お問い合わせ
SECURITY NOTE — 046

Google Workspace MDMで実現する「紛失・盗難デバイス」からの情報漏洩対策:情シスが知るべきリモートワイプとデータ保護戦略

PUBLISHED2026.04.29
READ8 分
CATEGORYSECURITY

Google WorkspaceのMDM機能は、従業員のデバイスが紛失または盗難に遭った際に、組織の機密情報を保護するための重要なツールです。この機能は、インシデント発生時のデータ漏洩リスクを最小限に抑えるための具体的な対策を提供します。

この記事を読んだほうが良い人

  • 100名規模のGoogle Workspaceを運用する情シス担当者
  • 従業員のデバイス紛失・盗難時の情報漏洩リスクに懸念がある方
  • Google Workspace MDMのリモートワイプやデータ保護機能を実務で活用したい方
  • インシデント発生時の対応フローやセキュリティポリシーを見直したい方

Google Workspace MDMがデバイス紛失・盗難時に果たす役割

Google WorkspaceのMDM (Mobile Device Management) 機能は、組織が管理するモバイルデバイスやPCのセキュリティを強化し、設定を一元管理するためのものです。特に、デバイスの紛失や盗難といった緊急事態においては、情報漏洩を防ぐための最後の砦となります。

MDMは、単にデバイスを登録するだけでなく、以下のような機能を通じてデータ保護に貢献します。

  • リモートワイプ: デバイス内の組織データを遠隔で消去し、不正アクセスを防止します。
  • アカウントロック: 紛失したデバイスからのGoogleアカウントへのアクセスを遮断します。
  • デバイスポリシーの適用: 画面ロックの強制、データ暗号化、パスワード要件の設定などを通じて、デバイス自体のセキュリティレベルを高めます。
  • デバイスアクセス管理: 許可されたデバイスのみが組織のリソースにアクセスできるように制限します。

これらの機能を適切に設定・運用することで、万が一の事態が発生した際にも、迅速かつ効果的に情報漏洩リスクを低減できます。

情シスが取るべき3つの初動対策

デバイスの紛失や盗難が判明した場合、情シス担当者は迅速かつ冷静に対応する必要があります。Google Workspace MDMを活用した初動対策は以下の3つが中心です。

1. リモートワイプ (Remote Wipe) の設定と実行

リモートワイプは、紛失・盗難デバイスからの情報漏洩を防ぐ最も強力な手段です。Google Workspace MDMでは、主に2種類のワイプ機能が提供されています。

  • アカウントワイプ: デバイスから組織のGoogleアカウントとその関連データ(Gmail、Driveファイル、カレンダーなど)のみを削除します。デバイスの個人データはそのまま残ります。BYOD (Bring Your Own Device) 環境など、従業員の個人デバイスを管理している場合に適しています。
  • デバイスワイプ: デバイス全体を工場出荷時の状態にリセットし、すべてのデータ(組織データ、個人データ、アプリなど)を消去します。組織が所有・貸与しているデバイスで、情報漏洩リスクを徹底的に排除したい場合に有効です。

設定と実行手順(概要)

リモートワイプは、Google管理コンソールから実行します。

  1. Google管理コンソールにログイン: 管理者アカウントでアクセスします。
  2. デバイスの検索: 「デバイス」>「モバイルデバイス」または「エンドポイント」から対象のデバイスを検索します。
  3. ワイプの実行: 対象デバイスを選択し、「デバイスの操作」メニューから「アカウントをワイプ」または「デバイスをワイプ」を選択します。
  4. 確認: 最終確認のプロンプトが表示されるので、内容をよく確認して実行します。

実行時の注意点: - ワイプは元に戻せません。実行前に必ず対象デバイスが正しいか確認します。 - デバイスがオフラインの場合、次にオンラインになった際にワイプが実行されます。 - アカウントワイプの場合でも、デバイスにダウンロードされたデータは消去されますが、デバイスに保存された個人データには影響しません。

2. アカウントロックとパスワードリセット

リモートワイプと並行して、紛失デバイスからの不正アクセスを確実に遮断するために、対象ユーザーのGoogleアカウントをロックし、パスワードをリセットすることが重要です。

  1. ユーザーアカウントの停止: Google管理コンソールで対象ユーザーを検索し、アカウントを一時停止または削除します。一時停止することで、そのアカウントでのすべてのGoogleサービスへのアクセスが直ちに遮断されます。
  2. パスワードのリセット: アカウントを停止した後、パスワードをリセットします。これにより、もし悪意のある第三者がデバイスのロックを解除してアカウントにアクセスしようとしても、新しいパスワードがなければログインできません。
  3. セッションの強制終了: Google管理コンソールのユーザー詳細画面から、すべてのウェブセッションを強制終了するオプションも利用できます。これにより、ウェブブラウザなどでのログイン状態も強制的に解除されます。

これらの措置は、デバイスのワイプが完了するまでの間の情報漏洩リスクを最小限に抑えるための重要なステップです。

3. デバイスポリシーによるデータ保護の強化

MDMは、紛失・盗難時だけでなく、普段からのデバイスセキュリティを強化するためにも活用できます。以下のデバイスポリシーを適用することで、デバイス自体の堅牢性を高めます。

