Google WorkspaceのGoogle Driveにおける外部ドメインファイルへの警告機能(Out-of-Domain file-level warnings)が、2025年4月の初回リリースに続き、2026年5月26日にさらなる改善が発表されました。この記事では、情シス担当者が今確認すべき外部共有設定とDLP(Data Loss Prevention:情報漏洩対策)運用の考え方を整理します。
この記事を読んだほうが良い人
- Google Driveの外部共有ポリシーを管理している情シス担当者
- 最新のGoogle Workspaceセキュリティ機能に関心がある方
- DLPとDrive外部共有の連携を検討している方
- 外部からの脅威に対する多層防御を強化したい方
Google Drive 外部共有の警告機能が改善された背景
Googleは、ユーザーが組織外のドキュメントや外部ユーザーを識別できるよう、Out-of-Domain file-level warningsを提供しています。2025年4月の初回リリース後、2026年5月26日の改善ではAndroid・iOSアプリ(Drive、ドキュメント、スプレッドシート、スライド)およびChat Spacesへの対応が追加されました。Google Workspace Updatesブログによれば、意図しないデータ漏洩の防止と、内部コンテンツを装うフィッシング攻撃への対策を目的としています。
この警告機能の改善自体に管理者側の設定変更は不要で、管理コンソールで確認できます。対象サービスはGoogle Drive、ドキュメント、スプレッドシート、スライド(Web・Android・iOS)、Chat Spacesです。
ただし、この機能が最大限に効果を発揮するには、既存のDrive外部共有設定を改めて見直し、必要に応じてDLPと連携した多層防御を設計することが重要です。
警告機能だけでは補えないケース
今回の改善を「対応完了」と見なすのは早計です。Out-of-Domain warningsはユーザーがファイルを開いた瞬間に通知を表示する仕組みですが、以下の点を理解しておく必要があります。
- 警告はブロックではない: ユーザーは警告を確認したうえでファイルを開き続けられます。機密情報への意図的なアクセスを制限するには、別途共有設定やDLPによる制御が必要です
- 既存の外部共有には遡及しない: 警告機能は新規にファイルを開いたタイミングで動作します。すでに外部ユーザーに共有済みのファイルが大量にある場合、それらを個別に検出・整理する作業は別途必要です
- ドメインリストで警告が抑制される: 信頼できるドメインとして登録されたドメインからの共有ファイルは警告が出ません。リストの内容が実態とズレていると、本来警告が必要な相手へのアクセスが素通りします
これらの限界を踏まえたうえで、次の設定確認に進みます。
情シスが今すぐ確認すべきDrive共有ポリシーの設定
新しい警告機能は自動適用されますが、組織としての外部共有ポリシーが適切に設定されているかは別の問題です。管理コンソールのドライブとドキュメント設定から、以下の3点を確認してください。
信頼できるドメインの設定
管理コンソールのDrive共有設定では、信頼できるドメインを登録できます。このリストに登録されたドメインからの共有ファイルは警告表示が抑制されるため、リストの内容が古くなっていると、本来警告が必要なドメインがスルーされるリスクがあります。
確認のポイントは「登録されているドメインが今も信頼に足る取引先かどうか」です。取引終了した企業や、合併・買収で実態が変わった組織が残っていないか、定期的に棚卸しをする運用を設けておくと安心です。
Driveの共有オプション
組織全体、またはOU(組織部門)ごとの共有オプションを確認します。特に確認すべき点は以下の通りです。
- 外部共有の許可レベルが、業務上必要な範囲に絞られているか
- リンク共有のデフォルトが「リンクを知っている全員」になっていないか
- 外部ユーザーとの共同編集が承認プロセスを経ているか
「リンクを知っている全員」をデフォルトに設定したままにしていると、ユーザーが気づかないうちに社外向けのリンクを発行してしまうケースが発生します。デフォルトを「オフ」または「組織内のみ」に設定しておくことで、意図しない情報共有を減らせます。
共有ドライブの外部共有ポリシー
チームでのファイル共有に使われる共有ドライブは、個別に外部共有設定が異なる場合があります。機密性の高い情報を扱う共有ドライブについては、外部共有を制限する設定になっているかを重点的に確認してください。共有ドライブの作成権限が広く開放されている場合、誰でも外部共有が可能な共有ドライブを作れてしまうため、作成権限の範囲とデフォルトの共有設定をセットで見直すことを推奨します。
DLPとの連携で多層防御を設計する
外部共有警告機能は「ユーザーに気づきを与える」仕組みですが、DLPを組み合わせると「機密情報そのものの流出を防ぐ」レイヤを追加できます。
DLPルールの設計判断フロー
DLPは特定の情報パターン(クレジットカード番号、個人情報、社内プロジェクト名など)を検出した際に、共有をブロックしたり管理者に通知したりするルールを設定できます。設計の順序としては次の流れが基本です。
- 組織内で「機密」と定義される情報の種類と検出パターンを明確にする
- Google DriveだけでなくGmailなど他のサービスも監視対象に含めるか判断する
- 検出時のアクション(ブロック / 警告 / 管理者通知)を機密レベルごとに決める
外部ドメインへの共有を検知するDLPルールの考え方
信頼できるドメインリストに含まれない外部ドメインへの機密ファイル共有を、DLPルールで制限する設計が効果的です。機密性の高いファイルに対しては「いかなる外部共有もブロック」、それ以外は「警告のみ表示して共有は許可」のように、機密レベルに応じてアクションを分けることで、業務上の支障を最小限に抑えながら保護を強化できます。
DLPはGoogle Workspace Enterprise Plusなどの上位エディションで利用できます。現時点でDLPが使えないエディションの場合でも、将来的な活用を見据えてポリシーの骨格を文書化しておくことには意味があります。
対象エディションの整理
| 機能 | 対象エディション |
|---|---|
| 外部ドメインファイルの警告改善 | すべてのGoogle Workspaceエディション(管理コンソールで確認推奨) |
| DLP(ドライブのコンテンツ検査) | Google Workspace Enterprise Plus等の上位エディション |
外部共有警告の改善は自動適用のため、管理者側の作業は不要です。DLPの範囲については、現在の契約エディションを管理コンソールで確認してください。
まとめ:今できることと次のアクション
Google Driveの外部ドメインファイル警告機能の改善は、Googleが自動で提供するセーフティネットです。一方、組織のポリシーと実際の設定が合致しているかどうかはどのアップデートでも自動では整理されません。
今回の改善を機に、次のアクションを取ることを推奨します。
今すぐできること
- 信頼できるドメインリストの棚卸し(取引終了先や実態が変わった組織を削除)
- リンク共有のデフォルト設定を確認し、必要であれば「組織内のみ」に変更
- 機密性の高い共有ドライブの外部共有設定を個別に確認
中期的に検討すること
- DLPルールの設計(機密情報の種類・検出パターン・アクションの定義)
- 外部共有に関する運用ポリシーの文書化と定期的な監査サイクルの設定
これらの設定を定期的に見直す仕組みを作ることが、長期的なDrive運用のセキュリティを支えます。
コーポレートITのご相談はお気軽に
この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。
御社の IT 部門、ここにあります。
「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。