リモートワークから原則出社へ。Google Workspaceで見直すべきセキュリティ設定とポリシー設計

はじめに：出社回帰は「以前の設定に戻す」ことではない

多くの企業でリモートワークから「原則出社」や「ハイブリッドワーク」へと働き方の舵が切られ始めています。オフィスの活気を取り戻し、対面での偶発的なコミュニケーションを促進する一方で、情報システム部門は新たな、そして非常に厄介な課題に直面しているのではないでしょうか。

「リモートワーク用に緩和したアクセス権限を、コロナ禍前に戻せばよい」「オフィス内からのアクセスだから、VPNやFWがあるし以前より安全だろう」

もし、このように考えているとすれば、それは危険な兆候です。現在のサイバー攻撃のトレンドやクラウド利用の拡大を鑑みると、時計の針を戻すことはセキュリティホールを自ら開けることに等しいからです。

本記事では、数多くの中堅・大企業のDX・クラウドセキュリティ推進を支援してきたXIMIXの視点で、原則出社への移行時にGoogle Workspace上で必ず見直すべきセキュリティ設定を深掘りします。単なる機能紹介ではなく、ビジネスの継続性を損なわないポリシー設計と、現場での運用に耐えうる実践的な設定手順を解説します。

なぜ、今Google Workspaceの設定見直しが急務なのか？

リモートワーク体制の構築に奔走した数年前とは異なり、出社回帰の対応は「物理的な場所が変わるだけ」と捉えられ、後手に回りがちです。しかし、そこには見過ごせない3つのリスクが潜んでいます。

リスク1：オフィスネットワークへの過信と「境界型防御」の崩壊

最も大きなリスクは、「オフィスネットワークは安全である」という過去の常識（境界型防御モデル）に回帰してしまうことです。

かつては社内ネットワークの内側を「信頼」、外側を「脅威」とみなしていました。しかし、現在はGoogle Workspaceをはじめ、業務システムの多くがクラウド上にあります。また、高度化するサイバー攻撃は、一度社内ネットワークに侵入すると、その内部で横断的に感染を広げる「ラテラルムーブメント（水平展開）」を行います。

つまり、オフィス内からのアクセスであっても、ひとたびマルウェアに感染した端末があれば、そこからGoogle Workspace上の重要データへ不正アクセスされるリスクは、リモートワーク時と変わりません。むしろ、「社内だから大丈夫」という安心感が、従業員のセキュリティ意識低下を招く恐れがあります。

リスク2：「黙認されたBYOD」の持ち込みとシャドーITの再燃

リモートワーク下で、緊急避難的に個人のスマートフォンやPCの業務利用（BYOD）を許可、あるいは黙認してきた企業は少なくありません。出社回帰に伴い、これらの私物端末がオフィスのWi-Fiに接続される状況が発生します。

セキュリティパッチが当たっていない、あるいは不審なアプリが入った管理外のデバイスが社内ネットワークに接続されることは、脅威の侵入経路（ベクター）となります。また、会社支給PCへの制限を厳しくしすぎた反動で、使い慣れた私物端末や許可されていないクラウドストレージを使う「シャドーIT」がオフィス内で堂々と行われるリスクも高まります。

リスク3：ハイブリッド環境による管理の複雑化

「原則出社」といっても、完全に出社のみになるケースは稀です。営業職の外出、育児・介護中の在宅勤務など、多くの企業では「ハイブリッドワーク」が定着します。

「社内からはこのルール」「社外からはこのルール」といった二重基準の運用は、管理者の負荷を増大させるだけでなく、ポリシーの適用漏れを引き起こす最大の要因です。場所を問わず一貫したセキュリティレベルを担保する仕組みが必要です。

出社回帰を成功に導く「ゼロトラスト」アプローチ

これらのリスクに対応するためには、働く場所（オフィスか自宅か）に依存せず、すべてのアクセスを信頼しないことを前提とする「ゼロトラスト」の考え方が不可欠です。

Google Workspaceは、Google自身が実践しているゼロトラストモデル「BeyondCorp」の技術基盤の上に構築されており、これを具現化する強力な機能を標準で備えています。

