Google Workspace の概要とメールセキュリティについて
Google Workspace で提供される Gmail のセキュリティについて質問を受けたため、以前別場で調査していたライセンス体系も併せて簡単にメモとして残しておきます。
Google Workspace とは
既にご存知かと思いますが、一般的にビジネスで必要となるビジネスアプリ・メール・セキュリティ・デバイス管理 などの機能が利用できる、Google が提供している SaaS サービスです。
一般的なブラウザや Chromebook、Android 端末などから利用でき、Gmail / Google Drive などを中心にどこからでも利用できる利便性を持ったサービスという認識です。
無料で利用できる Google アカウントでも体験可能なため、その利便性はすでに多くの無料プランユーザーにご理解いただいているかと思います。
Google Workspace のライセンス形態
Google Workspace のライセンスも、Microsoft 365 等と似通ったライセンス形態をしています。 大まかには下記表の 4つのライセンス に別れますが、詳細と最新の情報は必ず公式ドキュメントを参照してください。
Microsoft 365 と比較すると、各ライセンスは安価 (かつ Gemini も使える) ので、ドキュメントの互換性などの問題はありますが、組織としての Workspace を完全に移せるのであれば魅力的なのではないでしょうか。
| プラン名 | 対象/ユーザー数 | 主な特徴 |
|---|---|---|
| Business | ・1~300 名の企業向け ・中小規模 |
・1〜300 ユーザーを想定したビジネス向けスイート ・Gmail、ドライブ、カレンダーなど主要コラボ機能を利用可能 ・ビジネスに必要な基本的セキュリティと管理機能 |
| Enterprise | ・大規模組織 ・ユーザー数無制限 |
・無制限ユーザーに対応 ・追加の高度なセキュリティ機能や詳細なポリシー設定が可能 ・コンプライアンス、監査要件への厳密な対応が必要な組織に最適 |
| Education | ・所定の要件を満たす教育機関 | ・教育機関向けに割引価格で提供 ・学生・教員に特化した機能や管理オプション ・一般企業向けプランと同様のコラボ機能に加え、教育現場での運用をサポートするツール群 |
| Essentials | ・Gmail を使用しない組織/ユーザー | ・既存メールシステムを利用しつつ、Google ドキュメント、ドライブ、Meet 等のコラボレーションツールを活用 ・Gmail は含まれないため、メールプラットフォームを移行せず導入可能- 簡易的な導入で生産性を向上 |
Gemini for Google Workspace について
Gemini for Googe Workspace = Gemini Advanced は Google が開発している AI を活用した高度なツールです (一言で言うと ChatGPT / Copilot などの同列のサービス)
2025年2月から、それまで別途 Gemini for Google Workspace として提供されていたアドオンライセンスが Google Workspace Business/Enterprise プランには含まれるようになりました。 現時点では両プランのいずれかを契約するだけで Gemini for Google Workspace = Gemini Advanced を利用する事が出来ます。
※ 現時点では Slide など一部まだ日本語に対応していないサービスもあります。
※ 自分は Business Standard のプラン (¥1,600/月) を個人で契約しています。
Chrome Enterprise Core / Premium (旧: Beyond Corp) について
詳細は下記の記事が参考になると思います。 端的に述べると無料で利用できる "Core" と、有償の "Premium" 2つのプランが用意されており、DLP (例:Webサイトへのアップロード、ファイル操作などの制御) などのより高度な機能が利用できるのが "Premium" になります。
Chrome Enterprise Upgrade について
ChromeOS / Chromebook の基本的な管理であれば Workspace ライセンスでも可能ですが、より細かく一括でデバイス管理(MDM)をしたい場合は Chrome Enterprise Upgrade のライセンスが必要になります。 詳しくは以下の記事を参照ください。
個人アカウントでのログイン禁止・ゲストモードの禁止
- URL単位のデータ保護(コピー、スクリーンショット、画面共有、印刷、ローカルファイルの共有の禁止)
- デバイスのリモートワイプ
- パッチ更新運用
Google One について
複雑な面もありますが Google One というプランも提供されています。こちらは個人の Google アカウント(無償) に対して、ストレージの拡張や、Gemini Advanced などの機能を追加するアドオンになります。
メールセキュリティについて
送信メール設定
メール送信設定では DKIM と SPF のいずれか一方または両方を設定する必要があります (両方設定する事が推奨されています) 、また DMARC / BIMI に配信前のスキャン設定などが提供されています。
どのような種類の認証を設定すればよいですか?
