Google Workspaceの2段階認証を全社に強制する方法とセキュリティキーの運用

Google Workspaceのアカウントが侵害される最大の原因は「パスワードだけの認証」です。2段階認証（2FA）を全社に強制するだけで、アカウント乗っ取りのリスクを劇的に低減できます。

2段階認証の強制設定

管理コンソール（admin.google.com）→「セキュリティ」→「認証」→「2段階認証プロセス」から設定します。

設定のポイント：

適用範囲： 組織全体に適用するのが原則です。特定のOU（組織部門）にのみ先行適用し、段階的に全社展開する方法もあります。

猶予期間： 強制を有効にする際、「新規ユーザーの登録猶予期間」を設定できます。入社直後のユーザーが2FAを設定する猶予として、1〜7日を設定するのが一般的です。

許可する認証方法： 「すべて」「セキュリティキーを除くすべて」「セキュリティキーのみ」から選択できます。最低限「すべて」で開始し、管理者アカウントには「セキュリティキーのみ」を推奨します。

認証方法の選択肢と強度

セキュリティキー（FIDO2）： 最も強度が高い。フィッシング耐性あり。YubiKey等の物理キーを使用。管理者アカウントに推奨。

Google認証アプリ（TOTP）： スマートフォンの認証アプリが生成するワンタイムコード。フィッシング耐性はないが、パスワードのみより大幅に安全。一般ユーザーの標準設定に推奨。

Googleプロンプト： Googleアプリがインストールされたスマートフォンにプッシュ通知が届き、タップで承認。利便性が高い。

SMS / 音声通話： SIMスワッピングのリスクがあり非推奨。他の方法が使えないユーザーの最終手段。

セキュリティキーの運用

管理者アカウント（特権管理者）には、FIDOセキュリティキーの使用を強制することを強く推奨します。

キーの配布： 1人あたり2本（メイン＋バックアップ）を支給。バックアップキーは安全な場所に保管。

紛失時の対応： 管理者が一時的に2FAの強制を解除し、新しいキーを登録してもらう。または管理コンソールからバックアップコードを発行。

登録の確認： 管理コンソール→「レポート」→「ユーザー」で、各ユーザーの2FA登録状況を確認可能。未登録ユーザーを一覧で特定できます。

導入のステップ

Step 1： 管理者アカウントに先行してセキュリティキーを設定（1週間）

Step 2： 全社員に「2FA登録のお願い」を通知。登録手順のマニュアルを配布（2週間の猶予）

Step 3： 管理コンソールで2FAの強制を有効化。猶予期間を7日に設定

Step 4： 猶予期間終了後、未登録ユーザーはサインインできなくなる。ヘルプデスクで個別対応

まとめ

2FAの全社強制は、GWSセキュリティの最優先設定です。管理コンソールから数クリックで設定でき、アカウント侵害のリスクを劇的に下げられます。管理者にはセキュリティキー、一般ユーザーにはGoogle認証アプリを標準とするのがバランスの良い運用です。

情シス365では、Google Workspaceのセキュリティ設定を支援しています。お気軽にご相談ください。