ゼロトラストを実現する3つの柱

Google Workspaceにおけるゼロトラスト制御は、以下の3要素を動的に検証することで成り立ちます。

ユーザー認証（Identity）: 「誰が」アクセスしているのか？（ID/パスワードだけでなく、多要素認証による本人確認）
デバイス管理（Endpoint）: 「どの端末で」アクセスしているのか？（会社支給か、OSは最新か、暗号化されているか）
アクセスコンテキスト（Context）: 「どのような状況で」アクセスしているのか？（IPアドレス、地域、時間帯、直前の行動）

これらを組み合わせ、「会社支給のPCで（デバイス）、かつ日本国内から（コンテキスト）、本人確認が取れた場合（ユーザー）のみアクセスを許可する」といった制御を行います。

【実践編】Google Workspaceで見直すべき具体的な設定

ここからは、XIMIXが推奨する、原則出社・ハイブリッドワーク移行時に見直すべき具体的な設定項目を解説します。管理コンソールでの操作をイメージしながら読み進めてください。

ステップ1：Context-Aware Access（コンテキストアウェアアクセス）の再定義

Context-Aware Accessは、ゼロトラストの中核機能です。従来のIP制限よりもはるかに柔軟な制御が可能です。

オフィスのIPアドレスを「条件の一つ」にする: 本社の固定IPアドレスを「信頼できる場所」として定義しますが、これ単体で許可するのではなく、「IPアドレスが社内かつ会社管理デバイスであること」というAND条件で設定することを推奨します。これにより、社内で私物PCをWi-Fiに繋いでも、Google Workspaceへのログインはブロックされます。
役職や部門ごとの例外ポリシー作成: 「原則出社」でも、外出の多い営業部や役員には異なるポリシーが必要です。
- 全社員: 社内ネットワークかつ会社端末のみ許可
- 営業部: 社外ネットワークからも許可するが、会社端末かつ画面ロック設定が必須

このように、グループ単位でポリシーを適用し分けることで、利便性とセキュリティを両立します。

ステップ2：エンドポイント管理のレベル引き上げ

Google Workspaceには「Google エンドポイント管理」機能があります。出社回帰のタイミングで、この管理レベルを見直しましょう。

「基本管理」から「詳細管理」への移行検討: BYODを排除し、会社支給端末を徹底管理する場合、モバイルデバイス管理（MDM）のレベルを「詳細管理」に設定します。これにより、デバイスの承認制、ワイプ（遠隔データ消去）、詳細なポリシー強制が可能になります。
PC版Googleドライブ（デスクトップアプリ）の制限: オフィスに戻ると、PC版Googleドライブを使ってローカル感覚でファイルを操作する機会が増えます。
- 管理デバイスのみ同期許可: 特定のドメインに参加しているPCのみ、ドライブの同期を許可する設定を入れます。これにより、自宅の個人PCに業務データを同期されてしまうリスクを防ぎます。

ステップ3：2段階認証（2SV）の強制とハードウェアキーの検討

パスワードだけの認証は、もはや無防備と同じです。

2段階認証の強制適用: 管理コンソールで、特定の期日までに2段階認証の設定をユーザーに強制し、期日を過ぎたらロックアウトする設定が可能です。出社していれば、初期設定のサポートも対面で行いやすいため、このタイミングでの全社適用を強く推奨します。
物理セキュリティキーの導入: 管理者や特権IDを持つユーザーに対しては、スマホのSMSやアプリ認証ではなく、物理的なセキュリティキー（Titan Security Keyなど）の使用を必須にすることで、フィッシング耐性を高めることができます。

ステップ4：情報漏洩対策（DLP）と共有設定の厳格化

従業員が一箇所に集まることで、口頭でのやり取りが増える一方、デジタルデータの共有ルールが緩むことがあります。

外部共有設定のデフォルト値を「OFF」に: Google ドライブの共有設定を見直します。基本設定として「リンクを知っている全員（組織外を含む）」への共有は禁止し、「招待されたユーザーのみ」または「組織内のみ」をデフォルトにします。
DLP（データ損失防止）ルールの適用: 「マイナンバー」「クレジットカード番号」「社外秘」などのキーワードが含まれるファイルが社外に共有されそうになった際、自動的にブロックまたは警告を表示させます。
- 警告モードの活用: いきなりブロックすると業務が止まる恐れがあるため、まずは「警告を表示するが送信は可能」な設定にし、ログを収集してからチューニングすることをお勧めします。

