Google Workspaceは、多くの企業で採用されているクラウドサービスですが、標準のメールセキュリティ機能では、対応しきれない課題もあります。この記事では、Google Workspaceのメールセキュリティ機能と特徴を解説するとともに、日本企業特有の課題とその対策について解説します。自社のメールセキュリティ対策の参考にしてください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
目次
メールセキュリティ対策が企業にとって不可欠な理由
現在、サイバー攻撃の多くがメール経由で行われており、IPAの「情報セキュリティ10大脅威2024」においても、10項目中4件がメール関連です。被害を受けると、情報漏えいや金銭的損失だけではなく、企業の信用低下や取引停止などの深刻な影響を招きます。また、認識せずに加害者となるリスクも存在するため、メールセキュリティ強化の重要性は高まっています。
※参考:情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
関連記事:【メールセキュリティ最前線】その目的はウイルス感染防御と誤送信防止、コンプライアンス対応にあり
Google Workspaceの主なセキュリティ機能と特徴
Googleのクラウド上に構築されたGoogle Workspaceは、多層防御と強力な暗号化技術により、高度なセキュリティを提供しています。ここでは、Google Workspaceの主な機能と特徴を解説します。
スパム・マルウェア対策
Gmailは機械学習を活用したフィルタリングにより、スパムやフィッシングメールを99.9%の精度で検出・ブロックします。サードパーティ製ウイルス対策と比較して、平均2倍のマルウェア検出率を実現しています。毎週3,000億を超える添付ファイルを処理するAIベースの脅威検知システムにより、新種の脅威にも迅速に対応可能です。
TLS暗号化
Google Workspaceには、TLS(Transport Layer Security)による通信暗号化が標準実装されており、以前のSSLよりも安全なTLSバージョン1.0〜1.3へと移行しています。Gmailからのメール送信時には常にTLS接続が試みられ、特定ドメインとの通信に対するTLS設定も可能です。この機能がメールの盗聴や改ざんリスクを低減します。
添付ファイルスキャン
Gmailのセキュリティサンドボックスにより、受信前にマルウェアなどの悪意ある添付ファイルの自動スキャンが可能です。実行ファイル、Officeドキュメント、PDFなど、さまざまな形式に対応しています。不審なファイルが検出されると、自動的に迷惑メールフォルダへ振り分けられるか、ポリシー設定により検疫されます。
送信者認証技術
Google Workspaceは、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という送信者認証技術を設定できます。SPFは正規送信サーバからのメールであることを証明し、DKIMはメール内容の改ざんを防止します。これらを併用することで、第三者によるドメインなりすましを防いだり、正規メールの誤判定リスクを低減したりできます。
Google Workspaceのプラン別メールセキュリティ機能一覧
Google Workspaceには、大きく分けてBusinessプランとEnterpriseプランがあり、プランによって利用できるメールセキュリティ機能が異なります。以下の表は、利用可能人数が無制限のEnterpriseプランの主な機能をまとめたものです。
| Enterprise Standard | Enterprise Plus | |
| 価格 | 非公開 | 非公開 |
| 迷惑メールフィルタとウイルス ブロック | ◯ | ◯ |
| Gmail での広告の無効化 | ◯ | ◯ |
| フィルタ機能やコンテンツ ポリシーのカスタマイズ | ◯ | ◯ |
| メールとチャットの保持ポリシー | ◯ | ◯ |
| 許可されたIPアドレス | ◯ | ◯ |
| ユーザが管理する拒否リスト | ◯ | ◯ |
| コンプライアンスフッターの適用 | ◯ | ◯ |
| IMAPとPOPアクセスを無効にするオプション | ◯ | ◯ |
| Vault(メール/IM の電子情報開示とアーカイブ用) | ◯ | ◯ |
| Gmailのデータ損失防止(DLP) | ◯ | ◯ |
| 光学式文字認識を使用して画像を読み取る | ◯ | ◯ |
| BigQueryでのGmailログ検索 | ◯ | ◯ |
| サードパーティ製のアーカイブソリューションとGmailとの連携 | ◯ | ◯ |
| 高度なフィッシングと不正なソフトウェアへの対策 | ◯ | ◯ |
| メールの添付ファイルに対する高度なスキャン(セキュリティ サンドボックス) | ◯ | ◯ |
| メールの S/MIME 暗号化 | ◯ | |
| メールのクライアントサイド暗号化 | ◯ |
