこまで許可するか設定します。
こちらは「組織全体」までを推奨します。

よほど秘匿性の高いグループであれば「グループの管理者」や「オーナー」のみにしてもよいですがそうすると、Googleカレンダーでグループを招集する際、主催者に閲覧権限がないと正しいメンバーに通知が行われないためです。

POINT

秘匿性の高いものは「グループのメンバー」まで。それ以外は「組織全体」まで許可する。

メンバーの管理

グループ メンバーの追加と削除を行えるユーザーを指定できます。
グループはGoogleドライブのアクセス権でも使用することがあるため「オーナー」のみ、もしくは「オーナー」と「グループの管理者」の2つにチェックしましょう。

POINT

適切なアクセス権を維持するため、「グループの管理者」までにする

③グループに参加できるユーザー

ここではユーザーをグループに追加する方法を設定します。
設定内容はそれぞれ以下の通りです。

組織内のすべてのユーザーがリクエストできる 組織(社内)ユーザーであれば参加リクエストすることが出来ます。管理者から承認されるとグループに参加できます
組織内のすべてのユーザーが参加できる組織(社内)ユーザーであれば各自でグループに参加できます
招待されたユーザーのみ管理者が設定した場合のみグループに参加できます。

この設定は、基本すべてのグループで「招待されたユーザーのみ」にしたほうがいいです。
まず、「組織内のすべてのユーザーがリクエストできる 」は「メンバーの管理」権限がある人が仕様を把握し、適切に運用しないと不要なユーザーを参加してしまう可能性があるためです。

次に、「組織内のすべてのユーザーが参加できる 」は、該当グループをGoogleドライブのアクセス権に使用していたり、外部とのメールやり取りをしている場合コントロール出来ないため、情報漏洩につながる可能性が高いです。
仮にこれを設定する場合は、Googleドライブのアクセス権設定に使用していない、かつ社内のサークル活動など、社内メンバーであれば誰に見られても差し支えないものに限定して下さい。

最後の、「招待されたユーザーのみ」ですが基本的に全グループこの権限でよいと思っています
理由としては、社内メンバーの勝手な参加が出来ないことと、「メンバーの管理」権限を持たない人には追加作業が行えないため、Googleドライブのアクセス権に設定していても問題ないためです。

POINT

基本的に「招待されたユーザーのみ」を選択する

④組織外のメンバーの許可

ここはタイトル通り、グループに外部のメールアドレスを追加するか、しないかなので、不要であれば基本的にOFFにしましょう。

仮に業務委託(外部メールアドレス)や取引先等を追加する場合は、わかりやすいようにグループ名の頭にext_ extarnal_等を付与していもよいかもしれません。

パターン別おすすめ設定

外部からメールを受信する場合

外部からメールを受けられるように「投稿できるユーザー」は外部にチェック。
それ以外は推奨設定にしています。

Googleドライブ管理用(社内)

Googleドライブのアクセス権管理として使用するのであれば、「会話を閲覧出来るユーザー」と「投稿出来るユーザー」は必要最小限で良いと思います。

Googleドライブ管理用(社外)

外部を招待する場合は、上記と同じ権限で「外部メンバーの許可」にチェック。
グループ名の頭にExt_Extarnal_を付与するのがおすすめです。

会社のサークル活動用など

基本社員の参加が自由、閲覧されても問題ないものであれば、社内メンバーの参加やメール内容を自由に見れるオープンな設定で良いと思います。

まとめ

Googleグループはなんとなくデフォルト設定でも使えてしまいますが、場合によっては情報漏えいの原因になるため、システム管理者が理解した上で使用する事が重要です。

もしすでに利用中であれば一度アクセス権を見直してもよいかもしれません。

ヤスムラ

◇基本情報
▶IT業界で働くアラフォー
▶一児の父

◇経歴/実績
▶2020年スタートアップに情シスとして転職

▶2021年に副業(情シス x ITコンサル)を開始して初年度売上100万円達成
▶2022年ITフリーランス向け副業コミュニティ(Slack)開設
▶2022年に副業売上300万円達成
▶2023年に副業売上600万円達成

ヤスムラをフォローする
Google情シス
スポンサーリンク
ヤスムラをフォローする
ITでお金を豊かにするブログ

コメント

Ads Blocker Image Powered by Code Help Pro

広告ブロックを摘出しました!!

ブラウザ拡張を使用して広告をブロックしていることが摘出されました。

ブラウザの広告ブロッカーの機能を無効にするか、当サイトのドメインをホワイトリストに追加し、「更新」をクリックして下さい。

あなたが広告をブロックする権利があるように、当方も広告をブロックしている人にコンテンツを提供しない権利と自由があります。

タイトルとURLをコピーしました