6
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

MIXI DEVELOPERSAdvent Calendar 2023

Day 3

Googleドライブを社外共有可能にしたら幸せになった話

Last updated at Posted at 2023-12-02

MIXI DEVELOPERS Advent Calendar 2023」の3日目も続けて書いちゃいます。

タイトルを盛ってしまいましたが、Googleドライブ(共有ドライブ)を社外共有できるようにしたところ、社内からポジティブな反応が多かったというお話です。

自己紹介

株式会社MIXI はたらく環境推進本部 コーポレートエンジニアリング部 所属の「ishunshu」と申します。いわゆる情シスのお仕事を5年ほどやっている中堅IT用務員です。Enterpise向けのSaaS製品の導入・運用・推進などを得意としています。

前置き

MIXIでは長年Google WorkspaceとDropboxをクラウドストレージとして使っています。

  • 社内向けのデータ共有は「Googleドライブ」
  • 社外向けのデータ共有は「Dropbox」

のような使い分けをお願いしていました。ただし多くのグループ会社が存在するため、全てを1つのGoogle Workspaceに集約することは厳しく、複数のテナントに分けています。特殊案件含めると数十ものGoogle Workspaceを契約しており、かなりカオスです。

Googleドライブに関しては「外部との共有」を「許可リスト登録済みドメイン」に設定し、グループ会社含めたホワイトリストで管理しています。従業員の誰でも共有ドライブを作成することができ、作成した共有ドライブの公開範囲はグループ会社までとなっています。

なんでルール変えたの?

ひとつは社内から「Googleを使って社外とコラボレーションしたい」という要望が多かったこと。もうひとつは社外共有で使っていたDropboxに仕様変更があり、2023年12月からGoogleコンテンツ(スプレッドシート・スライド・ドキュメント)の取り扱いができなくなってしまうこと。こうした事情を踏まえて検討が始まりました。

結局どうしたのか

そもそもセキュリティの都合でストレージを分けていましたし、誰でも社外共有できる共有ドライブを作成できてしまうと統制が効かなくなりセキュリティインシデントにつながることは容易に想像できるので、今回の変更は以下の制限を加えた状態で外部公開できるようにしています。

  • 既存の仕組みは変更しない(マイドライブ・申請のない共有ドライブは引き続き社内共有のみ)
  • 社外共有する場合は「特権管理者」が作成した社外共有が可能な共有ドライブを利用してもらう
  • リンク共有は使わせない
  • 適切に棚卸ができる仕組みにする

実装方法

Google Workspaceでは2022年の途中から「組織部門」ごとにポリシーを適応できる機能が追加されており、今回はその機能を活用しています。

スクリーンショット 2023-11-24 10.36.13.png

子階層に新規で組織部門を作成し、そこに参加できるのは特権管理者のみに限定しています。(セキュリティに配慮し物理キーによる二要素認証を強制化させています。)

スクリーンショット 2023-11-24 10.44.39.png

この状態で該当の組織部門のみ外部との共有を「オン」に設定し、上記の設定をすることで、特権管理者が作成する共有ドライブは自動で「共有ドライブ社外共有可」の組織部門に所属し、社外共有可能なポリシーが適応される状態となります。
(事故防止のため特権管理者アカウントは通常利用しないようにしています)

スクリーンショット 2023-11-26 20.24.27.png

共有ドライブの権限はデフォルトで上記の状態になるようにし、後述する管理者を渡さない運用で変更できないようにしています。また、権限の棚卸を実施しやすいように「コンテンツ管理者にフォルダの共有を許可する」を許可しないことで、ファイルやフォルダ単位での共有をできない状態にしています。

スクリーンショット 2023-11-26 20.36.57.png

共有ドライブは色々な権限が実装されており、柔軟にメンバー追加できるのが特徴ですが、今回はあえて制限を加えることで棚卸しをしやすい状態にしています。直接のメンバー追加を許可せず、グループによってメンバー管理をしてもらっています。共有ドライブには画像のように管理用のアカウントの他に、「コンテンツ管理者」と「閲覧者」の2つに対応したグループのみがある状態となります。

スクリーンショット 2023-11-26 20.51.46.png

最後に共有リンクで不用意に外部公開してしまうことを避けるために、共有ドライブのメンバー以外はアクセスできないような設定を加えています。これにより共有リンクを作成した場合でも共有範囲は既存メンバーに限定されます。

スクリーンショット 2023-11-26 20.52.38.png

おまけ

これまでの「許可リスト登録済みドメイン」の設定だと「gmail.com」や「xxx.gserviceaccount.com」のようなドメインはGoogle側の制限で登録しても機能しなかったのですが、外部公開をオンにすることでこういったアカウントの追加もできるようになりました。また、社外ゲストがGoogle Workspaceのアカウントを持っていない場合でも独自ドメインのメールがあればGoogle Workspace Essentials Starterで無料のアカウントを作成してもらうことができ共有が可能となります。

Dropboxはどうするの?

Googleドライブの社外共有を可能にしましたが、Dropboxも引き続き利用はできます。DropboxはDropboxで相手がアカウントを持っていなくてもファイルの送受信ができる「Transfer」や「Request」機能が便利だったり、リンク共有にパスワードや有効期限を設定できるなど柔軟性が高い状態です。今後はうまく使い分けをして最適化をしていければと思っています。

最後に

データの社外共有をどうしていくかは各社の情シスが悩んでいたり、工夫を凝らしているテーマかと思います。本記事がその一助になればうれしいです。

6
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
6
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?