参照:Google Workspace の各エディションの比較 – Enterprise – Google Workspace 管理者 ヘルプ
Google Workspaceメールセキュリティの課題
Google Workspaceの標準機能だけでは、日本企業の求めるメールセキュリティレベルに対して不十分な点があります。課題を3つに分けて解説します。
メール誤送信防止機能の不足
Google Workspaceは通信セキュリティには優れていますが、日本企業で頻発する「宛先間違い」「添付ファイル間違い」「BccとCcの混同」といった、人的ミスを防ぐ機能が不足しています。特に重要な「上司承認機能」や「添付ファイル自動暗号化」などが標準では利用できず、誤送信による情報漏洩リスクへの対策が十分とはいえません。
日本語環境におけるセキュリティ機能の精度不足
有償オプションのウイルス対策、スパム対策、メールアーカイブなどの機能は、日本語環境での精度が十分ではありません。また海外発のサービスのため、インターフェースも日本のユーザにとって直感的ではない部分があり、セキュリティ設定や運用で、混乱を招くことがあります。
高度なセキュリティ機能の上位プラン限定と機能不足
Google Workspaceの上位プランでは、DLPやS/MIME暗号化機能は提供されていますが、PPAP対策の完全自動化や上司承認ワークフロー、日本語に最適化された誤送信防止機能は実装されていません。そのため、中堅・大企業でも外部セキュリティサービスと連携して機能を補完するケースが増えています。
Google Workspaceのセキュリティに関する外部評価
Google Workspaceのセキュリティは、世界的に認められた第三者機関による認証を取得しています。ここではGoogle Workspaceの安全性について解説します。
ISOやSOCなど主要な国際セキュリティ認証の取得状況
Google Workspaceは、複数の国際的な情報セキュリティ認証を取得しています。情報セキュリティ管理の国際規格「ISO 27001」、クラウド特化の「ISO 27017」、個人データ保護の「ISO 27018」、プライバシー保護の「ISO 27701」を取得済みです。
さらに米国公認会計士協会のSOC 2/3監査にも合格し、セキュリティ、可用性、処理の整合性、機密性の基準を満たしています。米国政府機関向けのFedRAMP認証も取得しており、これらの認証はErnst Young CertifyPointなど、独立した第三者機関によって定期的に監査されて、継続的に検証されています。
認証が示すGoogle Workspaceの安全性の実態
第三者認証取得は、Googleが世界最高水準のセキュリティを実装していることの客観的証明です。専門家チームによる24時間監視、多層防御、物理セキュリティ、データ暗号化など、企業が独自構築するには莫大なコストがかかる対策を標準提供しています。ただし、認証基準は国際的な要件で、日本特有のビジネス環境や法規制には必ずしも対応していない点に注意が必要です。
Google Workspaceを安全に運用し続けるための対策とポイント
Google Workspaceのメールセキュリティを継続的に管理・強化していくための方法について、解説します。
レポート活用や監査機能による定期的なセキュリティ評価
Google Workspaceの管理コンソールで提供されるレポート機能を活用し、組織内のセキュリティ状況を定期的に評価することが重要です。たとえば、「重要ポイントレポート」では、基本的なセキュリティ指標を把握できます。管理ログ機能では、「誰が」「いつ」「何に」「どのような操作」をしたかという、詳細記録の確認が可能です。
従業員のメールセキュリティ意識向上の教育
情報セキュリティポリシーの策定と周知は、社内における基本事項です。特に講義形式の教育と模擬訓練の併用が効果的です。架空のフィッシングメールを送信するなど、具体的な訓練を通じて、実際のサイバー攻撃のイメージを体験的に学ばせましょう。正規・非正規に関わらず、すべての従業員を対象に、教育をすることが重要です。
外部セキュリティサービスとの連携
Google Workspaceは優れたセキュリティを備えていますが、不足要件に対応するためには、外部サービスとの連携が効果的です。PPAP対策の完全自動化、メール誤送信防止、添付ファイルの自動暗号化、上長承認ワークフローなど、日本企業に特化したセキュリティ機能が強化できるサービスを選びましょう。
まとめ
Google Workspaceは、スパム・マルウェア対策やTLS暗号化、添付ファイルスキャンなど、高い安全性が保証されています。ただし、日本のビジネス環境に必要なPPAP対策や上司承認機能などの実現には、外部サービスとの連携が効果的です。
Cloud Mail SECURITYSUITEは、メールに関するあらゆる機能を、包括的に提供しているサービスです。さまざまなインフラ環境に対応し、自社構築よりも低コストで導入できます。Google Workspaceと組み合わせて、安全なメール環境を構築しましょう。詳しくは、以下からお問い合わせください。