  • 画面ロックの強制: 一定時間操作がない場合に自動的に画面をロックし、パスワードやPINの入力を必須にします。Google管理コンソールで「デバイス」>「モバイルデバイス」>「設定」>「ユニバーサル設定」から設定できます。
  • データ暗号化の強制: デバイスストレージ全体の暗号化を義務付けます。これにより、デバイスが物理的に分解されても、データに直接アクセスされることを防ぎます。AndroidデバイスやiOSデバイスでは、設定で暗号化を強制するポリシーを設定できます。
  • パスワード要件の強化: 複雑なパスワードの利用、定期的な変更などを義務付けることで、パスワードクラックのリスクを低減します。
  • Context-Aware Access (CAA) との連携: CAAは、Google Workspaceの高度なセキュリティ機能で、ユーザーのID、デバイスの状態、IPアドレス、地理的位置などのコンテキストに基づいてアクセスを制御します。MDMと連携させることで、「暗号化されていないデバイスからのアクセスをブロックする」「特定のセキュリティパッチが適用されていないデバイスからのアクセスを制限する」といった、よりきめ細やかなアクセス制御が可能になります。これにより、紛失デバイスがたとえオンラインになっても、組織のリソースにアクセスさせないような多層防御を構築できます。

紛失・盗難時の運用フローとチェックリスト

デバイスの紛失・盗難はいつ発生するか予測できません。そのため、事前準備と明確な運用フローが不可欠です。

インシデント発生時の具体的なフロー

  1. 報告受付: ユーザーからデバイス紛失・盗難の報告を受け付けます。
  2. 状況確認: デバイスの種類(会社貸与かBYODか)、最終利用日時、紛失場所、デバイスのステータス(オンラインかオフラインか)などを確認します。
  3. 緊急対応(同時並行):
    • 対象デバイスのリモートワイプを速やかに実行します(デバイスワイプかアカウントワイプか判断)。
    • 対象ユーザーのGoogleアカウントを一時停止し、パスワードをリセットします。
    • もし利用していれば、CAAポリシーを一時的に強化し、該当デバイスからのアクセスを完全にブロックします。
  4. ユーザーへの指示: 新しいデバイスでの再ログイン方法や、今後の情報セキュリティに関する注意喚起を行います。
  5. 事後対応:
    • 警察への届け出(盗難の場合)。
    • 社内インシデントレポートの作成と情報セキュリティ委員会への報告。
    • 再発防止策の検討とMDMポリシーの見直し。

事前準備と定期的な見直し

  • ポリシーの策定: デバイス紛失・盗難時の対応ポリシーを明確にし、全従業員に周知します。
  • テストの実施: 定期的にリモートワイプなどの機能をテストし、手順の確認と担当者の習熟度向上を図ります。
  • デバイス登録の徹底: すべての組織デバイスがMDMに登録されていることを確認します。
  • バックアップの習慣化: 重要なデータはGoogle Driveなどに常に同期・バックアップするよう指導します。

紛失・盗難時対応チェックリスト

  • 報告受付:
    • [ ] ユーザーからの報告内容を詳細にヒアリングしたか?
    • [ ] 紛失・盗難日時、場所、デバイスの種類を確認したか?
  • 緊急対応:
    • [ ] Google管理コンソールで対象デバイスを特定したか?
    • [ ] デバイスワイプまたはアカウントワイプを実行したか?
    • [ ] 対象ユーザーのGoogleアカウントを一時停止したか?
    • [ ] 対象ユーザーのパスワードをリセットしたか?
    • [ ] 必要に応じて、すべてのウェブセッションを強制終了したか?
    • [ ] Context-Aware Accessポリシーの一時的な強化を検討したか?
  • ユーザーへの指示:
    • [ ] 新しいデバイスでのログイン手順を案内したか?
    • [ ] 今後のセキュリティに関する注意点を伝えたか?
  • 事後対応:
    • [ ] 盗難の場合、警察に届け出たか?
    • [ ] 社内インシデントレポートを作成したか?
    • [ ] 再発防止策を検討し、MDMポリシーの見直しを行ったか?

実例:MDM機能を組み合わせた多層防御

ある日、営業担当者が外出先で会社貸与のスマートフォンを紛失しました。このスマートフォンには顧客情報や営業資料が保存されており、情報漏洩のリスクが懸念されます。

情シス担当者は、報告を受けて直ちに以下の対応を実施しました。

  • リモートデバイスワイプ: まず、Google管理コンソールから該当スマートフォンに対して「デバイスワイプ」を実行しました。これにより、デバイス内のすべてのデータが工場出荷時の状態にリセットされ、たとえ悪意のある第三者の手に渡ったとしても、データにアクセスされるリスクが排除されました。
  • アカウント一時停止とパスワードリセット: 同時に、営業担当者のGoogle Workspaceアカウントを一時停止し、パスワードを強制的にリセットしました。これにより、ワイプが完了するまでの間、そのアカウントでGoogle Workspaceリソースにアクセスされる可能性を完全に遮断しました。
  • Context-Aware Accessによるアクセス制限: 普段から「暗号化されていないデバイスからのGoogle Driveへのアクセスをブロックする」というCAAポリシーが設定されていました。そのため、もしデバイスワイプが失敗し、かつデバイスがオンラインになったとしても、暗号化されていない状態ではDrive内の機密情報へのアクセスは許可されません。

このように、リモートワイプ、アカウントロック、そしてContext-Aware AccessといったMDM機能を組み合わせることで、単一の対策では防ぎきれない多層的な情報漏洩対策を講じることが可能です。

まとめ:事前準備と迅速な対応が鍵

Google Workspace MDMは、デバイスの紛失・盗難時に情報漏洩から組織を守るための強力なツールです。リモートワイプ、アカウントロック、そしてデバイスポリシーによる事前防御を組み合わせることで、万が一の事態にも迅速かつ効果的に対応できます。

重要なのは、これらの機能を単体で理解するだけでなく、インシデント発生時の具体的な運用フローとして整備し、日頃から従業員への啓蒙とMDMポリシーの見直しを怠らないことです。事前準備を徹底し、インシデント発生時には迷わず迅速な対応を取ることが、組織の情報資産を守るための鍵となります。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。