すべてのメール送信者は、DKIM と SPF のいずれか一方または両方を設定する必要があります。
- DKIM - DomainKeys Identified Mail(DKIM)は、メールの内容への転送中の変更を防ぎます。
- SPF - Sender Policy Framework(SPF)を使用することで、送信者のなりすましを防ぎ、スパマーやその他の攻撃者が組織を装ってメールを送信できないようにすることができます。
Google がおすすめする方法:
- DKIM と SPF の両方を設定します。簡易 DKIM は、メールが送信者によって作成されたことを示します。SPF は、メールが送信者のサーバーから送信されたことを示します。したがって、DKIM と SPF を併用することで、メールが送信者によって書かれ、送信されたことをより強力に示すことができます。
- DMARC(Domain-based Message Authentication, Reporting, and Conformance)を設定します。これにより、SPF または DKIM の検証に合格しなかったメールの処理方法を選択できます。
- BIMI(Brand Indicators for Message Identification)を設定すると、確認済みのブランドロゴを追加してメールの信頼性を高めることができます。
- Gmail でフィッシングを防止するもう 1 つの方法は、メール配信前のスキャンを有効にすることです。
Gmail アカウントに送信する場合は、メール送信者のガイドラインの認証要件を満たしている必要があります。
メールのセキュリティとコンプライアンス
最も機能が豊富な Enterprise / Enterprise Plus エディションを元に内容をまとめます。
ドキュメントから抜粋すると、主にメールに係る機能と対応状況は以下の表のようになります。
| 項目 | Enterprise Standard | Enterprise Plus |
|---|---|---|
| 迷惑メールフィルタとウイルス ブロック | ✔ | ✔ |
| Gmail での広告の無効化 | ✔ | ✔ |
| フィルタ機能やコンテンツ ポリシーのカスタマイズ | ✔ | ✔ |
| メールとチャットの保持ポリシー | ✔ | ✔ |
| 許可された IP アドレス | ✔ | ✔ |
| ユーザーが管理する拒否リスト | ✔ | ✔ |
| コンプライアンス フッターの適用 | ✔ | ✔ |
| IMAP と POP アクセスを無効にするオプション | ✔ | ✔ |
| Vault(メール / IM の電子情報開示とアーカイブ用) | ✔ | ✔ |
| Gmail のデータ損失防止(DLP) | ✔ | ✔ |
| 光学式文字認識を使用して画像を読み取る | ✔ | ✔ |
| BigQuery での Gmail ログ検索 | ✔ | ✔ |
| サードパーティ製のアーカイブ ソリューションと Gmail との連携 | ✔ | ✔ |
| 高度なフィッシングと不正なソフトウェアへの対策 | ✔ | ✔ |
| メールの添付ファイルに対する高度なスキャン(セキュリティ サンドボックス) | ✔ | ✔ |
| メールの S/MIME 暗号化 | ✔ | |
| メールのクライアントサイド暗号化 | ✔ |
上記の表にはない内容として Enterprise Plus / Education Plus では、以下の機能も提供されています。
| 項目 | 概要 (抜粋文章) |
|---|---|
| 悪意のあるメールに関するレポートを調査する | フィッシング メールなどの悪意のあるメールを受信したすべてのユーザーを特定することができます。その場合、調査ツールを使ってそれらのユーザーの Gmail の受信トレイからメールを削除できます(ログデータを調査ツールで参照できるようになるまでに数分かかる場合があります) |
| 調査ツールを使用して機密性の高いコンテンツを閲覧する | Gmail のメッセージ、Chat のメッセージ、Chat の添付ファイルに含まれる機密性の高いコンテンツの確認が必要になる場合があります。調査ツールを使うことで、メールの検索とコンテンツの閲覧が可能です。また、DLP ルール違反が実際のインシデントか誤検出かを調査することもできます。 |
| Gmail のログイベント | Gmail のログイベントに関連する検索を行い、検索結果に基づいて対応することができます。調査ツールを使って操作の履歴を表示し、組織のユーザーや管理者の Gmail でのアクティビティを確認できます。 |
| Gmail のメール | 組織内の Gmail のメールに関するライブ状態のデータを表示し、調査することができます。 たとえば、Gmail のメールのデータソースを使用すると、組織内で添付ファイルの名前、メールのコンテンツ、メッセージ ID、送信者、受信者で検索することができます。 |
| モニタリングできる Gmail の設定 (Gmail 設定の状況を確認する) | セキュリティの状況ページから、Google 管理コンソールで設定した Gmail の詳細設定の内容を確認することができます。 |
各検知率などの情報について
サイトには謳い文句として下記の文言がありますが ウイルス・マルウェア、スパムなどの検知率などの情報は公開されていません。
Google Workspace のメールセキュリティ (ウイルス、マルウェア、スパム検知など) は、最新の脅威に対応するための多層防御を実施しており、機械学習を活用したスパム・フィッシング対策や、添付ファイル・リンクの自動スキャンなどで脅威に対応しているとドキュメントや公開情報からは読み取れます。
ただ検知率に関してはあくまで「可能な限りの防御」を目指すものであり、100%の検知や防止が保証されているわけではありません。
セキュリティの基本原則として、ユーザー側や管理者側での注意や追加対策も引き続き必要とされている点には留意しつつ、セキュリティポリシーに合わせた設計と実装が必要になるという認識で良いと思います。
Google Workspace の SLA と 第三者機関によるセキュリティ認証
SLA
SLA については下記の記事が詳しいです。 端的に書くと 99.9% になります。
第三者機関によるセキュリティ認証
準拠しているコンプライアンスについては コンプライアンス リソース センター にまとまっています。
一般的な ISO や SOC などには準拠しています。
まとめ
Google Workspace のライセンス形態と、メールセキュリティ周りの情報についてまとめてみました。
これから導入を検討される方や、提案などで調べ物をしている方の参考になれば幸いです。
Discussion