見落としがちな運用課題：ログ監査と可視化

設定を強化して終わりではありません。「原則出社」に戻った後の従業員の振る舞いをモニタリングすることが重要です。

セキュリティセンターの活用

「セキュリティセンター」ダッシュボードでは、不審なメールの受信状況や、共有設定の違反状況を可視化できます。「外部共有されているファイル数」が急増していないかなどを定期的にチェックしてください。

BigQueryへのログエクスポート

監査ログをBigQueryにエクスポートすることで、長期間のログ保存と高度な分析が可能になります。例えば、「オフィスに出社しているはずの時間帯に、海外からアクセスがないか？」といったカスタムクエリによる検知も可能です。XIMIXでは、このログ分析基盤の構築支援も行っています。

移行プロジェクトを成功させるためのロードマップ

技術的な設定と同じくらい重要なのが、社内への展開プロセスです。いきなり全社一斉に厳格なポリシーを適用すると、業務が停止し、情シスへのクレームが殺到します。

フェーズ1：現状把握とアセスメント

現在のGoogle Workspaceの設定状況を棚卸しします。誰が管理者権限を持っているか、外部共有されているファイルはどれくらいあるかを把握します。

フェーズ2：スモールスタート（PoC）

情報システム部門や、ITリテラシーの高い特定の部署に限定して、新しいポリシー（Context-Aware Accessなど）を適用します。ここで「会議室のWi-Fiから繋がらない」「特定のSaaSと連携できない」といった不具合を洗い出します。

フェーズ3：段階的な展開と説明会の実施

「なぜこの制限が必要なのか」という背景（セキュリティリスク）を丁寧に説明します。「監視したいわけではなく、従業員と会社を守るためである」というメッセージが重要です。

専門家の支援による、セキュアで柔軟な環境構築を

ここまで解説してきたように、出社回帰に伴うGoogle Workspaceのセキュリティ対応は、スイッチを一つ切り替えれば済むものではありません。オンプレミス環境や他社クラウドサービスとの連携も含めた、グランドデザインが求められます。

自社に最適なセキュリティポリシーの落とし所がわからない
Context-Aware AccessやDLPの設計・検証リソースが足りない
既存のActive DirectoryやSSO基盤との連携が複雑

このような課題をお持ちの場合、外部の専門家の知見を活用することが、リスクを最小限に抑える近道です。

私たち『XIMIX（サイミクス）』は、大規模エンタープライズ企業での導入・移行実績が多数あり、日本企業の複雑な組織構造やセキュリティ要件に合わせた現実的な解をご提案できる点が強みです。

単なるライセンス販売や初期設定代行に留まらず、お客様のビジネス環境に合わせたポリシー策定から、導入後のログ分析・運用改善までをワンストップでご支援します。

複雑化するセキュリティ要件に確実に対応し、従業員がどこにいても安心して働ける強固なIT基盤の構築は、ぜひXIMIXにお任せください。

XIMIXのGoogle Workspace 導入支援についてはこちらをご覧ください。
XIMIXのGoogle Cloud 導入支援についてはこちらをご覧ください。

まとめ

リモートワークから原則出社への移行は、セキュリティ体制を旧来の境界型防御に戻すのではなく、ゼロトラストモデルへと進化させる絶好の機会です。

本記事のポイント:

オフィスのネットワークを過信しない: 内部からのラテラルムーブメントに備える。
Context-Aware Accessの活用: 場所、デバイス、ユーザーを組み合わせた動的な制御を実装する。
エンドポイントとデータの保護: デバイス管理の強化とDLPによる情報漏洩対策を行う。
段階的な適用: 現場の混乱を避けるため、スモールスタートで検証しながら展開する。

Google Workspaceの機能を使いこなすことで、セキュリティと利便性はトレードオフではなく、両立可能なものになります。変化に強い、次世代のオフィスワーク環境を実現しましょう。